K+Lab

2018-03-13

Somos el primer laboratorio de seguridad digital y privacidad en Colombia pensado desde y para sociedad civil. Realizamos análisis técnicos para apoyar el trabajo de incidencia de nuestra Fundación, alertar sobre las amenazas de seguridad provenientes del mundo digital y capacitar a periodistas, personas defensoras de derechos humanos y que están ejerciendo liderazgos sociales en los territorios, las organizaciones que los agrupan, y entidades con las que se relacionan.

Acá encontrarán los análisis que hemos realizado, las historias de Karisma asociadas con el trabajo del laboratorio, los comentarios a políticas públicas y los resultados de estos dos años de pensar que es posible construir estas iniciativas, que fortalecen la seguridad digital y la privacidad de todos.

¿Qué hacemos y cómo lo hacemos?

KLAB ha tenidos tres frentes de trabajo hasta el momento:

1. Analizar, de forma no intrusiva, la seguridad y privacidad de algunas páginas web del Estado.

Tras hacer un informe de nuestros hallazgos, lo más complejo ha sido buscar el canal para que esos reportes surtan efecto, y se llegue a realizar cambios efectivos que redunden en una mejor seguridad y privacidad de millones de datos. En esto tenemos presente la idea de corresponsabilidad y hemos construido un modelo incipiente de reporte de vulnerabilidades y seguimiento al plan de mejoras que ha contado hasta ahora con el apoyo del MinTIC.

Vamos por el tercer ejercicio de este tipo y los resultados son impresionantes.

Análisis a IMEI Colombia | La primera página que analizamos fue https://www.imeicolombia.com.co/, donde se puede consultar información de los 3,46 millones de celulares que han sido bloqueados por hurto o extravío en el país. El resultado: implementación de un certificado de seguridad en la página web y la publicación de una descripción clara del portal, del Aviso Legal y de las Políticas de Protección de Datos de las empresas que reportan para la construcción de esta base de datos.

Unidad de víctimas | La segunda página que revisamos fue https://www.unidadvictimas.gov.co, donde se maneja la información para la atención, asistencia y reparación integral de más de 8,5 millones de víctimas del conflicto armado interno en Colombia. El resultado, la implementación del protocolo seguro https, para algunos servicios, aplicaciones y la página web de la Unidad; además se generaron las políticas y el aviso de privacidad para la página web de la institución y se implementó un control de acceso para minimizar el riesgo de fuga de información de un reporte con información sensible.

Nuestro tercer reporte está en proceso y esperamos dar más información sobre sus efectos una vez tengamos el plan de mejora que la entidad está construyendo en este momento.

2.  El acompañamiento a organizaciones de la sociedad civil colombiana para la sensibilización y el mejoramiento de su seguridad digital.

Hasta la fecha hemos trabajado con organizaciones en áreas tan disímiles como la defensa del consumidor, derechos de la población LGBTI, ambientalistas, organizaciones de mujeres, organizaciones de víctimas y desplazados, grupos de periodistas y activistas impartiendo talleres básicos de seguridad digital. Gracias al apoyo de Open Society tuvimos la oportunidad de desarrollar auditorias de seguridad a siete organizaciones en el país. Con los resultados de este proceso esperamos poder hacer recomendaciones ajustadas y generar algunas guías de mejores prácticas en un futuro cercano. Para este año, gracias a una nuevo proyecto apoyado por Internews podremos trabajar con otras dos organizaciones más y generar un módulo para formar a nuevos auditores.

3.  Proveer evidencia para la incidencia en políticas públicas que hace Fundación Karisma.

Una parte fundamental del día a día en Karisma es hacer comentarios y análisis a políticas y proyectos del Estado y crear redes con otras organizaciones y comunidades, con las que Karisma colabora para hacer incidencia de forma más efectiva. 

El laboratorio ha permitido fortalecer esa capacidad de análisis técnico para generar comentarios a varios proyectos: el código de policía, la estrategia contra el hurto de celulares, el decreto de los Servicios Ciudadanos Digitales, la seguridad del portal del e-censo del DANE, el modelo de gestión de riesgos de seguridad digital del gobierno nacional, entre otros, y nuestra más reciente colaboración, una propuesta de protocolo de auditoría para el software de escrutinio de las elecciones de Colombia en 2018, un proyecto en colaboración con la MOE.

¿Quién nos ha apoyado para lograr esto?

Todo esto no hubiera sido posible sin una beca otorgada por el OTF a Karisma que cubrió durante un año el pago de un experto en seguridad digital y privacidad y dotó al K+LAB de equipos. Access Now que a través de otra beca ha financiado parte de la coordinación y el tiempo dedicado a esta iniciativa de la fundación, Open Society nos dió una beca para desarrollar un proyecto de sensibilización, capacitación y apoyo a 6 organizaciones de la sociedad civil que han confiado en Karisma para el proceso. Y, recientemente, la Misión de Observación Electoral (MOE) con quien firmamos un acuerdo de colaboración para analizar los mecanismos de transparencia asociados a la inclusión de Tecnologías para la Información y las Comunicaciones (TIC) en el proceso electoral.

Parte del trabajo que hacemos desde el laboratorio es compartir los temas que tratamos, por eso, los invitamos a leer los siguientes artículos elaborados a partir de nuestras investigaciones.

“Plataformas inseguras, el caso de imeicolombia.co.co”

“Análisis de imeicolombia.com.co, cronología de un dialogo con el gobierno”

“Análisis confirma relación de Nation Builder, empresa que ayudo a Trump a llegar a la presidencia, con dos campañas presidenciales en Colombia”

Para recuperar la confianza en el sistema electoral

La importancia de reportar fallos en sistemas informáticos del Estado

Por: Carolina Botero Para leer la publicación original de este artículo de opinión haga clic aquí El 15 de enero pasado La Silla Vacía publicó un artículo en el que hablaba de una vulnerabilidad en el sitio web de Cancillería que exponía más de 500.000 visas de extranjeros que las han solicitado y obtenido en…

Reporte de problema de seguridad en la página de Migración Colombia (Noviembre de 2020)

Les compartimos este informe sobre el análisis realizado al sitio web de Migración Colombia en donde encontramos que se exponían más de 800.000 registros de personas con datos personales y más de 4000 documentos concernientes a diligencias hechas en esta institución.

7 consejos para reducir nuestra huella digital en Navidad, la época de hiperconsumo

Lo sabemos, la necesidad de remplazar un equipo (computador, tableta, teléfono inteligente) se debe en gran parte a lo que se llama la “obsolescencia programada”, ya sea de los materiales, el software o hasta del diseño. ¿Cómo prolongar al máximo la vida de un equipo? La primera idea es sencilla: mejor reparar que reemplazar. 

Intercambio de SIM o SIM Swapping

El uso del teléfono celular para recibir claves y pines de autenticación para ingresar a las redes sociales, correos electrónicos y plataformas financieras es una práctica fácil de adoptar que se ha venido popularizando entre las personas usuarias de diferentes servicios online. El problema es que los criminales han encontrado la oportunidad de aprovecharlo para ejecutar diferentes estafas y fraudes basados en la suplantación de identidad.

CoronApp en Android o en iOS ¿cuál de las dos hace menos mal la tarea de proteger la privacidad de las personas?

Según este último ejercicio de veeduría realizado por el K+LAB, los estándares de seguridad, privacidad e información de Apple son más altos que los de Android. Aunque esta compañía utiliza un modelo muy cerrado que dificulta los análisis técnicos profundos, es es la opción más amigable con la seguridad y la privacidad de las personas.