K+Lab

2018-03-13

Somos el primer laboratorio de seguridad digital y privacidad en Colombia pensado desde y para sociedad civil. Realizamos análisis técnicos para apoyar el trabajo de incidencia de nuestra Fundación, alertar sobre las amenazas de seguridad provenientes del mundo digital y capacitar a periodistas, personas defensoras de derechos humanos y que están ejerciendo liderazgos sociales en los territorios, las organizaciones que los agrupan, y entidades con las que se relacionan.

Acá encontrarán los análisis que hemos realizado, las historias de Karisma asociadas con el trabajo del laboratorio, los comentarios a políticas públicas y los resultados de estos dos años de pensar que es posible construir estas iniciativas, que fortalecen la seguridad digital y la privacidad de todos.

¿Qué hacemos y cómo lo hacemos?

KLAB ha tenidos tres frentes de trabajo hasta el momento:

1. Analizar, de forma no intrusiva, la seguridad y privacidad de algunas páginas web del Estado.

Tras hacer un informe de nuestros hallazgos, lo más complejo ha sido buscar el canal para que esos reportes surtan efecto, y se llegue a realizar cambios efectivos que redunden en una mejor seguridad y privacidad de millones de datos. En esto tenemos presente la idea de corresponsabilidad y hemos construido un modelo incipiente de reporte de vulnerabilidades y seguimiento al plan de mejoras que ha contado hasta ahora con el apoyo del MinTIC.

Vamos por el tercer ejercicio de este tipo y los resultados son impresionantes.

Análisis a IMEI Colombia | La primera página que analizamos fue https://www.imeicolombia.com.co/, donde se puede consultar información de los 3,46 millones de celulares que han sido bloqueados por hurto o extravío en el país. El resultado: implementación de un certificado de seguridad en la página web y la publicación de una descripción clara del portal, del Aviso Legal y de las Políticas de Protección de Datos de las empresas que reportan para la construcción de esta base de datos.

Unidad de víctimas | La segunda página que revisamos fue https://www.unidadvictimas.gov.co, donde se maneja la información para la atención, asistencia y reparación integral de más de 8,5 millones de víctimas del conflicto armado interno en Colombia. El resultado, la implementación del protocolo seguro https, para algunos servicios, aplicaciones y la página web de la Unidad; además se generaron las políticas y el aviso de privacidad para la página web de la institución y se implementó un control de acceso para minimizar el riesgo de fuga de información de un reporte con información sensible.

Nuestro tercer reporte está en proceso y esperamos dar más información sobre sus efectos una vez tengamos el plan de mejora que la entidad está construyendo en este momento.

2.  El acompañamiento a organizaciones de la sociedad civil colombiana para la sensibilización y el mejoramiento de su seguridad digital.

Hasta la fecha hemos trabajado con organizaciones en áreas tan disímiles como la defensa del consumidor, derechos de la población LGBTI, ambientalistas, organizaciones de mujeres, organizaciones de víctimas y desplazados, grupos de periodistas y activistas impartiendo talleres básicos de seguridad digital. Gracias al apoyo de Open Society tuvimos la oportunidad de desarrollar auditorias de seguridad a siete organizaciones en el país. Con los resultados de este proceso esperamos poder hacer recomendaciones ajustadas y generar algunas guías de mejores prácticas en un futuro cercano. Para este año, gracias a una nuevo proyecto apoyado por Internews podremos trabajar con otras dos organizaciones más y generar un módulo para formar a nuevos auditores.

3.  Proveer evidencia para la incidencia en políticas públicas que hace Fundación Karisma.

Una parte fundamental del día a día en Karisma es hacer comentarios y análisis a políticas y proyectos del Estado y crear redes con otras organizaciones y comunidades, con las que Karisma colabora para hacer incidencia de forma más efectiva. 

El laboratorio ha permitido fortalecer esa capacidad de análisis técnico para generar comentarios a varios proyectos: el código de policía, la estrategia contra el hurto de celulares, el decreto de los Servicios Ciudadanos Digitales, la seguridad del portal del e-censo del DANE, el modelo de gestión de riesgos de seguridad digital del gobierno nacional, entre otros, y nuestra más reciente colaboración, una propuesta de protocolo de auditoría para el software de escrutinio de las elecciones de Colombia en 2018, un proyecto en colaboración con la MOE.

¿Quién nos ha apoyado para lograr esto?

Todo esto no hubiera sido posible sin una beca otorgada por el OTF a Karisma que cubrió durante un año el pago de un experto en seguridad digital y privacidad y dotó al K+LAB de equipos. Access Now que a través de otra beca ha financiado parte de la coordinación y el tiempo dedicado a esta iniciativa de la fundación, Open Society nos dió una beca para desarrollar un proyecto de sensibilización, capacitación y apoyo a 6 organizaciones de la sociedad civil que han confiado en Karisma para el proceso. Y, recientemente, la Misión de Observación Electoral (MOE) con quien firmamos un acuerdo de colaboración para analizar los mecanismos de transparencia asociados a la inclusión de Tecnologías para la Información y las Comunicaciones (TIC) en el proceso electoral.

Parte del trabajo que hacemos desde el laboratorio es compartir los temas que tratamos, por eso, los invitamos a leer los siguientes artículos elaborados a partir de nuestras investigaciones.

“Plataformas inseguras, el caso de imeicolombia.co.co”

“Análisis de imeicolombia.com.co, cronología de un dialogo con el gobierno”

“Análisis confirma relación de Nation Builder, empresa que ayudo a Trump a llegar a la presidencia, con dos campañas presidenciales en Colombia”

Para recuperar la confianza en el sistema electoral

CoronApp en Android o en iOS ¿cuál de las dos hace menos mal la tarea de proteger la privacidad de las personas?

Según este último ejercicio de veeduría realizado por el K+LAB, los estándares de seguridad, privacidad e información de Apple son más altos que los de Android. Aunque esta compañía utiliza un modelo muy cerrado que dificulta los análisis técnicos profundos, es es la opción más amigable con la seguridad y la privacidad de las personas.

Permisos de las apps de COVID, ¿Cuándo bajará esta curva?

El K+Lab, Laboratorio de seguridad digital y privacidad de la Fundación Karisma, comparte una mirada retrospectiva y analítica de la evolución de los permisos de varias aplicaciones implementadas por el gobierno nacional y por gobiernos locales para gestionar la epidemia de COVID-19: CoronApp – Colombia, CaliValle Corona, Medellín me Cuida y Gabo (Bogotá cuidadora). .

Bogotá y Antioquia simulan procesos de rastreo digital de contactos ¡con publicidad!

Por Carolina Botero Clic aquí para visitar la entrada original Los gobiernos de Bogotá y Antioquia están rastreando el coronavirus usando datos del negocio de publicidad en línea que producen nuestros celulares inteligentes, esto les permite identificar la forma como se relacionan grupos de personas y les ayuda a predecir la movilidad del virus. Pero,…

Avisos escandalosos: cómo Bogotá y Antioquia están alarmando a la gente sin razón

La Alcaldía de Bogotá y la Gobernación de Antioquia enviaron miles de mensajes a la ciudadanía para informarles que estuvieron expuestos al Covid-19. Lo hicieron usando información que no era suficiente como para decir algo así, obtenida de millones de personas que la entregaron sin saberlo.

Notificaciones de exposición a través de publicidad: ¿WTF?

Este documento describe la manera en la que las autoridades de Bogotá y Antioquia han intentado implementar sistemas de notificación de exposición de contacto con COVID 19 valiéndose de las plataformas de publicidad de Google y Facebook.