K+Lab

2018-03-13

Somos el primer laboratorio de seguridad digital y privacidad en Colombia pensado desde y para sociedad civil. Realizamos análisis técnicos para apoyar el trabajo de incidencia de nuestra Fundación, alertar sobre las amenazas de seguridad provenientes del mundo digital y capacitar a periodistas, personas defensoras de derechos humanos y que están ejerciendo liderazgos sociales en los territorios, las organizaciones que los agrupan, y entidades con las que se relacionan.

Acá encontrarán los análisis que hemos realizado, las historias de Karisma asociadas con el trabajo del laboratorio, los comentarios a políticas públicas y los resultados de estos dos años de pensar que es posible construir estas iniciativas, que fortalecen la seguridad digital y la privacidad de todos.

¿Qué hacemos y cómo lo hacemos?

KLAB ha tenidos tres frentes de trabajo hasta el momento:

1. Analizar, de forma no intrusiva, la seguridad y privacidad de algunas páginas web del Estado.

Tras hacer un informe de nuestros hallazgos, lo más complejo ha sido buscar el canal para que esos reportes surtan efecto, y se llegue a realizar cambios efectivos que redunden en una mejor seguridad y privacidad de millones de datos. En esto tenemos presente la idea de corresponsabilidad y hemos construido un modelo incipiente de reporte de vulnerabilidades y seguimiento al plan de mejoras que ha contado hasta ahora con el apoyo del MinTIC.

Vamos por el tercer ejercicio de este tipo y los resultados son impresionantes.

Análisis a IMEI Colombia | La primera página que analizamos fue https://www.imeicolombia.com.co/, donde se puede consultar información de los 3,46 millones de celulares que han sido bloqueados por hurto o extravío en el país. El resultado: implementación de un certificado de seguridad en la página web y la publicación de una descripción clara del portal, del Aviso Legal y de las Políticas de Protección de Datos de las empresas que reportan para la construcción de esta base de datos.

Unidad de víctimas | La segunda página que revisamos fue https://www.unidadvictimas.gov.co, donde se maneja la información para la atención, asistencia y reparación integral de más de 8,5 millones de víctimas del conflicto armado interno en Colombia. El resultado, la implementación del protocolo seguro https, para algunos servicios, aplicaciones y la página web de la Unidad; además se generaron las políticas y el aviso de privacidad para la página web de la institución y se implementó un control de acceso para minimizar el riesgo de fuga de información de un reporte con información sensible.

Nuestro tercer reporte está en proceso y esperamos dar más información sobre sus efectos una vez tengamos el plan de mejora que la entidad está construyendo en este momento.

2.  El acompañamiento a organizaciones de la sociedad civil colombiana para la sensibilización y el mejoramiento de su seguridad digital.

Hasta la fecha hemos trabajado con organizaciones en áreas tan disímiles como la defensa del consumidor, derechos de la población LGBTI, ambientalistas, organizaciones de mujeres, organizaciones de víctimas y desplazados, grupos de periodistas y activistas impartiendo talleres básicos de seguridad digital. Gracias al apoyo de Open Society tuvimos la oportunidad de desarrollar auditorias de seguridad a siete organizaciones en el país. Con los resultados de este proceso esperamos poder hacer recomendaciones ajustadas y generar algunas guías de mejores prácticas en un futuro cercano. Para este año, gracias a una nuevo proyecto apoyado por Internews podremos trabajar con otras dos organizaciones más y generar un módulo para formar a nuevos auditores.

3.  Proveer evidencia para la incidencia en políticas públicas que hace Fundación Karisma.

Una parte fundamental del día a día en Karisma es hacer comentarios y análisis a políticas y proyectos del Estado y crear redes con otras organizaciones y comunidades, con las que Karisma colabora para hacer incidencia de forma más efectiva. 

El laboratorio ha permitido fortalecer esa capacidad de análisis técnico para generar comentarios a varios proyectos: el código de policía, la estrategia contra el hurto de celulares, el decreto de los Servicios Ciudadanos Digitales, la seguridad del portal del e-censo del DANE, el modelo de gestión de riesgos de seguridad digital del gobierno nacional, entre otros, y nuestra más reciente colaboración, una propuesta de protocolo de auditoría para el software de escrutinio de las elecciones de Colombia en 2018, un proyecto en colaboración con la MOE.

¿Quién nos ha apoyado para lograr esto?

Todo esto no hubiera sido posible sin una beca otorgada por el OTF a Karisma que cubrió durante un año el pago de un experto en seguridad digital y privacidad y dotó al K+LAB de equipos. Access Now que a través de otra beca ha financiado parte de la coordinación y el tiempo dedicado a esta iniciativa de la fundación, Open Society nos dió una beca para desarrollar un proyecto de sensibilización, capacitación y apoyo a 6 organizaciones de la sociedad civil que han confiado en Karisma para el proceso. Y, recientemente, la Misión de Observación Electoral (MOE) con quien firmamos un acuerdo de colaboración para analizar los mecanismos de transparencia asociados a la inclusión de Tecnologías para la Información y las Comunicaciones (TIC) en el proceso electoral.

Parte del trabajo que hacemos desde el laboratorio es compartir los temas que tratamos, por eso, los invitamos a leer los siguientes artículos elaborados a partir de nuestras investigaciones.

“Plataformas inseguras, el caso de imeicolombia.co.co”

“Análisis de imeicolombia.com.co, cronología de un dialogo con el gobierno”

“Análisis confirma relación de Nation Builder, empresa que ayudo a Trump a llegar a la presidencia, con dos campañas presidenciales en Colombia”

Para recuperar la confianza en el sistema electoral

[Conversatorio] Hoy: Impactos y límites de CoronApp Colombia en la salud pública y en los contextos socioculturales, políticos y económicos.

El despliegue de tecnologías para contener el COVID 19 no solo compromete y vulnera la privacidad de las personas. Muchos derechos más se ven amenazados por su experimentación y la falta de transparencia.

CoronApp: muchos datos, ¿pocos beneficios?

Por: Índice coronavirus y derechos digitales Colombia Clic aquí para leer la entrada original Mientras que la aplicación recoge datos de una forma que muchas voces califican como riesgosa y abusiva, no es claro qué busca el gobierno con ella ni qué rol juega en la estrategia de contención del coronavirus. El 7 de marzo…

CoronApp Colombia será amigable con la privacidad… ¿de verdad?

Por Carolina Botero Clic aquí para leer la entrada original Colombia decidió usar la solución de Google y Apple para su CoronApp Colombia. Esta decisión cambia un protocolo centralizado por uno descentralizado para el rastreo digital de contacto. ¿Entiende el Gobierno que esta decisión le impone un diseño y arquitectura diferentes a los que desarrollaba?…

Aplicaciones de rastreo digital de contactos, ¿para qué zapatos si no hay casa? La tecnología al servicio del control de la pandemia

Una publicación de nuestro Laboratorio K+Lab en la que explicamos en qué consiste la vigilancia con Bluetooth, los modelos, los problemas de privacidad y el alcance.

K+Lab y análisis de apps de monitoreo de COVID-19 en FLISOL 2020

El 25 de abril, Andrés Velázquez y Stéphane Labarthe, de nuestro laboratorio de seguridad digital y privacidad K+Lab, dieron una conferencia virtual en el marco del Festival Latinoamericano de Instalación de Software Libre (FLISOL 2020), bajo el título “CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp sin siquiera intentarlo”….