Seguridad de la información

INTELIGENCIA ARTIFICIAL vs. INTELIGENCIA COLECTIVA

La progresiva implantación de sistemas de toma decisiones basados en inteligencia artificial puede alterar de forma significativa el funcionamiento de los sistemas sociales en los que se adopte.

Más allá de las consecuencias económicas que el hecho indudablemente supone, hay que tener en cuenta que en los sistemas sociales de nuestro entorno, el ejercicio del poder, entendido como el  mecanismo que condiciona los comportamientos sociales, se logra a través de la regulación. Esta regulación no presenta un carácter monolítico sino que en realidad es la conjunción de cuatro factores que constitucionalistas como LESSIG identifican como las normas jurídicas, las normas sociales, el mercado y la arquitectura, entendida esta última, como aquellos elementos físicos que condicionan las acciones humanas (una cerradura, una contraseña, etc.).

Pues bien, una sociedad dependiente de sistemas de inteligencia artificial supone primar el factor arquitectura, es decir el código software que da funcionamiento a los sistemas de inteligencia artificial, condicionando fuertemente el funcionamiento de los demás factores.

Esto supone que las normas sociales y el mercado se ponen a disposición del código informático, y que una nueva función que las normas jurídicas han de asumir es la protección de esta realidad que tenderá así a perpetuarse.

LA PRIVACIDAD COMO RIESGO LABORAL

Los aspectos tecnológicos requieren cada vez más atención a la hora de proteger los derechos de los trabajadores entre los que se encuentra sin ninguna duda el de su privacidad. Esto supone desde el punto de vista de la prevención de riesgos laborales la ampliación de factores de riesgo que pueden generar daños en la vida personal y familiar de los trabajadores con motivo de la prestación laboral.

Ciertamente las amenazas a la privacidad no se asocian fácilmente con la salud laboral, pero como veremos éstas, aunque son un riesgo autónomo e independiente, guardan una cierta conexión con otro tipo de amenazas a la libertad personal como son los casos de acoso laboral y otras prácticas nada deseables en el entorno laboral.

El artículo 4,2 de la Ley de Prevención de Riesgos Laborales define “riesgo laboral” como “la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo.”

Este riesgo no necesariamente tiene que resultar físico, sino que puede ser psicológico o atentar contra un derecho fundamental del trabajador que menoscabe su integridad moral.

Aunque no toda invasión de la privacidad de los trabajadores podrá considerarse un riesgo laboral en el sentido de esta disciplina jurídica, no podemos olvidar que ese factor de riesgo evoluciona a la par que evoluciona nuestra sociedad y su entorno tecnológico. Situaciones que hace 10 o 15 años difícilmente podían generar riesgos, hoy suponen posibles amenazas que no hay que descartar.

Ya  es  sabido que los reconocimientos médicos requieren una especial atención si se desea respetar al máximo los datos de salud de los trabajadores, pero todavía hoy se mantienen en cierta forma ocultos algunos otros riesgos para la privacidad que surgen del  desempeño del trabajo en régimen de dependencia.

Una muestra de ello sería la sobreexposición de la identidad de un trabajador cuyo nombre, unas veces aparece en tarjetas de empresa, en rótulos informativos, o cuya imagen etiquetada y asociada a su trabajo aparece en sitios web corporativos,  o cuando otras veces acaba en poder de terceras empresas en virtud de los cada vez más frecuentes procesos de descentralización productiva.

BLOCKCHAIN, SMART CONTRACTS Y EL NUEVO PAPEL DE LOS OPERADORES JURÍDICOS

Los contratos inteligentes son documentos electrónicos susceptibles de ser programados y firmados electrónicamente de forma tal que son capaces,  no solamente de identificar de forma segura y fehaciente a los firmantes del mismo,  sino de ejecutar los términos económicos allí fijados automáticamente,  especialmente cuando se vinculan a transacciones dentro de plataformas descentralizadas  como las que se utilizan por Bitcoin -Blockchain-,  es decir bases de datos distribuidas que mantienen unos registros crecientes securizados contra la falsificación mediante criptografía.

Las bases de datos distribuidas se caracterizan por almacenar sus datos  en múltiples dispositivos que pueden estar situados en diferentes lugares lo que hace que sean difíciles de controlar por una sola persona al estar la información replicada y duplicada en un gran número de nodos, lo que dificulta la manipulación.

BIG DATA Y FUNCIÓN SOCIAL DE LA PRIVACIDAD

En los últimos años estamos viviendo una realidad caracterizada por el uso masivo de redes sociales y en la que una abrumadora mayoría de ciudadanos aporta información personal que afecta a las cuestiones más diversas de su vida.

Toda esa información genera un inmenso volumen de datos que es susceptible de ser analizado y precisamente la mayor capacidad de procesamiento informático disponible nos da la posibilidad, con un software específico,  de aplicar técnicas de análisis social, que unidas a la capacidad de interrelacionar todos estos datos y metadatos, permite generar conocimiento e incluso realizar auténticas predicciones que van mucho más allá de las que ya se usaban para cuestiones como la meteorología y que, acertadamente utilizadas,  pueden servir para erradicar enfermedades o salvar vidas.

Una de las aplicaciones más extendidas es Apache Hadoop  que soporta aplicaciones distribuidas bajo una licencia libre,  y aunque los mayores fabricantes de software (IBM, Oracle, etc.) cuentan con sus propias aplicaciones,  Hadoop está siendo construido y usado por una comunidad global de contribuyentes,  mediante el lenguaje de programación Java,  tal como puede verse en la voz “Hadoop” y que podemos consultar en Wikipedia.

Los mayores volúmenes de información tienen escaso valor si no se puede extraer de ellos  información relevante en tiempo real para tomar decisiones documentadas, o iniciar acciones y modificar resultados. La mayoría de las organizaciones no pueden aprovechar esa información porque la mayor parte de sus datos se componen de formatos no estructurados, como texto o imágenes, haciéndolos inaccesibles para las tecnologías convencionales.

Es por ello que se está generando una auténtica industria alrededor de este fenómeno conocido ya por todos como “Big Data”, el cual por otra parte puede condicionar nuestra  propia libertad si se utilizan indebidamente o en favor de solo unos pocos, o lo que es mucho peor, si queda en manos de solo unos pocos.

Una de las cuestiones que está alcanzando una mayor relevancia es la evolución del concepto de privacidad.

Se trata de un concepto que ha venido variando a lo largo del tiempo. La propia voz “privacidad” no figuraba en nuestro Diccionario de la Real Academia de la Lengua Española hasta hace no demasiados años, y el avance de las TIC puede configurar un nuevo concepto de privacidad que deriva directamente del concepto de dimensión digital del ser humano que ya hemos definido en ocasiones anteriores.

LA OTRA FIRMA ELECTRÓNICA

La redacción de la vigente Ley de firma electrónica tuvo bastante cuidado de no centrarse en exclusiva en la firma de doble clave o asimétrica,  por lo que puede incluir en su regulación diferentes tipos de tecnología.

El Artículo 3,1  de la Ley establece que “La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.”

Cosa distinta es el diferente nivel de privilegios probatorios o procesales que conlleva utilizar los diferentes tipos de firma electrónica que se recogen en la Ley y habrá que instar las modificaciones legales que sean necesarias para dar cabida a la realidad tecnológica que se acabe imponiendo.

Lo cierto es que la firma electrónica de doble clave no se ha implantado suficientemente en los países de nuestro entorno aunque nadie dude de su fortaleza criptográfica. El tráfico mercantil requiere además usabilidad y todavia faltan decisiones, sobre todo políticas, que permitan hacer accesible su uso a los ciudadanos.

Lo cierto es que la actual situación de desarrollo tecnológico nos permite afirmar con carácter general que “Es posible diseñar sistemas de reconocimiento biométrico de personas basados en la modalidad dinámica de la firma manuscrita que proporcionen un rendimiento competitivo en escenarios de aplicación práctica”. Así se expresa en su tesis doctoral el profesor de la Universidad de Valladolid D. Juan Manuel Pascual Gaspar, que ha desarrollado diferentes trabajos sobre firma manuscrita dinámica para el reconocimiento biométrico de personas.

La firma manuscrita y que luego se digitaliza permite distinguir dos modalidades de firma: la estática y la dinámica.

  • Estática: Esta modalidad corresponde a la digitalización de una firma manuscrita a partir de una muestra obtenida en papel.
  • Dinámica: Este tipo de firma es capturada usando dispositivos especiales con capacidad de registrar la evolución temporal de varias señales generadas por el lápiz al firmar. Además de las coordenadas posicionales, algunos de estos dispositivos proporcionan características adicionales como por ejemplo, la presión ejercida sobre el plano de escritura y los ángulos formados entre el lápiz y dicha superficie de escritura. Esta última modalidad es la más viable para ser aplicada en la práctica al proporcionar un nivel de seguridad y de usabilidad aptos para el tráfico mercantil.

Para ello debemos utilizar software y dispositivos que permitan poder capturar los datos de presión, grosor y trazo. Tal y como figura en Wikipedia (Wacom) existe una tecnología, patentada, de lápiz digital sin cable, sin pilas, sensible a la variación de presión y que recoge a alta frecuencia las posiciones de la punta del lápiz respecto a la superficie de la tableta con mucha predictibilidad.

Estas tecnologías se han incorporado a los grandes fabricantes de diferente forma que incorporan un lápiz resistivo y un software adecuado con suficientes puntos de presión por pulgada y que permiten reproducir (y auditar) de forma fiable una firma manuscrita.

El reconocimiento biométrico es una de las ciencias que está encontrando mayor desarrollo ya que como vemos permite ofrecer soluciones que facilitan enormemente diferentes tipos de transacciones.

Como afirma el Dr. Pascual, el término más general es el de Reconocimiento biométrico y  podemos distinguir dos tipos de tareas con fines distintos: Identificación y Verificación Biométrica que podemos diferenciar en la siguiente forma:

  • La Identificación Biométrica es el proceso por el que se trata de determinar quién es un individuo, comparando sus características biométricas con las almacenadas en una base de datos. Se trata de una comparación de uno a muchos (1:N).
  • La Verificación Biométrica busca comprobar si un sujeto que intenta acceder al sistema es quien dice ser. Para ello, el sistema comparará los datos biométricos del usuario con los almacenados previamente para ese usuario, tras lo cual decidirá si le permite o deniega el acceso. Este tipo de tarea es una comparación de tipo uno a uno (1:1)

La necesidad jurídica de vincular a una persona con un conjunto de unos y ceros que son el resultado de la digitalización de datos biométricos obtenidos a través de esta requieren de forma imprescindible poder evaluar la eficacia de un sistema biométrico  para lo cual resulta  necesaria una medida que determine el rendimiento en cada una de las tareas anteriores. Debemos seguir pues con interés la evolución de esta tecnología que va a ir paulatinamente conquistando espacio en la gestión administrativa de todo tipo de actividades, desde pequeños comercios a las grandes superficies.