Seguridad de la información

LA OTRA FIRMA ELECTRÓNICA

La redacción de la vigente Ley de firma electrónica tuvo bastante cuidado de no centrarse en exclusiva en la firma de doble clave o asimétrica,  por lo que puede incluir en su regulación diferentes tipos de tecnología.

El Artículo 3,1  de la Ley establece que “La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.”

Cosa distinta es el diferente nivel de privilegios probatorios o procesales que conlleva utilizar los diferentes tipos de firma electrónica que se recogen en la Ley y habrá que instar las modificaciones legales que sean necesarias para dar cabida a la realidad tecnológica que se acabe imponiendo.

Lo cierto es que la firma electrónica de doble clave no se ha implantado suficientemente en los países de nuestro entorno aunque nadie dude de su fortaleza criptográfica. El tráfico mercantil requiere además usabilidad y todavia faltan decisiones, sobre todo políticas, que permitan hacer accesible su uso a los ciudadanos.

Lo cierto es que la actual situación de desarrollo tecnológico nos permite afirmar con carácter general que “Es posible diseñar sistemas de reconocimiento biométrico de personas basados en la modalidad dinámica de la firma manuscrita que proporcionen un rendimiento competitivo en escenarios de aplicación práctica”. Así se expresa en su tesis doctoral el profesor de la Universidad de Valladolid D. Juan Manuel Pascual Gaspar, que ha desarrollado diferentes trabajos sobre firma manuscrita dinámica para el reconocimiento biométrico de personas.

La firma manuscrita y que luego se digitaliza permite distinguir dos modalidades de firma: la estática y la dinámica.

  • Estática: Esta modalidad corresponde a la digitalización de una firma manuscrita a partir de una muestra obtenida en papel.
  • Dinámica: Este tipo de firma es capturada usando dispositivos especiales con capacidad de registrar la evolución temporal de varias señales generadas por el lápiz al firmar. Además de las coordenadas posicionales, algunos de estos dispositivos proporcionan características adicionales como por ejemplo, la presión ejercida sobre el plano de escritura y los ángulos formados entre el lápiz y dicha superficie de escritura. Esta última modalidad es la más viable para ser aplicada en la práctica al proporcionar un nivel de seguridad y de usabilidad aptos para el tráfico mercantil.

Para ello debemos utilizar software y dispositivos que permitan poder capturar los datos de presión, grosor y trazo. Tal y como figura en Wikipedia (Wacom) existe una tecnología, patentada, de lápiz digital sin cable, sin pilas, sensible a la variación de presión y que recoge a alta frecuencia las posiciones de la punta del lápiz respecto a la superficie de la tableta con mucha predictibilidad.

Estas tecnologías se han incorporado a los grandes fabricantes de diferente forma que incorporan un lápiz resistivo y un software adecuado con suficientes puntos de presión por pulgada y que permiten reproducir (y auditar) de forma fiable una firma manuscrita.

El reconocimiento biométrico es una de las ciencias que está encontrando mayor desarrollo ya que como vemos permite ofrecer soluciones que facilitan enormemente diferentes tipos de transacciones.

Como afirma el Dr. Pascual, el término más general es el de Reconocimiento biométrico y  podemos distinguir dos tipos de tareas con fines distintos: Identificación y Verificación Biométrica que podemos diferenciar en la siguiente forma:

  • La Identificación Biométrica es el proceso por el que se trata de determinar quién es un individuo, comparando sus características biométricas con las almacenadas en una base de datos. Se trata de una comparación de uno a muchos (1:N).
  • La Verificación Biométrica busca comprobar si un sujeto que intenta acceder al sistema es quien dice ser. Para ello, el sistema comparará los datos biométricos del usuario con los almacenados previamente para ese usuario, tras lo cual decidirá si le permite o deniega el acceso. Este tipo de tarea es una comparación de tipo uno a uno (1:1)

La necesidad jurídica de vincular a una persona con un conjunto de unos y ceros que son el resultado de la digitalización de datos biométricos obtenidos a través de esta requieren de forma imprescindible poder evaluar la eficacia de un sistema biométrico  para lo cual resulta  necesaria una medida que determine el rendimiento en cada una de las tareas anteriores. Debemos seguir pues con interés la evolución de esta tecnología que va a ir paulatinamente conquistando espacio en la gestión administrativa de todo tipo de actividades, desde pequeños comercios a las grandes superficies.

INTELIGENCIA COLECTIVA: LA CARA AMABLE DEL “BIG DATA”

800 años después de que el Rey John  estableciera su Carta Magna para Irlanda, se ha elaborado en este país una propuesta para crear una “Carta Magna de los datos” para proteger la privacidad individual y apoyar un tratamiento ético de los datos en toda la Unión Europea que será entregada en el marco de un gran encuentro de funcionarios de la Comisión Europea, diputados, representantes de la industria y las corporaciones multinacionales de sectores, incluyendo las TIC, los servicios financieros, la salud y la aviación.

El documento está diseñado para contribuir a la discusión política alrededor de la ética de datos, la propiedad y su uso en Europa. La UE se encuentra actualmente implicada en el desarrollo de su política de protección de datos.

Según esta información aparecida en Insight Centro para el análisis de datos el Ministro Irlandés de Asuntos Europeos y de Protección de Datos, Dara Murphy, TD ha llamado a la privacidad individual y al empoderamiento ciudadano a ser  el centro de la investigación en el análisis de datos.

Irlanda está emergiendo como un líder global en Big Data desde el establecimiento de Insight Centro para Data Analytics, que reúne a 350 investigadores de datos en el mayor centro de investigación  financiado hasta la fecha.

El análisis masivo de datos, más conocido como Big Data, suele presentarse ante la ciudadanía como un tipo de tecnología enormemente intrusiva que acapara tal cantidad de datos que hace que algunas empresas puedan saber más de nosotros que nosotros mismos.

Todo eso es cierto. Pero también lo es que analizar ingentes cantidades de datos permite predecir, desde catástrofes naturales a conocer las reacciones moleculares que permiten generar nuevos medicamentos, que podrían llegar a salvar millones de vidas. De esto lo único que podemos deducir es que el problema no es del “Big Data” sino de lo que quienes,  carentes de cualquier escrúpulo, puedan llegar a hacer con él.

MI NÚMERO DE MÓVIL COMO DOMICILIO VIRTUAL

De entrada “domicilio” y “virtual” parecen dos conceptos incompatibles si lo vemos desde el punto de vista de la RAE, es decir:

  1. a) como morada fija y permanente, o
  2. b) como lugar en que legalmente se considera establecido alguien para el cumplimiento de sus obligaciones y el ejercicio de sus derechos.

En el primero de los casos nuestro yo físico necesita un espacio físico,  y en el segundo, desde luego lo virtual no es un lugar, será una magnitud, quizá un espacio (algún día estaría bien pensar en eso), pero no un lugar físico, “Que tiene existencia aparente y no real” dice también el diccionario para definir “virtual”.

Si lo vemos desde el punto de vista del Código Civil, domicilio es un  lugar y concretamente el del ejercicio de los derechos y el cumplimiento de las obligaciones civiles.

Según Castán Tobeñas, domicilio proviene de “domun colere” y tiene como elementos el de residencia efectiva y habitual y el de asiento o centro de intereses. Eso no es nuevo porque Diocleciano ya decía “ubi quis larem rerumque ac fortunarum suarum summam constituit” -donde se ha hecho hogar y fortuna- (traduzco por si hay alguien que no habla en latín todos los días (!))

Sin embargo, si lo vemos desde el punto de vista de la Ley de Enjuiciamiento Civil, a la que se remite también el Código Civil en su artículo 40, aunque no se define lo que es el domicilio, un recorrido a través de la norma nos deja claro que se trata de un concepto utilitarista destinado a saber donde puede localizarse a las partes o a otras personas que intervienen en el proceso tales como testigos, peritos, etc.

Por tanto vemos que la expresión “domicilio virtual” no puede referirse a un domicilio electrónico,  sino más bien a uno físico al que pueda dársele una cierta equivalencia, lo que lo alejaría de las pretensiones del post.

Por eso a estos efectos hablaremos mejor de domicilio digital o electrónico para ajustarnos más al nuevo ámbito electrónico donde desarrollamos nuestra dimensión digital y compartimos ámbitos cada vez más vitales.

EL DNI 3.0. Y LOS AEREOPUERTOS SIN AVIONES

Cuando oigo hablar del nuevo DNI electrónico inmediatamente me viene a la cabeza un conocido chiste que no me resisto a repetir ahora: Una persona va perdida por un camino y se encuentra con alguien que estaba por allí,  por lo que le dice: “Me he perdido, me he comprometido a reunirme con otra persona y no se si sabré llegar hasta ella, ¿me puede decir dónde estoy?”  A lo que su interlocutor le responde: “Está Vd. a 42º08m Norte, a 0º y 28m Oeste y a una altura de 488 metros sobre el nivel del mar.”

El caminante sorprendido le responde: “Muchas gracias, es Vd. Ingeniero ¿no es cierto?” Su interlocutor le responde: Pues sí, ¿Cómo lo ha sabido? a lo que el caminante le contesta: “Pues porque me ha dado una información técnicamente exacta y muy completa, pero sigo sin saber realmente donde estoy y sin poder llegar a mi cita”.

Para ser honestos con los Ingenieros -a los que admiramos-  el chiste continua diciéndole el Ingeniero a su interlocutor “Y Vd. es político, ¿no es cierto?” , “Pues sí, ¿como lo ha sabido? le pregunta el caminante, “pues porque va Vd. perdido por un camino, se ha comprometido con algo que no podrá cumplir y por alguna extraña razón, ahora parece que sea yo quien tiene la culpa”.

El nuevo DNIe 3.0 cuya implantación se extenderá progresivamente en el territorio español, recientemente presentado por el ministro del Interior, incorpora un chip certificado como dispositivo seguro, con mayor capacidad y velocidad, es técnicamente avanzado ya que integra nuevas medidas de seguridad y un chip de altas prestaciones de mayor capacidad y velocidad que además permite la transmisión de datos vía NFC (Transmisión de Datos por Contacto) y radiofrecuencia.

Sin embargo, adolece de los mismos problemas que sus versiones anteriores, también tecnológicamente muy robustas, y es que nadie encuentra motivos para utilizar su faceta electrónica.

CONSEJOS PARA LA GESTIÓN DE COPIAS DE SEGURIDAD.

Aunque esto es una de las cosas que más cuida casi todo el mundo, muchas veces vemos que no se tienen demasiado en cuenta algunas cosas, como las que indicamos:

1.- Realizar copias frecuentemente y siempre que se realice un trabajo crítico o de difícil recuperación. La razón no es solo cumplir la Ley sino evitar desastres en nuestra organización o incluso en nuestro domicilio.

La copia se ha de hacer de todos nuestros dispositivos, los cuales cada vez son más y más variados.

2.- Conservar periódicamente un juego de copias en un lugar diferente al que se encuentran nuestros servidores de datos. Si se produce una inundación, un incendio o un desastre natural, la suerte de las copias será la misma que la de los servidores y haberlas realizado no servirá para nada.

3.- Cuando se trasladen las copias desde el lugar de copiado al de otro destino, la copia debe estar cifrada (protegida con contraseñas suficientemente robustas). Si se pierde, se olvida en algún lugar o somos victimas de robos, no perderemos el dispositivo solamente, sino que toda la información contenida estará al alcance de quien se haga con nuestra copia.

4.- Periódicamente hay que comprobar que las copias de seguridad se están haciendo correctamente. Generalmente la copia en Memorias USB no da problemas, pero no esta de más comprobar que todo esta correcto. Además cuando se trata de archivos en los formatos más comunes, la comprobación apenas lleva tiempo.

La tranquilidad que nos dará saber que todo esta en orden compensará sobradamente cualquier esfuerzo que hayamos realizado.