Ignacio Trejos Zelaya | TEC y Cenfotec | itrejos@ucenfotec.ac.cr

La palabra castellana ‘seguridad’ tiene varias connotaciones en relación con las tecnologías digitales.  En inglés, se usan dos palabras distintas: ‘security’ y ‘safety’.  Ambas consideran los riesgos y abarcan la protección contra peligros y pérdidas.

Seguridad, con el sentido de ‘security’, trata del peligro originado por la intención maliciosa de provocar daño sobre lo que se protege.  Cuando es ‘safety’, la protección se refiere a los daños que son consecuencia de equivocaciones, errores, accidentes, fallas, u otros sucesos que no son motivados por una intención de causar perjuicios a seres vivientes, o a las propiedades de personas o empresas.

El Diccionario de la lengua española, define ‘privacidad’ como el “ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión”, mientras que en Wikipedia encontramos que la “privacidad puede ser definida como el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse confidencial”.  Algunos usan la palabra ‘intimidad’ como sinónimo de ‘privacidad’.

La Internet, las comunicaciones móviles y la creciente digitalización de los negocios afectan la vida del ciudadano común.  No solamente continúa creciendo el volumen de la información, sino que se profundiza cómo dependen de ella personas y organizaciones.

En seguridad informática es necesario asegurar el acceso a recursos de información cuya integridad y confidencialidad deben ser protegidas.  Es necesario identificar y autenticar a los agentes interesados en el acceso a los datos, para determinar si procede darles autorización de acceder según los ‘derechos’ que tengan sobre los datos protegidos y las políticas aplicables de seguridad de la información.

Personas, familias, organizaciones y gobiernos se encuentran en riesgo de que entidades malintencionadas corrompan o destruyan datos, roben o espíen información, impidan el acceso o dañen los sistemas informáticos.  También es posible que, sin mala intención, personas obtengan acceso no autorizado a fuentes de información o que accidentalmente las corrompan, las arruinen o las hagan inaccesibles.

La seguridad informática, como especialidad Informática, busca proteger la tecnología informática y sus contenidos digitales.  La seguridad informática se ocupa de diseñar normas, procedimientos, métodos, técnicas y tecnologías para conseguir sistemas de información seguros y confiables.

El usuario final y el software (las aplicaciones) son generalmente los eslabones más débiles en materia de seguridad de la información.  Proliferan teléfonos ‘inteligentes’, tabletas y computadoras personales, conectadas a Internet vía redes celulares, alambradas o inalámbricas.  Algunos usan brazaletes que miden sus signos vitales y los conectan a sus teléfonos móviles, que pueden compartir esos datos de maneras no necesariamente conocidas o autorizadas.  Otros parece que no tienen nada que ocultar y comparten alegremente información personal en la Web, ponen en riesgo su identidad personal, cuentan abiertamente historias que pueden ser vergonzosas y lesivas en su futura vida familiar, profesional o empresarial.

En contraste, otras personas prácticamente sellan cualquier acceso a sus dispositivos digitales: consideran que sus datos individuales son críticos, protegen sus transacciones financieras y personales, cuidan sus datos de tarjetas de crédito, salud y cuentas bancarias, procuran mantener su información médica, tributaria y registral protegida ante potenciales abusos.  Los comportamientos dependen de la consciencia y de la tolerancia al riesgo que tengan los diversos individuos.

En varios países democráticos hay una tendencia a considerar las libertades civiles en el mundo digital, entre ellas la privacidad de los datos personales, y defender los derechos de los individuos a conocer y administrar sus datos.  Hoy día no solo es necesario crear software para que sea seguro por diseño sino también considerar la protección de la privacidad como algo intencional en los sistemas que resguardan datos personales y empresariales: privacidad por diseño.

Sin embargo, la seguridad y la privacidad pueden parecer antagónicas.  Algunos gobiernos y corporaciones invaden la privacidad de individuos y grupos, con la justificación de proteger intereses de seguridad nacional o empresarial. En algunos países se ha llegado a invadir la privacidad en aras de la seguridad, por ejemplo: acciones que pretenden prevenir la explotación y el abuso, como el monitoreo del uso de Internet (Web), contra la pornografía infantil, las apuestas ilegales, el lavado de dinero, las redes criminales que atentan contra la seguridad ciudadana, o los gobiernos extranjeros o grupos hostiles locales o multinacionales (que pretenden atacar o socavar la seguridad nacional).

En otros casos se acumulan datos sobre transacciones económicas con el fin de perfilar actores, a efectos de combatir la evasión fiscal y el fraude: invadir la privacidad individual para proteger al público del fraude tributario.

En general, la seguridad tiende a ser valorada como superior en los niveles gubernamentales y corporativos, mientras que la privacidad de los datos domina el interés de individuos y grupos. 

Los gobiernos procuran proteger intereses nacionales, la seguridad de los ciudadanos y preservar el orden, mientras que las corporaciones intentan defender secretos comerciales valiosos e información competitiva propia, al tiempo que evitan a sus clientes la exposición a pérdida, alteración, espionaje o explotación de los datos que resguardan de ellos.

Algunos gobiernos democráticos tienden a considerar como mandato el resguardo de las libertades civiles privadas.  Países o regiones, como Canadá y la Unión Europea, así como corporaciones multinacionales que toman en serio la vigilancia de los datos de individuos, exigen el cumplimiento de normas rigurosas de protección de la privacidad y de la integridad de los datos personales.

Al igual que la seguridad de la información, la privacidad de los datos no debe ser una consideración de último momento al desarrollar sistemas informáticos.  Los siete principios fundamentales que propone la provincia de Ontario (Canadá) son:

1. Ser proactivo, no reactivo. Anticipar y prevenir, más que remediar.
2. Privacidad por omisión: proteger automáticamente al máximo los datos personales.
3. Incorporar la privacidad dentro del diseño. La privacidad se diseña intencionalmente dentro del sistema desde que se comienza a conceptualizarlo.
4. Suma positiva, con funcionalidad completa. Se trata de balancear privacidad y seguridad, no de favorecer una sobre la otra.
5. Seguridad de extremo-a-extremo. La seguridad protege la privacidad a lo largo de todo el ciclo de vida de los datos.
6. Visibilidad y transparencia. Se puede verificar el cumplimiento de los objetivos y compromisos concernientes a la privacidad de los datos.
7. Respeto a la privacidad de los usuarios. El enfoque hacia un diseño consciente y centrado en los usuarios, atendiendo a sus necesidades individuales, es mantenido consistentemente por arquitectos, desarrolladores y operadores.

Otros gobiernos y países han venido desarrollando prescripciones, estándares y guías, como las elaboradas por el National Institute of Standards and Technology (NIST, de Estados Unidos), ‘Guía para proteger la confidencialidad de la información personalmente indentificable’. Otras organizaciones como la Association for Computing Machinery (ACM) y la British Computer Society (BCS) han emitido directrices éticas y técnicas a sus miembros en lo concerniente a la creación de sistemas informáticos que respeten y protejan la privacidad de los datos de los individuos (usuarios, clientes, funcionarios, etc.).

El sector costarricense de Tecnologías de Información y Comunicación debe poner atención al desarrollo de software y servicios basados en TIC que no solamente sean seguros, sino que estén concebidos para asegurar la privacidad de los datos de las personas – desde el diseño y la construcción hasta su operación, mantenimiento y retiro.

Por su novedad, debemos desarrollar las capacidades tecnológicas así como la conciencia ética mediante la educación y la discusión, en academia, gobierno e industria.  Algunas organizaciones ya están dando sus aportes, entre ellas: el Club de Investigación Tecnológica, la Cooperativa Sulá Batsú, CAMTIC, Modus, el Colegio de Profesionales en Informática y Computación,  el Colegio de Abogados, el TEC y la Universidad Cenfotec.

IMPORTANTE: Las opiniones expresadas en este artículo son exclusivamente las de los autores y no necesariamente representan la opinión de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) o sus afiliados.