¿Están seguros nuestros datos personales cuando están en manos de un gobierno?

Por: Enrrique Dans

La US Customs and Border Protection de los Estados Unidos anuncia que la base de datos en la que almacenaban la información de un número indeterminado de personas que entraron en el país, incluyendo en muchos casos la matrícula de su vehículo, su fotografía y sus huellas dactilares, ha sido robada de una empresa subcontratada. Exactamente lo que los expertos en seguridad dijeron hace tiempo que ocurriría.

El gobierno del Reino Unido cancela un proyecto para exigir la verificación de edad a páginas para adultos, fundamentalmente debido al potencial problema de seguridad que supondría gestionar una base de datos con las preferencias en esos temas de cada ciudadano.

Este tipo de eventos nos llevan a plantearnos en manos de quién y en qué condiciones está la información de los ciudadanos, ya no cuando contratan con una compañía privada, sino cuando suministran información al gobierno de su país. En los tiempos que vivimos, en los que poco menos que podemos asegurar que todo, absolutamente todo, puede eventualmente ser hackeado, lo mínimo que tenemos que exigir a todo aquel que almacena una base de datos es que la almacene en unas condiciones de cifrado que conviertan esa información en inútil en caso de caer en malas manos. ¿Están las bases de datos de los organismos públicos almacenadas en esas condiciones? ¿Están las administraciones públicas al mismo nivel que las compañías privadas punteras en ese sentido?

El escenario en este sentido se mueve a gran velocidad: ¿qué ocurrirá en el momento en que el desarrollo de la computación cuántica convierta en obsoleta e inútil todos los sistemas de criptografía actuales? ¿Qué ocurriría en el mundo si no hubiese forma segura de cifrar ninguna información? Lógicamente, este tipo de cuestiones no suelen surgir de un día para otro, pero ya están en desarrollo distintos sistemas de criptografía post-cuántica, con aproximaciones y algoritmos diferentes. Pero para que esto funcione, es fundamental que todo aquel que custodia datos de terceros, adquiera un compromiso y una responsabilidad clara en todo lo relacionado con su seguridad, y esta cultura, que se pretende imponer en compañías privadas a base de sanciones y por la amenaza de pérdida de la confianza de los usuarios, no funciona de una manera tan clara cuando quien almacena nuestra información es un organismo público.

La cuestión es mucho más grave si tenemos en cuenta que en la mayoría de los casos, podemos elegir si queremos proporcionar nuestra información a una compañía privada, pero estamos legalmente obligados a dársela a un organismo gubernamental, como es el caso cuando entramos en un país, cuando solicitamos una licencia para cualquier actividad o cuando pagamos impuestos. El reciente robo de la información de la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos es especialmente grave, porque una buena parte de los datos que custodiaba eran información biométrica, esa que nos resulta imposible o extremadamente difícil cambiar.

¿En qué condiciones se almacena toda esa información en manos de instituciones públicas? ¿Están las auditorías de seguridad de los organismos públicos al mismo nivel que las de las compañías privadas punteras en este sentido, o sigue existiendo una cultura similar a la que había cuando esa información se almacenaba en ficheros físicos en papel? ¿Es posible minimizar el impacto de posibles robos de información?