(Por Rubén Borlenghi, el microsaurio) Llegó el momento de la Reunión Plenaria de cierre. El tema: La Ética de la Industria de la Seguridad en la Era Digital. El orador: Stephen Cobb, Investigador de Seguridad de ESET basado en los Estados Unidos.
Cobb (nacido en Coventry, Reino Unido, pero actualmente ciudadano estadounidense) fue acompañado en el estrado por Jerónimo Varela, COO de ESET Latinoamérica, e inició su presentación con imágenes de diferentes acciones de intercepción de comunicaciones realizadas por investigadores estatales estadounidenses. Apareció también la mención de Snowden, y Cobb señaló simplemente (refiriéndose a las actividades de acopio masivo de información y mensajes electrónicos): no es bueno para la gente, no es bueno para los negocios, no es buena ética.
(Él dijo «it’s not good ethics», y yo me pregunté si hay una «buena» y una «mala» ética. Me habían explicado en la facu que no. Buéh. De eso hace más de 40 años. Temita para los kantianos…)
En cuanto a que fue malo para los negocios, Cobb señaló que en esta full digital economy, luego de las revelaciones de Snowden y los cruces públicos entre algunas empresas y el gobierno con respecto a los pedidos de revelación de datos personales de particulares, hubo una caída de un 19% en el online banking, una merma parecida en el uso del email (sic) y un 14% menos de compras online. También recordó que por la misma época y por idénticas causas cerraron dos empresas muy relacionadas con la privacidad de los datos de sus usuarios: Lavabit, cuyo propietario, Ladar Levinson, dejó un mensaje donde afirma que cierra para no ser cómplice de delitos contra sus usuarios y Silent Circle, que mantiene otros servicios pero dio de baja el servidor de correo electrónico cifrado.
Y como para cerrar esa parte del tema, indicó que por esa época (julio-agosto de 2013) cayó la cotización de las acciones de Cisco.
Como para sacarme la duda, revisé este gráfico y si se pide la estadística de 2013, hay caídas en mayo, setiembre y noviembre.
Como al descuido, Stephen Cobb mostró las iniciales de la NSA (¿hay alguien que no sepa lo que significan?) con un cartelito debajo: «Not Supported by all Americans». Y como para reafirmarlo, aclaró que el 80% de los estadounidenses estaba en contra de esa actividad gubernamental de vigilancia (la palabra utilizada fue *surveillance*)
También comentó que esa metodología de captación masiva de datos particulares era una práctica que se estaba extendiendo a otras agencias del gobierno estadounidense, en una conducta de «take it now, look it later» (levantar el dato ahora, revisarlo más tarde)
La clara indicación de que el espionaje estatal no le parecía correcto no fue más que el principio. Cobb recordó que además de su amplia experiencia en la industria del software y la seguridad informática él estaba certificado como CISSP, que en efecto fue uno de los primeros en dar el examen cuando se inició ese proceso de certificación, y que no sólo se trata de demostrar capacidad técnica, sino de respetar un Código de Ética. Y que en la actividad de Snowden como denunciante de la vigilancia masiva de comunicaciones, se notaban dos cosas: que tenía que tener muy buenas calificaciones o certificaciones para conseguir ese trabajo, y que tal vez una de las certificaciones era CISSP. El tal Código de Ética, señaló Stephen, claramente señala que quien ha sido certificado debe proteger a la sociedad y actuar legalmente. Y allí, conjetura, Snowden pudo enfrentar un dilema ético: si denunciaba las actividades de cibervigilancia para proteger a sus conciudadanos, quebraba la ley, dado que estaba revelando secretos gubernamentales.
Sin duda, no es novedad que un investigador de IT puede ser denunciado como delincuente, por avisar que un servidor tiene una falla… descubierta mientras lo está revisando. Le pasó nada menos que a la pareja de Stephen Cobb, Chey Cobb, cuando le avisó a alguien que su servidor tenía un port abierto… y la denunciaron por ingreso ilegal a una máquina. Probablemente (sospecho) a Ms. Chey no le pasó nada, pues tal como pude leer aquí, ha sido instructora para Ciertas Agencias de Seguridad, en Estados Unidos y en otras partes del mundo y ella misma escribe que, como en las películas «no puedo decirte dónde, porque si te lo digo, tendría que matarte».
El tema del dilema ético terminó allí, al indicar que lo que debe hacerse es tomar decisiones luego de informarse correctamente («making informed decisions») y Stephen pasó a comentar un conocido mito: «los programas antivirus te espían». Su respuesta fue un rotundo «no». Es cierto (dijo) que un antivirus tiene amplios permisos en su relación con el sistema operativo de una máquina; que logra acceso a cualquier información personal que haya allí; pero ni la empresa para la cual él trabaja, no las demás empresas reconocidas y con trayectoria comercial, toman esa información. Se parece al tema, décadas atrás, de que «las empresas de antivirus escriben virus para hacer negocio después».
Cobb ve una oportunidad en todo el ruido desatado por las denuncias de espionaje estatal: que ahora es un mejor momento para enseñarle a la gente sobre seguridad informática y protección de la privacidad. Y para hacer que el público tome una actitud decidida frente al hecho de que un gobierno está mirando su información. Que el público debe saber que la actividad de la NSA puso en evidencia una recolección de datos que ya existía.
Respecto al tema de qué datos personales pueden publicarse, Stephen comentó que él lo ve como una balanza que tiene en un extremo 100% de Privacidad, y en el otro 100% de Seguridad. Y que encontrar el balance óptimo es un gran desafío, lleno de decisiones personales. Y que nadie puede hacer esa elección por otro.
Respondiendo a preguntas sobre la privacidad en las Redes Sociales, Cobb dijo que los adolescentes están empezando a darse cuenta de los riesgos, pero que hace falta más enseñanza y difusión de conceptos de riesgo y cómo protegerse.
Aplausos, muchos aplausos, llega el momento del cierre, y Juan José Dell’Acqua señala satisfecho que los horarios se han cumplido. Probablemente por primera vez en años, reflexiono. Se agregan al estrado Brian Dito (OEA), Enrique Rubinstein y Pedro Maidana.
Hay palabras finales de los organizadores, y Brian aprovecha para expresar que los ciberdelincuentes no tienen problemas de cooperación y «deberíamos aprender de ellos (…) que no hay que inventar la rueda, aprender de los éxitos y los fracasos…».
Algún sorteo, más saludos y aplausos, y me voy pensando que es cierto, le cambiaron el paso a Segurinfo. Está más firme. Ya espero la del año próximo, porque probablemente vayan por más. Y entre APT, NSA, cifrado homomorfo y BYOD, más nos vale.