24
Ago
2015
0
jorge garcia abogado valladolid

Privacidad: Lo de Ashleymadison

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

Los Hechos

Un grupo de hackers llamado Impact Team consiguió en julio pasado acceder a los datos personales de los usuarios de la web Ashleymadison.com.

Esta web ofrece servicios a personas con pareja, para facilitarles citas con otr@s usuari@s.

Su lema es “life is short, have an affair”TM: En la home de la web aún se mantienen referencias a la seguridad de la privacidad del servicio.

Impact Team amenazó a Avid Life Media (ALM), la sociedad detrás de esta web y Established Men.com, con difundir los datos de sus usuarios, a menos que desactivara y paralizara el funcionamiento de dichas webs.

 

La Filtración

ALM rechazó la solicitud, y el 19 de agosto se consumó la publicación via torrent de casi 10 gigas de datos personales de los usuarios, incluyendo nombres, domicilios, teléfonos…

Impact Team incorporó una declaración junto con los datos filtrados, indicando que la web era un pufo, basada la existencia de miles de perfiles femeninos falsos (el 95% de los usuarios eran varones), o en el cobro de un fee por borrar la cuenta del usuario… que después no era borrada. La declaración se remataba con las siguientes afirmaciones:

Too bad for those men, they’re cheating dirtbags and deserve no such discretion. Too bad for ALM, you promised secrecy but didn’t deliver

(“mala suerte para los usuarios, que son unos sucios mentirosos y no merecen discreción alguna, mala suerte para ALM, que prometió una confidencialidad que no ha cumplido”).

 

La Reacción

Desde entonces, han florecido webs que muestran infografías interactivas de los datos revelados filtrándolos por ciudad, ranking de estados norteamericanos de acuerdo con la infidelidad de sus habitantes, etc… En El Confidencial, la radiografía del usuario español (aunque el uso en España era marginal).

Desde entonces, asistimos en las redes a un intenso debate (sólo eclipsado por lo de amazon) que me atrevo a resumir en dos preguntas:

¿Tiene esa gentuza infiel el mismo derecho a la privacidad que un respetable ciudadano fiel como yo, que no se mete en semejantes veredas?

¿Los hackers éstos…. son héroes o demonios?

 

Dos Elementos más para esta Historia:

Encriptación

En realidad, el servicio sí utilizaba un algoritmo avanzado de encriptación (Bcrypt) para proteger las contraseñas de los usuarios. Esta medida no es habitual en servicios online, no es común en muchas de las empresas (Sony) que últimamente han sufrido ataques similares, y en definitiva no ha resultado suficiente, pero su existencia es relevante.

La Minoría

Adicionalmente al pánico del usuario estándar ante la publicación de sus datos, los colectivos LGBT han llamado la atención sobre la situación de usuarios homosexuales residentes en países que reprimen orientaciones sexuales alternativas (recordemos, más de 75 países que incluyen la mayor parte de Africa, Oriente Medio, y por ejemplo, la zona del Caribe y Rusia, castigan con penas que incluyen prisión e incluso pena de muerte).

Especial notoriedad (aunque como todo este tipo de cosas, su autenticidad difícilmente se puede comprobar) para el ciudadano Saudí que utilizó la web para ligar durante sus estudios en EEUU con otros hombres, y tuvo que salir por piernas de su país para evitar la pena de lapidación.

En general, las reacciones ante la filtración basculan entre la indiferencia en relación con los afectados, y directamente el regocijo.

 

Un Antecedente Conocido: el “fappening” o “celebgate”

Las víctimas han sido culpabilizadas desde el minuto uno, igual que en la filtración de fotos de famosas de hace un año: ellas mismas se pusieron en riesgo, al fotografiarse desnudas/al meterse donde no debían. ¿Qué se pensaban?.

 

Un Antecedente Desconocido

Una anécdota personal: hace más de una década explicaba las bases de la protección de datos en un master de administración y dirección de empresas.

Al exponer cómo los datos de salud merecían un nivel alto de seguridad, un alumno matizó que en el ámbito empresarial, el dato de padecer una enfermedad infecciosa como el sida, tenía que estar exceptuado de cualquier confidencialidad y debía, por razones de seguridad, poder ser conocido por el resto de compañeros en dicho ámbito.

Mi respuesta fue que precisamente en ese dato encontraba todo su sentido el sistema de protección de datos personales: la confidencialidad de tal dato tenía que merecer el máximo nivel de protección.

La seguridad del personal debe basarse en la disposición y cumplimiento del protocolo de seguridad que resulte adecuado a la actividad, no en el público conocimiento de quién padece qué enfermedad, que inevitablemente conlleva la estigmatización de los afectados. En especial si su enfermedad nos habla de su tendencia sexual, u otra opción vital distinta a la de la mayoría.

 

Una Conclusión

La publicación de datos necesariamente han provocado y provocarán un alud de consecuencias negativas para los afectados. El colectivo gay, sobre todo quienes se encuentren en jurisdicciones homófobas, se llevarán la peor parte.

Pero, centrándonos en el estrato de quienes simplemente dormirán en el sofá una temporada: todos y cada uno de los usuarios deben ser tutelados en su derecho, o por lo menos mantenidos en su legítima consideración de víctima, porque es lo que son.

Y ello con independencia de la valoración moral (radicalmente subjetiva en todo caso) que merezcan los servicios que recibían los usuarios cuya privacidad ha sido quebrantada.

Y ello con independencia de la supuesta nobleza (radicalmente subjetiva en todo caso) de los motivos del Robin Hood hacktivista de turno, erigido en vengador justiciero (instructor, juzgador y ejecutor de sentencia, todo-en-uno).

La ley debe reaccionar contra quien conscientemente revienta la seguridad de un sistema para dejar al descubierto los datos de sus usuarios. Y ello con independencia del juicio moral que dicho sistema o sus usuario merezcan. No hay ciudadanos de primera y segunda, ni las normas pueden aplicarse de acuerdo con la norma moral de los no afectados por la infracción.

El tema es importante: esto de los leaks no ha hecho más que empezar.

Nuestros sistemas judiciales distan de ser perfectos, pero todavía constituyen la mejor solución con la que hemos conseguido dotarnos después de miles de años de esfuerzo.

Cualquier otra opción se resume en la misma, inmortalmente descrita por Seymor Skinner en Los Simpson:

“No hay justicia comparable a la de una muchedumbre furiosa”.

jorge garcia abogado valladolid

Jorge García. Abogado en Valladolid

Comente, comente…

Sígame en @jgarciaherrero

Contácteme en jorge.garcia.herrero@gmail.com

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

You may also like

Ransomware
Ransomware: ¿Cómo librarse del siguiente Ciberataque?
responsabilidad activa
Responsabilidad Activa (“Accountability”) en el Reglamento General de Protección de Datos
auditar algoritmo
¿Cómo Auditar un Algoritmo?

Leave a Reply