Reportaje - Más discreción en Internet
La privacidad y la seguridad son dos cuestiones que van de la mano y que lamentablemente son objeto de ataques cada vez más a menudo. En abril de este año, un destacado fabricante de electrónica sufrió el robo de más de 100 millones de archivos correspondientes a cuentas de usuarios debido a un enorme fallo de seguridad. Dichos archivos contenían nombres, direcciones e incluso números de tarjetas de crédito .En Estados Unidos, un conocido hospital difundió en su sitio web, de acceso público, los datos de 20 000 pacientes atendidos de urgencia, mientras que en el Reino Unido varios periodistas consiguieron acceso a teléfonos móviles de la familia real británica, famosos del mismo país y víctimas de delitos graves. En este contexto, no sorprende la creciente inquietud por el riesgo de robo de datos privados y usurpación de la identidad que plantea el incierto entorno de Internet. «Los usuarios desean proteger su privacidad y mantener el control de su información personal, sea cual sea la actividad que realicen», explicó Dieter Sommer, coordinador del proyecto de tres años de duración PrimeLife («Gestión de la privacidad y la identidad en Europa de por vida»). «Pero las tecnologías de la información rara vez tienen en cuenta esos requisitos, por lo que ponen en riesgo la privacidad del ciudadano.» Así ha ocurrido siempre en varios servicios ya tradicionales prestados a través de Internet, pero de un tiempo a esta parte la red de redes ha adquirido un carácter colaborativo cada vez más intenso a resultas del cual los usuarios aportan una cantidad de información personal cada vez mayor, según indica Sommer. «Con el paso de los años se van facilitando datos personales que dejan tras de sí un larguísimo rastro.» Este rastro de información plantea retos considerables que el equipo de PrimeLife se propuso solucionar. Para ello reunió a 14 de las empresas e instituciones de investigación más destacadas del continente activas en el campo de la privacidad y a otro socio con sede en los Estados Unidos. PrimeLife parte de la labor realizada anteriormente por el proyecto PRIME («Gestión de la privacidad y la identidad en Europa»). «PRIME se centró en la minimización de los datos, tratando de que al llevar a cabo diversas transacciones sea mínima la cantidad de datos intercambiada», informó Sommer. «En PrimeLife adoptamos una perspectiva mucho más amplia. Un aspecto [...] consistía en reanudar la labor de PRIME, pero también abordamos otros temas.» El cometido de PrimeLife consiste en reforzar la privacidad, la confianza y la gestión de identidades mediante herramientas tales como extensiones o plug-ins para navegadores, redes sociales y encriptación, todo lo cual plantea un reto de grandes proporciones. Los usuarios intercambian «información personal identificable» (personally identifiable information, PII) con mucha más frecuencia que antes, por ejemplo al suscribirse a servicios como boletines de noticias, al pagar en autopistas, al participar en redes sociales, al usar servicios de administración electrónica y al realizar transacciones comerciales electrónicas. Al mismo tiempo, el panorama de la sociedad de la información se encuentra en devenir constante; no dejan de aparecer nuevos modelos de negocio y nuevas plataformas de servicios que multiplican las modalidades de intercambio de datos. En consecuencia, al usuario le resulta prácticamente imposible seguir la pista de su información y controlar a dónde va. PrimeLife emprendió una serie de trabajos de investigación encaminados a evaluar la naturaleza del problema, desarrollar soluciones sólidas y formalizar métodos concretos para el despliegue de estas nuevas tecnologías. La primera actividad consistió en analizar el significado de la privacidad de por vida, para lo cual se desarrollaron y evaluaron perfiles de diversos usuarios típicos. Tras definir varios usos comunes, el equipo del proyecto desarrolló mecanismos pertinentes en otro apartado de la investigación. Una tarea trascendental fue el estudio de las políticas, posiblemente uno de los métodos más efectivos para habilitar a los usuarios para controlar su propia privacidad. Una política podría exigir, por ejemplo, que los datos personales utilizados para determinado servicio no puedan utilizarse con fines de publicidad directa y que solamente puedan ser utilizados por agentes específicos. Confusión y falta de estilo Otro tema fundamental de PrimeLife es la usabilidad. Los usuarios no suelen leer la letra pequeña, y una de las principales causas de su frecuente desprotección es la confusión y la falta de estilo que caracteriza a las actuales interfaces dedicadas a la privacidad. PrimeLife investigó y desarrolló infraestructuras, entre otras, orientadas a la protección de la privacidad por medio de políticas en servicios y dispositivos móviles seguros, sopesando los aspectos económicos de este tema de investigación. De manera paralela a todas sus líneas de trabajo, el equipo del proyecto realizó una actividad que llamó Privacy Live («Privacidad en vivo») dedicada a informar constantemente de los resultados científicos logrados en el proyecto a todos aquellos dedicados a la privacidad. Para esta labor se sirvieron de estándares, canales de difusión, cooperación y la publicación de software de código abierto. Sus resultados más destacados fueron herramientas al servicio de la privacidad que se pusieron a disposición de redes sociales y una investigación básica de gran éxito sobre sistemas de credenciales, criptografía en general y otros aspectos de la privacidad. Esto se completó con un número sustancial de herramientas de código abierto diseñadas para gestionar todos los aspectos del problema de la privacidad. Por ejemplo, PrimeLife desarrolló su propia red social, llamada Clique, que permite a sus usuarios mantener el control de su privacidad mediante la segregación de públicos. Un público podría ser el formado por sus amigos, otro el de sus compañeros de trabajo y, de este modo, automáticamente, la información facilitada (nombre de usuario, foto de perfil, etc.) queda restringida a públicos concretos. El equipo del proyecto también desarrolló Scramble, una extensión para navegador web que permite al usuario codificar sus datos para implantar un control de accesos en sitios de redes sociales. Otra tecnología interesante es Identity Mixer, con la que el usuario puede autenticar su identidad sin revelarla, es decir, demostrar su fiabilidad sin revelar quiénes son. De este modo, los sitios web en los que se pueden realizar compras, por ejemplo, no necesitarían tantos datos delicados como exigen actualmente para prestar servicios, eliminándose además el riesgo de robo de información. La labor realizada en el ámbito de las políticas también podría cambiar drásticamente la cuestión de la privacidad en «servicios compuestos» complejos, como por ejemplo los resultantes de la colaboración entre un servicio de descuentos y un comercio para realizar ofertas especiales. En estos casos sería posible el intercambio de información relativa a la identidad o la situación geográfica de los usuarios. Pero el método propuesto por PrimeLife permitiría al usuario controlar la información que se facilita a cada una de esas entidades. Éste no es más que un ejemplo muy sencillo; las herramientas desarrolladas por PrimeLife son capaces de manejar también una combinación extremadamente compleja de servicios. Las herramientas de PrimeLife también podrían facilitar a empresas servicios avanzados de privacidad. Por ejemplo, cuando una empresa de biotecnología realiza una investigación a partir de información procedente de una base de datos de ADN de un tercero, desea acceder a la información, pero no que el proveedor del servicio reciba aviso ni registro de la información a la que se ha accedido, puesto que podría tratarse de información confidencial relativa a una investigación o un paciente. Actualmente, en un caso así, las empresas deben alquilar una copia local de la base de datos completa, lo cual no sólo es caro sino problemático desde el punto de vista de la seguridad por el elevado valor de dicha base de datos. En cambio, empleando la tecnología avanzada de criptografía creada por PrimeLife, dichas empresas de biotecnología podrían acceder a la base de datos pagando el coste del servicio pero sin revelar quiénes son o qué estudiaron. Resultados como este dan una muestra de todo lo logrado por PrimeLife. PrimeLife fue coordinado por IBM Research de Zúrich (Suiza). En él participaron SAP, Microsoft Innovation Centre, Technische Universität Dresden, Unabhängiges Landeszentrum für Datenschutz, Giesecke & Devrient, y la Goethe Universität de Frankfurt (todas en Alemania); Karlstads Universitet (Suecia), Università degli Studi di Milano e Università degli Studi di Bergamo (Italia); Tilburg University (Países Bajos), Katholieke Universiteit Leuven (Bélgica), Centre for Usability Research & Engineering de Austria y la Universidad Brown de los Estados Unidos. Cabe destacar que el World Wide Web Consortium (W3C), el principal organismo de normalización de las tecnologías web, también participó en el proyecto por medio de su delegación europea, con sede en Francia. PrimeLife completó el tramo de la investigación financiado por la UE en junio de 2011, si bien muchos de los integrantes del consorcio han continuado las tareas de una forma u otra. Se ha puesto en marcha un proyecto nuevo, ABC4Trust, que está probando en fase piloto los dos principales sistemas de credenciales anónimas que existen en la actualidad, siendo uno de ellos el Identity Mixer de IBM, investigado por PrimeLife. Otro proyecto, FIware , una plataforma europea dedicada al Internet del futuro, integrará en la plataforma la tecnología de credenciales como parte de su sistema de seguridad. En suma, PrimeLife ha logrado importantes avances y desarrollado tecnologías que pronto podrían implantarse para proteger la privacidad de los usuarios en Internet. PrimeLife recibió de la UE fondos por valor de 10,2 millones de euros (de un presupuesto total de 14,93 millones de euros) por medio del subprograma «Infraestructuras seguras, fiables y de confianza» del Séptimo Programa Marco. Enlaces útiles: - proyecto PrimeLife - registro de datos del proyecto PrimeLife en CORDIS - registro de datos del proyecto PRIME en CORDIS - ABC4TRUST - FIware Artículos relacionados: - La privacidad como clave de los sistemas biométricos - «Cuestión de confianza: aspectos de privacidad y seguridad en la era de la información» - «Mis archivos y yo» - «¿Cuál es la identidad de la identidad en la era digital?» - El documento de identidad electrónico, una realidad en la Unión Europea