¿Son los papeles del paraíso una filtración o un hackeo?

ActualidadProtección de datosfiltracionprivacidad

Hasta hace una semana nadie sabía lo que tenían en común Apple Computer, Shakira y la reina de Inglaterra aparte de ser famosos.

Pero a día de hoy, todos sabemos que todos tienen parte de su dinero en paraísos fiscales, según la información filtrada de los papeles del paraíso, 1,6 tb que contienen 13 millones de ficheros obtenidos por el diario alemán Süddeutscher Zeitung (SZ) y compartidos con el Consorcio Internacional de Periodistas de Investigación (CIJ) y que contienen información sobre cuentas de personas famosas en paraísos fiscales.

Nótese que empleamos la palabra filtración, que es la preferida por los medios para referirse a estas revelaciones, en vez de una violación de datos, que es otra forma de definirlo ya que todos esos ficheros se obtuvieron sin el consentimiento de sus dueños.

Por lo tanto hay una diferencia entre la filtración y la violación de datos, y es justo marcar una diferencia entre los papeles del paraíso y, por ejemplo, las bases de datos publicadas de empresas como Equifax.

Para diferenciar los casos debemos tener en cuenta cuatro aspectos: el número de gente afectada, el tipo de datos que se revelan, el balance entre daño e interés público, y el más importante, la motivación y métodos empleados por los atacantes.

SZ afirma que se utilizaron 21 fuentes de información distintas para recopilar los papeles del paraíso, siendo la firma de abogados Appleby el principal contribuidor, además de otras 20 empresas.

Aunque es más pequeño que los papeles de Panamá de 2016 (otra filtración de SZ/CIJ), los investigadores han tenido que utilizar un sistema de big data de la empresa Nuix para analizar la maraña de documentos Word, ficheros PowerPoint, imágenes, hojas de cálculo, correos electrónicos y PDFs.

Al contrario que en otras violaciones de datos personales, el número de de personas afectadas es minúsculo si lo comparamos con los tres mil millones de cuentas de Yahoo, o los 145 millones de personas que cayeron en la debacle de Equifax. Además la información no se filtra tal como la han obtenido, si no que se procesa concienzudamente por un gran número de periodistas que trabajan dentro de la legalidad.

Por ahora es un 2-0 para el argumento de que es una filtración legítima.

El interés público y la motivación son difíciles de afirmar. SZ/CIJ ven un interés público, similar al de Wikileaks con el caso de Edward Snowden cuando reveló los secretos del NSA en 2013.

El problema con todo esto es que gran cantidad de la información que aparece en los papeles del paraíso parece ser legal. Esto no significa que no exista un interés público en conocer las aguas fangosas en las que se mueve la legalidad y la moralidad.

De donde proceden los datos y quien los ha filtrado puede ser la cuestión decisiva.

Ya que SZ se niega a revelar sus fuentes, es tentador asumir que una cantidad tan grande de datos tiene que venir de alguien de dentro.

Appleby afirma que su empresa no ha sido atacada por ningún criminal o hacker profesional.

El que la fuente sea interna o externa es muy importante. Estemos de acuerdo o no con las decisiones de Snowden, él conocía la información antes de filtrarla, y el hecho que afirme actuar de buena fe, como mínimo merece que se estudie.

No podemos decir lo mismo de alguien que irrumpe en los sistemas de una organización sin conocer que datos se va a encontrar. Por lo tanto las fuentes de SZ es un punto a tener en cuenta.

Así que ¿filtración o hackeo? Parece que es un empate. Una solución es dejarnos de semántica y utilizar únicamente la palabra hackeo o violación de datos, aceptando que un pequeño número de casos serán posteriormente redimidos.

Lo que debe ser doloroso para firmas legales que tienen ingentes cantidades de información sobre sus clientes, es que las leyes de protección de datos sirven para poco en estos casos. La salvación viene por mejorar la seguridad, no por endurecer los castigos.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s