Estamos en:
Si hay datos reconocidos unánimemente como merecedores del más alto nivel de protección, éstos son los de salud. De hecho, si bien la mayor parte de los seres humanos mostramos una notable indiferencia frente al conocimiento por terceros de datos referentes nuestra vida privada, la situación cambia radicalmente cuando de la salud se trata. De esta manera, individuos nada proclives a la discreción respecto de sus creencias religiosas (a menudo las personas proclaman sin tapujos su catolicismo o ateísmo), o ideológicas (esas mismas personas manifestarán sin ambages su afiliciación sindical o militancia política), son renuentes a entrar en detalles de sus achaques o hablar de sus dolencias. Es obvio, por tanto, que si existen datos general y públicamente reconocidos como de especial sensibilidad, ellos son los referentes a la salud, lo que ha sido reconocido por nuestros legisladores, que los han ubicado -junto con los de creencias, ideología, religión, vida sexual y origen racial- en el estrato más elevado de los tres en que han clasificado las medidas de seguridad prescritas en el Reglamento de Medidas de Seguridad (en adelante Reglamento) que desarrolla el artículo 9 de la derogada Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, LORTAD, y el del mismo número y tenor literal de la vigente Ley Orgánica 15/99 de Protección de Datos de Carácter Personal, LOPD.
Entrando sin más preámbulos en el antedicho Reglamento, lo primero que sobresale en él es la articulación en tres niveles -básico, medio y alto- de las medidas de seguridad de los ficheros con datos personales (Artículo 3, Medidas de seguridad), de conformidad con el carácter o naturaleza de ellos (Artículo 4, Aplicación de los niveles de seguridad). Estas medidas de seguridad se van anidando según su nivel, recogiendo las de nivel medio las dictadas para el básico más otras específicas suyas y las de nivel alto las propias del medio a las que incorpora algunas particulares suyas. En otras palabras, cualesquiera que sean estos datos personales, los ficheros que los alberguen deberán adoptar las medidas calificadas como de nivel básico (especificadas en el Capítulo II del Reglamento). Además, si los datos son de los especificados en el artículo 4.2, las medidas de seguridad deben ser las recogidas en el capítulo III, de rúbrica medidas de seguridad de nivel medio. Finalmente, aquellos datos indicados en el artículo 4.3, entre los que se hallan los de salud, deben protegerse, por añadidura de la manera recogida en los Capítulos II y III citados, con las previstas en el Capítulo IV, de rúbrica medidas de seguridad de nivel alto [1].
Estas medidas impuestas por el Reglamento son de toda índole, desde las que académicamente denominamos de administración y organización (es el caso, entre otros, del documento de seguridad -artículo 8-, del registro de incidencias -artículos 10 y 21-, de la gestión de soportes -artículos 13 y 20-, etc.), hasta las técnicas, que otros prefieren denominar lógicas (identificación y autenticación -artículos 11 y 18-, control de accesos -artículo 12-, cifrado -artículos 23 y 17- y registro de accesos -artículo 24-), pasando por las físicas (que por su escasa relevancia hoy en día, están únicamente contempladas en el artículo 19) [2]. Con la excepción de éstas, de las restantes nos ocuparemos, siquiera someramente, en lo que sigue.
Uno de los aciertos del Reglamento es haber tomado en consideración no sólo las medidas técnicas, por más que ello hubiese simplificado la tarea del responsable del fichero, sino también aquellas otras tendentes a planificar, organizar y administrar la seguridad.
De esta forma, nos encontramos con medidas tales como el Registro de incidencias (Artículos 10 y 21) en el que se exige se anote el tipo y hora de la incidencia, quién la notificó y a quién, los datos restaurados, etc. Igualmente aparece regulada la obtención de copias de seguridad (Artículos 14 y 25, de rúbrica Copias de respaldo y recuperación), que deben garantizar la reconstrucción de los datos al estado en que se hallaban cuando se produjo su pérdida o destrucción, además de imponer su realización, al menos, semanal y almacenarse en locales diferentes a aquellos en los que se tratan. Así mismo, se estipulan condiciones para el desarrollo de programas (Artículo 22) -limitándose drásticamente las pruebas con datos personales reales- y se impone la realización bienal de auditorias de seguridad (Artículo 17) -pautándose el contenido de su informe y las consecuencias derivadas de éste-.
También la gestión de soportes es de este tipo, y a ella se dedica el artículo 20 del Reglamento, que en su apartado 3 referente a los soportes a desechar o reutilizar, afirma que: -se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él- (sic.), texto de tal vaguedad que alguien podría pensar, por ejemplo, en aplicar un simple comando DEL a un disquete para satisfacer lo dispuesto en tal artículo, y ello cuando estamos en el capítulo III de medidas de nivel medio, y los datos, por tanto, son de gran sensibilidad. No hubiese resultado extravagante ni tildado de difícil cumplimiento haber exigido sea la destrucción física del soporte (caso de soportes a desechar) o sea el borrado físico de los datos.
En este mismo artículo en el apartado 4 se lee: -cuando los soportes vayan a salir fuera de los locales...como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos- (sic.). Supuesto que esto incluya el mantenimiento de los equipos, ¿qué ocurre si una avería impide incluso el mismo encendido? ¿cómo evitar que los datos contenidos en el disco duro puedan ser recuperados? Tampoco hubiese resultado insólita la obligación de la reparación in situ, más cuando estas medidas no se acentúan en el capítulo siguiente, concerniente a las medidas del máximo nivel.
Pero, en todo caso, la medida más relevante de las que tratamos ahora es sin duda el Documento de Seguridad (en adelante el Documento). Éste (que atinadamente no se ha llamado política de seguridad o plan de seguridad, que ni una ni otra cosa es), juega un papel central en el marco de protección configurado en el Reglamento que se manifiesta en todos los artículos de la disposición legal aludida, siendo por tanto la primera medida a adoptar para adecuarse a las disposición citada. Por consiguiente, resulta obvio aclarar que se trata de una medida de nivel básico, aunque para el medio se aumenten sus contenidos, que empero no se modifica cuando se pasa al nivel alto. Por lo tanto, en lo que atañe al documento de seguridad, los datos reseñados en el artículo 4.3 antes aludido (recuérdese que es el caso de los de salud), están igual de protegidos que los de nivel medio.
El citado Documento es una norma de obligado cumplimiento, que contiene las directrices básicas a las que se deben ceñir el personal con acceso a los datos personales y los recursos que los tratan. Su elaboración e implantación es competencia del responsable del fichero, quién deberá mantenerlo actualizado, lo que conlleva su revisión siempre que se produzcan cambios significativos en el sistema de información, su organización o las disposiciones legales en materia de seguridad de datos personales.
Al pasar al nivel medio, su ámbito se ve incrementado con la identificación del responsable, o responsables, de seguridad, los controles periódicos de verificación de su propio cumplimiento y las medidas a tomar cuando un soporte vaya a ser desechado o rehusado.
Un punto destacado del Documento es el dedicado al personal, cuyos cometidos y obligaciones -empleado por empleado-, deberán estar definidos y documentados, tomando el responsable del fichero las medidas necesarias para que todo el personal conozca las normas de seguridad que les afecten, y su responsabilidad en caso de incumplimiento. Dadas las posibles implicaciones que esto puede conllevar, es recomendable que la entidad propietaria de los datos exija al citado personal el reconocimiento explícito y escrito del conocimiento de dichas normas y las responsabilidades en que puede incurrir por su incumplimiento. Por otro lado, si un empleado puede tener entre sus cometidos el acceso a los locales de almacenamiento de soportes, ello deberá de hacerse constar expresamente.
El Documento también debe especificar los procedimientos de notificación y gestión de incidencias, una de cuyas partes más importantes será el registro de incidencias (definido éste, de una manera bastante vaga, como: cualquier anomalía que afecte, o pudiera afectar, a la seguridad de los datos), en el cual se consignarán para cada incidencia su tipo, fecha y hora, persona que la notifica y a quién lo hace, y los efectos a que hubiese dado lugar. Además, en el registro se anotarán los procedimientos realizados para recuperar los datos, su responsable y aquellos datos que hallan precisado de su grabación manual. Para estos procesos se necesitará autorización escrita del responsable del fichero.
En síntesis, el Reglamento reconoce las siguientes medidas de índole administrativa y organizativa, prescribiendo que las mismas deben cumplir, en su aplicación a ficheros de nivel alto, lo que sumariamente se indica:
Por lo que atañe a las medidas de carácter técnico, cuatro son las presentes en el Reglamento. Por orden de aparición en el mismo, estas medidas son: identificación y autenticación de usuarios, control de acceso, cifrado de datos y registro de accesos, todas las cuales serán tratadas en este apartado.
Por otro lado, es imprescindible -para evitar malos entendidos- precisar que por mecanismo de seguridad, término profusamente empleado en la disposición que nos ocupa, se entiende el (o los) dispositivo físico o programa responsable de suministrar una medidas de tipo técnico como las recién enumeradas.
El objetivo de la identificación y autenticación de los usuarios es la verificación fehaciente de que el individuo que pretende entrar en el sistema es quién alega ser y está legitimado para trabajar en él. Usualmente, este proceso de identificación y autenticación se ha ejecutado en dos etapas; en la primera, el presunto usuario se identifica (tradicionalmente mediante un conjunto de caracteres alfanumérico -llamado código de identificación, CID-, o simplemente numéricos -conocido como número de identificación personal, NIP-), tras lo cual, se le pide que corrobore indubitablemente su identidad autenticándose. Sobre este último paso recae todo el peso de esta primera medida que tratamos.
La autenticación así establecida se ha venido ejecutando mediante uno de los tres procedimientos siguientes: alguna información sólo conocida por el verídico usuario (sistema basado en contraseñas), algún objeto de su posesión o alguna de sus características físicas o rasgos de comportamiento (sistemas biométricos). O sea, por algo que el usuario -sabe-, que -tiene- o -es-.
Los sistemas biométricos reconocen características personales, sean biológicas, anatómicas o rasgos de comportamiento, y ofrecen una gran fiabilidad intrínseca, aunque adolezcan de ciertas debilidades en comparación con los sistemas de contraseñas. Entre los que identifican rasgos biológicos o anatómicos se deben citar: reconocimiento de la huella dactilar, de las características del ojo, de la geometría de la palma de la mano, de la voz, de la faz, y otros muchos de constante aparición. Entre los que conocen particularidades de comportamiento se pueden citar: sistemas de reconocimiento de la firma autógrafa y de las pulsaciones del teclado. Estos sistemas, que se empezaron a usar a finales de los setenta en instalaciones militares, han ampliado sus aplicaciones y usos siendo hoy en día muy frecuentes en múltiples empresas y organismos de todo tipo.
Por su parte, los sistemas basados en contraseñas han venido usándose desde los principios de la informática, pero la elección negligente de contraseñas, la anotación de las mismas, su permanencia durante largos periodos de tiempo, o los problemas de interceptación durante su tránsito por líneas de comunicación han resultado en el desarrollo de nuevos sistemas denominados genéricamente de contraseñas desechables (one-time password) en los que estas informaciones de autenticación cambian de vez en vez de manera más o menos transparente al usuario. Son tres los principales procedimientos de este tipo: lista de contraseñas, pregunta-respuesta y basados en funciones irreversibles; de ellos, el primero es el más antiguo e inconveniente cuando se desean múltiples conexiones, siendo los restantes muy aconsejables y contando con numerosos productos en el mercado. Este tipo de contraseñas se usa en el estándar de telefonía móvil celular GSM (Global System Mobil).
Estas medidas recién estudiadas y sus mecanismos están recogidas en dos artículos del Reglamento: el 11 del capítulo II -de rúbrica Medidas de seguridad de nivel básico- y el 18 del capítulo III -de epígrafe Medidas de seguridad de nivel medio-. En ninguno de ellos figura como preferido un procedimiento de autenticación de entre los tres citados, y así el artículo 11 se limita a imponer: -El responsable del fichero se encargará ...y de establecer procedimientos de identificación y autenticación para dicho acceso-; aunque a renglón seguido, artículos 11.2 y 11.3, se hace especial hincapié e imponen condiciones para el caso de que se empleen contraseñas como método de autenticación.
Por otro lado, la redacción del artículo 11.1 cotejada con la dada al artículo 18, Identificación y autenticación, que reza: -El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado- sugiere que en el primer artículo no se impone que la identificación y autenticación sea individualizada.
En todo caso, y sea cual sea la forma elegida de autenticación, el responsable del fichero se encargará de que exista una relación actualizada de usuarios con acceso al sistema (es decir, deberá, entre otros, dar de baja a usuarios que cambien de puesto de trabajo, que abandonen el empleo, o de alta inmediata a todo nuevo usuario), relación que incluirá para cada uno de ellos a que datos y recursos puede acceder (artículo 12.3). Además, establecerá procedimientos de identificación y autenticación (artículo 11).
Por lo que respecta al control de acceso, lo primero que procede es diferenciarlo de la identificación y autenticación. Por control de accesos conocemos una medida (y también mecanismo) responsable de conceder o denegar un cierto tipo de acceso a un recurso determinado, decisión que toma en función de la identificación fehacientemente comprobada de la entidad (por el mecanismo de autenticación) y del tipo de acceso (lectura, escritura, etc.) demandado.
Este control de acceso está regulado en el artículo 12 del capítulo II, que en síntesis dicta que el acceso se permitirá exclusivamente a aquellos datos y recursos que el usuario precise ineludiblemente en el ejercicio de las tareas encomendadas, lo que en seguridad se conoce como principio de mínimo conocimiento (need-to-know principle). Además, según el artículo 12.4, sólo el personal habilitado en el documento de seguridad podrá modificar estos derechos de acceso.
El mecanismo correspondiente puede basarse para tomar sus decisiones en una matriz (llamada igualmente de control de accesos) donde aparecen registradas las distintas entidades con sus derechos de acceso sobre los diferentes recursos; en etiquetas asociadas a cada recurso, donde figuran las entidades y sus derechos sobre el mismo; en credenciales presentadas por las entidades; en las rutas de acceso, etc.
El registro de accesos (también conocido en seguridad como registro de auditoría, audit log en terminología inglesa) anota las acciones realizadas sobre el sistema, alertando, además, caso de que algunas de éstas supongan una violación real o potencial de la seguridad. Este mecanismo esta recogido en el artículo 24, del capítulo IV, Medidas de seguridad de nivel alto, donde se detallan (artículo 24.1) que datos debe recoger y guardar: identificación del usuario, fecha y hora, fichero accedido, tipo de acceso (lectura, escritura, etc.) y si se ha concedido o denegado, incluyendo en aquél caso el registro accedido(artículo 24.2). Por otro lado, el 24.4 establece que el periodo mínimo de conservación de los anteriores datos será de dos años y el 24.5 impone al responsable de seguridad la revisión periódica de dicho registro, y la consecuente elaboración de un informe de las revisiones y los problemas detectados.
Para terminar con las medidas y mecanismos de índole estrictamente técnica, el cifrado de datos aparece en los artículos 23, 25 y 26 de epígrafes respectivos: Distribución de soportes, Copias de respaldo y recuperación, y Telecomunicaciones, todos ellos del capítulo IV de rúbrica -Medidas de seguridad de nivel alto-. Se debe reseñar que aunque ambos artículos admitan, in fine, el empleo de otros medios para conseguir la confidencialidad e integridad de los datos, no existen tales en el presente, o si los hay ninguno tiene la versatilidad ni ofrece la confianza de las herramientas criptográficas. En todo caso, habrá de estarse a lo que la Agencia de Protección de Datos -y en su caso los Tribunales- vaya dictaminando a este respecto de qué se puede y debe entender por ininteligible.
Pero, además de las veces en que la invocación al cifrado es explícita, en otras ocasiones numerosas es evidente que dicha técnica se hace imprescindible si se desea proteger efectivamente los datos personales. Así, es fácil constatar la dificultad que comporta, sin el concurso del cifrado, el -almacenamiento (de contraseñas) que garantice su confidencialidad e integridad- (artículo 11.2, Identificación y autenticación, del Capítulo III o el adoptar -las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos (los soportes, cuando éstos vayan a salir fuera de los locales donde se encuentren)- (artículo 20.4, Gestión de soportes, del capítulo III. Igualmente, una forma de trabajo de tan rápido crecimiento como es el teletrabajo -que se puede pensar contemplado en el artículo ya citado 6, Régimen de trabajo fuera de los locales de la ubicación del fichero-, queda fuertemente comprometida, salvo que se realice con ficheros de los incluidos en el nivel de protección alto, pues excepto para éstos -para los que regiría el artículo 26 que impone el cifrado-, para los restantes valdría el artículo 5, Acceso a los datos a través de redes de comunicación, que no prevé en absoluto el recurso a tal técnica. Así mismo, no hubiese sido superflua la mención al cifrado en los artículos 20.2, sobre la salida de soportes informáticos, y 25, copias de respaldo y recuperación, del mismo capítulo IV de Medidas de seguridad de nivel alto.
Sea como fuere, y dado el desconocimiento muy generalizado de esta materia -y la importancia creciente del cifrado en nuestro mundo-, es pertinente estudiar el presente del cifrado de datos y sus aspectos más relevantes a los efectos exigidos por el Reglamento.
La criptografía (etimológicamente escritura oculta) es una ciencia antiquísima, cuyos primeros pasos hay que buscarlos en los albores de nuestra civilización. En una primera aproximación se puede definir como la disciplina que estudia los principios, métodos y medios de ocultar el significado de un mensaje. Al proceso consistente en encubrir la información se denomina cifrar, y descifrar al proceso inverso de éste.
Su omnipresencia en nuestras sociedades es tal que difícilmente un individuo puede eludir su uso cotidiano: al hacer una llamada telefónica por un teléfono móvil GSM, al conectarse a un ordenador previa introducción de su contraseña, al establecer una comunicación segura con un servidor en una red, al utilizar una tarjeta telefónica prepago, al operar con una tarjeta de débito o crédito, etc.
En el estudio de esta materia, lo primero a establecer es el concepto de sistema de cifrado o criptosistema.
Se entiende por tal un conjunto constituido por un emisor de la información, que genera un mensaje denominado texto o mensaje en claro, un dispositivo cifrador, que con el concurso de una clave criptográfica de cifrado, o de simplemente clave de cifrado transforma el texto en claro en un mensaje ininteligible, denominado texto cifrado o criptograma, un canal (de almacenamiento o transmisión), un dispositivo descifrador, cuya misión es la inversa del cifrador -precisa para ello de una clave criptográfica de descifrado, o sencillamente clave de descifrado-, y un receptor de la información. Así mismo, debe incluir un protocolo de intercambio de claves.
Evidentemente, el elemento fundamental de un criptosistema es el cifrador. Está compuesto por un dispositivo físico, o por un programa, que implementa un algoritmo de cifrado (a menudo denominado algoritmo de cifra o simplemente cifra), que suele ser el mismo en el caso de cifrado que en el descifrado. Ordinariamente éste es un algoritmo matemático dependiente de un parámetro, denominado clave de cifrado o, caso de actuar como descifrador, clave de descifrado. Esta función es computacionalmente irreversible; es decir, es imposible de invertir con la actual potencia de cálculo, a no ser que se posea una información adicional, idealmente la clave de descifrado. Así, cualquier conocedor de esta última y del algoritmo -que usualmente es conocido- podrá, a partir del criptograma, obtener el texto en claro. Sin dicho conocimiento, ni aun sabiendo el algoritmo se podrá descifrar el criptograma.
Pasando ya a repasar someramente los tipos de algoritmos de cifrado, lo primero que cabe citar es que hasta la década de los setenta todos los criptosistemas conocidos funcionaban con una clave de cifrado igual a la de descifrado o, si eran diferentes, una podía obtenerse de la otra en un tiempo y con unos recursos razonables. La invulnerabilidad de tales sistemas dependía, en una primera aproximación, del mantenimiento en secreto de la clave empleada. Consiguientemente, ésta debía transferirse del emisor al receptor a través de un canal seguro, obviamente diferente del canal del criptosistema, que por hipótesis se suponía amenazado por posibles interceptadores.
Estos criptosistemas clásicos son los conocidos como de clave secreta, convencionales, de clave única y también simétricos.
Además de la ventaja que les reporta su simetría, que conlleva que los papeles del emisor y receptor sean intercambiables fácilmente, también aportan al receptor la garantía de que el emisor es quien dice ser y no un impostor, pues de otro modo no podría descifrar el texto cifrado que ha recibido con la clave secreta, sólo conocida, por hipótesis, por el emisor y el receptor. Es decir, este tipo de criptosistemas no sólo mantiene la confidencialidad de la información, sino que también confiere autenticidad al mensaje recibido, es decir autentica al emisor su emisor.
Empero, presenta algunas importantes desventajas, de entre las cuales sobresale su exigencia de un canal seguro para distribuir las claves, pues aquél por el que transita el criptograma es, por hipótesis, vulnerable a posibles interceptaciones. Clásicamente, el canal seguro se conseguía mediante un mensajero; actualmente se emplean protocolos de intercambio de claves, aunque ello comporta notables complejidades de gestión.
En contraste con estos sistemas, en 1976, Diffie y Hellman demostraron la posibilidad de construir criptosistemas que no precisaban transferir una clave secreta entre el emisor y el receptor (evitando así los problemas inherentes a la búsqueda de canales seguros para tal transferencia), previamente al establecimiento de una transmisión cifrada.
En estos criptosistemas la clave de cifrado, denominada clave pública (en lo que sigue k
Así el modo de trabajo de estos sistemas es el que sigue. Cuando un usuario, A, desea recibir informaciones cifradas, da a conocer a todos sus potenciales remitentes su clave pública, k
Estos criptosistemas se denominan de dos claves, clave públicao asimétricos, pues del conocimiento de una clave (por ejemplo la de cifrado) no se deduce la otra.
Es importante notar que, en la práctica totalidad de los algoritmos de cifrado de este tipo, las claves de cifrado (pública) y descifrado (privada) son intercambiables, de modo que un texto transformado (cifrado) con una se puede recuperar (descifrar) con la otra y viceversa. O lo que es igual, en el momento de creación de las claves, el usuario decide cuál quiere que sea la pública (con la que el resto de usuarios cifrarán los mensajes que le dirijan) y cuál la privada (con la que él descifrará estos mensajes cuando los reciba).
En otro orden, los sistemas que estamos tratando orillan la desventaja inherente a los simétricos, pues no requieren un canal seguro para la distribución de la clave de cifrado (pública), ya que debe de ser conocida universalmente para que cualquiera pueda remitir informaciones cifradas al propietario del par de claves pública y privada.
Por lo que respecta a los inconvenientes, tres son los principales. El más importante es la falta de autenticación de los mensajes recibidos por el receptor, A. Como su clave pública, k
La segunda desventaja es la necesidad de garantizar la autenticidad de las claves públicas. En efecto, un enemigo, C, podría divulgar su clave pública, k
Finalmente, y para concluir con los inconvenientes, los cifrados de clave pública son mucho más lentos en sus operaciones de cifrado y descifrado, de 5 a 20 veces, que los de clave secreta de similar robustez, y todavía lo son mucho más en las operaciones de generación de las claves. Ello es debido a la complejidad de las operaciones algebraicas que comportan y las desmesuradas longitudes de la clave que requieren.
En la práctica cotidiana el único algoritmo de clave pública empleado es el RSA ideado por los criptógrafos estadounidenses Rivest, Shamir y Adlemann -cuyas iniciales constituyen su sigla- en 1997.
En síntesis, el Reglamento reconoce cuatro medidas de índole técnica, prescribiendo que las mismas deben cumplir, en su aplicación a ficheros de nivel alto, lo que sumariamente se indica:
Identificación y autenticación
El responsable de seguridad mantendrá una relación actualizada de usuarios con indicación de los derechos acceso de cada uno
© 2009 IEE Informáticos Europeos Expertos.