Ley de Protección de Datos Personales vs. Blockchain

Introducción

En Uruguay, a los 10 años de la promulgación de la ley de Protección de Datos Personales (Ley 18.331) y pocas semanas después de la puesta en marcha del Reglamento General de Protección de Datos de la Unión Europea (RGPD), nos toca preguntarnos como se adaptan las nuevas tecnologías como es el caso de blockchain a la ley. ¿Qué ventajas y desventajas tiene?, ¿Debo implementarlo en mi empresa?, ¿Es una moda o es una tecnología que llego para quedarse?

En esas mismas fechas, sale a la luz la publicación de Satoshi Nakamoto (aun hoy se desconoce quién o quiénes están detrás de este nombre) sobre blockchain p2p (“peer to peer”) y un año más tarde, se genera el primer bloque de la cadena de bitcoin (llamado bloque génesis).

Blockchain está formado por una estructura de datos en la que la información contenida se agrupa en conjuntos (bloques) a los que se les añade meta-información que apunta al bloque anterior y al bloque siguiente formando así una cadena. De esta manera y gracias a técnicas criptográficas la información contenida en un bloque solo podría ser modificada, editada o borrada modificando todos los bloques siguientes. El poder de computo requerido para esto lo hace inviable.

El uso más conocido para la cadena de bloques o blockchain es la criptomoneda bitcoin. Pero blockchain es mucho más que criptomonedas.  Sobre esta tecnología, también se han implementado sistemas de “contratos inteligentes” (Smart Contracts) que se ejecutan automáticamente como sería el caso de Etherum.

Implementaciones

Se han hecho varias propuestas para la implementación de la tecnología blockchain. Las más comunes son para algunos de los documentos que confeccionan los escribanos o para los registros médicos, donde se mantendría un historial completo e inalterable sobre fichas médicas.  En el caso de los escribanos, la propuesta seria que a la hora de comprar un vehículo podríamos almacenar los datos de la transacción en una blockchain. De esta forma se tendría un historial completo e inalterable del dueño del automóvil y además no habría dudas de a quién pertenece determinado automotor actualmente o que recorrido hizo para llegar a él. En Suecia, ya existe una implementación en blockchain que se utiliza para la compra-venta de inmuebles.

Sin entrar detalles técnicos, la tecnología de cadena de bloques se podría comparar con una base de datos encriptada, distribuida en varios nodos donde cada dato o bloque se enlaza mediante un hash al anterior y al siguiente. De esta forma, se le otorga a la cadena de bloques la propiedad de que no puede ser alterada y, por tanto, la confianza que crea en las transacciones que ahí se almacenan. A su vez, el historial de transacciones puede ser re creado por cualquiera que tenga acceso a la cadena de bloques.

Existen dos tipos de cadenas de bloques: públicas y privadas. Bitcoin, por ejemplo, está montada sobre una cadena de bloques publica de forma tal que cualquiera que quiera tener acceso a ella, puede mediante la instalación de un software específico tener una copia de todas las transacciones que se han realizado desde el día 0 (desde que se creó el bloque génesis). Por otro lado, hay iniciativas bancarias (Santander One Pay FX) donde las cadenas de bloques tienen transacciones bancarias pero la base de datos pertenecería al banco y el público en general no puede tener una copia de los datos.

Consideraciones

Lo que debería preocuparnos, es el almacenamiento de información personal en esta tecnología, pues por diseño, está previsto que la información que se almacena ahí se mantenga para siempre y que no pueda ser modificada según las consideraciones que ya vimos. Si por ejemplo yo borro mi base de datos local, no importaría, pues el dato se replicó y se validó por el resto de los nodos de cadena de bloques y ahora ya forma parte de ella, para siempre.

Por su parte la ley de Protección de Datos Personales, articulo 15 estipula que los datos personales pueden ser modificados o incluso eliminados de las bases de datos (derecho al olvido).

El derecho al olvido provee al ciudadano con cierto grupo de herramientas para poder ejercer su derecho a no formar parte de determinada base de datos. En estos últimos tiempos, Google ha recibido miles de peticiones de usuarios de ejercer su derecho al olvido porque en los resultados de búsqueda aparecían datos personales a los que los usuarios no habían dado consentimiento explícito. También en estas últimas semanas, hemos visto cambiar las políticas de privacidad de varios sitios web (Facebook, Twitter, Amazon) para adecuarse a esta nueva reglamentación de la Unión Europea que además de la protección de datos prevé multas de hasta un 4% de la facturación anual de la empresa en caso de no respetar esta ley.

¿Se puede auditar blockchain?

La respuesta es SÍ. Más allá de las ventajas de un sistema basado en blockchain y tal y como nos indica ISACA (Asociación de Auditoría y Control de Sistemas de Información), existen una serie de riesgos, que precisan la figura de un auditor para dar confianza en el entorno.

Se debe tener en cuenta por un lado la plataforma sobre la cual se monta blockchain. Como sabemos el software nunca está exento de ataques, así como la infraestructura donde está montado. Por tanto, está expuesta a las mismas amenazas y vulnerabilidades de siempre.

Existen algunas herramientas basadas en la infraestructura de código abierto de la Linux Foundation que permiten hacer una copia local de la cadena que se desea auditar. Desde ahí se puede entonces exportar a diferentes herramientas para realizar la auditoria.

 

Conclusiones finales

Creo que la implementación de esta tecnología debe ser estudiada exhaustivamente antes de realizar una implementación y no elegir este camino solo porque está de moda. Debemos tener en cuenta que esta tecnología podría brindar integridad y accesibilidad a los datos, pero debemos evaluar también la confidencialidad. Tenemos que tener en cuenta las leyes bajo las cuales pueda entrar nuestro desarrollo y considerar el hecho de que los datos no pueden ser modificados. Hay que considerar la infraestructura y los permisos que tendrá nuestra cadena de bloques. Creo que la tecnología de blockchain no es una solución mágica a todos los problemas que requieran base de datos seguras y distribuidas.

Todo hace parecer que blockchain llegó para quedarse, existen cientos de criptomonedas corriendo sobre esta tecnología. Además, existen algunas implementaciones bancarias, implementaciones de IoT, autos, registros médicos, la industria musical. Recientemente un operador de telecomunicaciones en corea implemento blockchain para la gestión de activos.

Más información:

https://www.datospersonales.gub.uy

https://www.eugdpr.org/

https://es.wikipedia.org/wiki/Cadena_de_bloques

https://www.northerntrust.com/

 

Bl4ckB1t

Data drives all we do…and think

Bienvenidos

Estuve ahí, lo recuerdo… La primera vez fue en Montevideo Brew House, el 12 de Noviembre del 2014. Una manga de nerds recien salidos de un curso de Hacking Etico (y manejo de Incidentes) de la ORT, tomando cerveza, comiendo muzzarella y hablando de cosas que – convengamos – no nos hacen muy sociables con el resto de los mortales (ellos se lo pierden).  Así nació Hack & Beers Uruguay, y se transformó en la reunión obligada todos los segundos miércoles.

Pero todavía no era suficiente, faltaba algo. El ambiente de una cervecería no era lo adecuado para que todos pudieran compartir las ideas, los conocimientos, las dudas. Necesitabamos más. Fue entonces que, el 9 de marzo del 2016, nos juntamos algo más de 20 personas en el living de mi casa y realizamos la primera H&B Talks. Una idea loca, charlas técnicas sin presión y sin censura, un minievento en un living… Pero funcionó y seguimos haciéndolo, creciendo cada vez más. Por supuesto con la colaboración de un gran equipo de amigos y colegas que reunión tras reunión ofrecen su desinteresada participación en todos los detalles grandes y pequeños.

Hoy se cumplen exactamente 2 años de esa primera Talks, y no podemos evitar sentir un pequeño, muy pequeño orgullo… Haber podido contribuir en algo al crecimiento de esta genial comunidad es…un placer íntimo y culposo. Para festejarlo, les ofrecemos este nuevo aporte. El website hackandbeers.com.uy que, esperamos, será a partir de hoy un nuevo sitio de encuentro. Ha sido realizado contra reloj por nuestro compañero @DevNulled y quien escribe…y por supuesto no ha sido debidamente terminado en plazo. Sean gentiles y traten bien al sitio, hasta que crezca un poco (y esté seguro como debería ser).

Gracias a todos!!! y Enjoy!!!

eVL

P.D. Le he pedido a unos cuantos viejos compañeros de todos que nos envíen un saludo con motivo de la inauguración. Debido a que aún no teníamos el registro habilitado las notas aparecerán formalmente firmadas por mí, pero en cada pie está el autor de la misma.

Un saludo

Hack&Beers Uruguay surge, hace ya algunos años, como un grupo de personas interesadas en seguridad de la información. La mayoría de nosotros somos estudiantes de ORT, pero no es un requisito para integrarlo. Somos personas sin muchas reglas, pero con muchos valores a la hora de tratar con nuestros iguales. No discriminamos a nadie que quiera participar, ya sea por raza, religión, ideología, sexo, género o cualquier otra diferencia. Al día de hoy el grupo no ha cambiado mucho en su forma. Somos todos parte del mismo y, por tanto cada uno de nosotros sabe lo que puede o no ofrecer a los demás. No existen jerarquías, somos todos reyes y peones. Tenemos varios canales de comunicación pero al final del día lo que más nos importa es compartir una cerveza con amigos y charlar de las cosas (nerds) que más nos gustan. Independientemente de que siempre estamos conectados por algún medio, nos reunimos una vez al mes a tomar cerveza o comer un asado y en estos últimos tiempos, algunos miembros del grupo hemos dado charlas sobre algo en lo que hemos estado trabajando o algún tema que hemos estudiado. El entorno de estas charlas es absolutamente informal y la idea es que los participantes puedan hacer consultas en directo a quien la brinda. Hemos creado un espacio informal y libre de acoso para que, quienes quieran participar, puedan hacerlo sin temor ni presiones. Se fomenta que el grupo se desarrolle de manera autónoma y por tanto se valora mucho el tipo de pensamiento como «¿que puedo aportar al grupo hoy?» Todos tenemos algo para aportar. SIEMPRE.

¡Juntos, somos más!

bl4ckb1t

Saludo dos

¡Bienvenidos al sitio hackandbeers.uy! Somos una pequeña pero muy activa comunidad interesada en la seguridad de la información. Si bien nuestro origen es relativamente reciente, a lo largo del camino hemos incorporado personas de todas las distintas orientaciones: administradores, desarrolladores, auditores, etc. Gracias al aporte de todos estamos intentando acercar la perspectiva de seguridad, especialmente la seguridad informática a todos los ámbitos que se pueda llegar. Y justamente este sitio intenta ser parte de ese esfuerzo por ayudar a individuos y organizaciones y así desmitificar algo que permanece muchas veces a la sombra pero que reviste particular importancia para todos: la confidencialidad, integridad y disponibilidad de nuestra vida digital.

Es este un grupo abierto, siempre integramos a los apasionados de la tecnología que nos descubren. Creemos firmemente que es la mejor manera de crecer, tanto profesional como individualmente. Y esa justamente fué la piedra basal que nos impulsó a crear hack and beers. Es una combinación de las dos pasiones que compartimos. Por un lado, el hacking. No en el sentido peyorativo que generalmente se le da en los medios, sino en el que consideramos el verdadero y original significado del término. El que usamos aquí, y siempre entre nosotros. El que queremos transmitir mediante este sitio. Hacker, apasionado por la tecnología, por aprovecharla al máximo, hacer que sirva no sólo en su cometido original sino en nuevas soluciones para los problemas de las personas que necesitan de ella. Ya sea una pieza de código fuente, un novedoso uso para un SoC, un PC o un servidor, intersectar ta tecnología con la creatividad. Y Beers. La cerveza es nuestra bebida de elección y funciona como catalizador para nuestros encuentros. Nos brinda la posibilidad, la excusa de reunirnos a intercambiar ideas, conocimiento y opiniones.

En un ámbito de responsabilidad, nuestra comunidad desalienta el mal uso de la tecnología. Nos oponemos rotunda y categóricamente a la acción ilegal, al ataque indiscriminado, a cualquier actividad no autorizada. Asimismo, nos gusta mantener una discusión sana y razonable. Por esa razón nos oponemos a la censura propia y ajena. No obstante mantenemos en alta estima la privacidad de cada uno. Se deja libre a cada integrante la opción de elegir qué compartir y qué mantener en reserva.

Estamos ansiosos por ver qué nos depara el futuro. Qué vamos a seguir aprendiendo, a quién vamos a conocer. Quizás podamos contar con tu presencia. Si te interesa, si te llama la atención y no te han infundido miedo esas imágenes de seres tortuosos con capucha, entonces bienvenido. Este lugar es para todos y te incluye. Al fin y al cabo, es poco probable que hayas llegado hasta aquí por casualidad. Si te motiva la curiosidad, entonces vuelvo al comienzo: ¡Bienvenido!

GTC

Saludo tres

Hace mucho tiempo en una galaxia muy, muy lejana. … un par de técnicos informáticos percibieron que en el medio la seguridad no era tenida en cuenta con la seriedad debida. Como ésta era una necesidad imperiosa y los sistemas eran vulnerables tuvieron la visión para crear un curso … Así se inició el primer curso de “Hacking Ético y Gestión de Incidentes” en ORT. De este grupo primario nació la sana costumbre de reunirse el segundo miércoles de cada mes, luego de clases en una choppería a tratar el tema … Las generaciones que los siguieron se fueron sumando a estas reuniones… Hoy somos una comunidad incipiente que nos nucleamos bajo la bandera de Hack & Beers Uruguay, hemos aportado charlas en otros eventos de seguridad informática, como la eKoParty, la CharruaCon, Latam Tour y la 8.8 Uruguay … Pero esto es solo en comienzo de la historia … si te interesa la seguridad, tenés preguntas sin respuesta o curiosidad por saber como termina esta historia te invitamos a unirte a nosotros … Tal y como fué al inicio, el segundo miércoles de cada mes (que ahora se hace el segundo jueves) …

Chichex

Saludo cuatro

Que?
que Hack and Beers tiene su propio sitio?

Hablando en serio, es un honor integrar esta comunidad de personas y topos dedicadas al area de Infosec y bebidas espirituosas, donde cada uno aporta desde el lugar que puede/quiere y en donde siempre hay alguien para dar una mano, debatir o simplemente compartir un buen momento.

Felicitaciones a la comunidad por este nuevo canal.

Diego