¿Cuál es el precio de la privacidad?

Hoy hablaremos sobre la privacidad de los datos con la directora de privacidad de Apple, Jane Horvath. Discutiremos sobre lo que hacen nuestros iPhones con nuestros datos y los ataques de ransomware.

Aparentemente, todos nuestros dispositivos, nuestros teléfonos, relojes, computadoras portátiles, están rastreando cada uno de nuestros movimientos, desde nuestra ruta al trabajo hasta el lugar donde vamos a comprar alimentos. Parece que estamos en un mundo donde todo lo que hacemos se ha vuelto completamente transparente, nos guste o no.

Los datos son una herramienta muy poderosa para una empresa, pero también peligrosa. Piensa, por ejemplo, en una empresa que recopila su información financiera y luego la utiliza mal o se la roban. Para las organizaciones que manejan información privada, hay buenos resultados como también malos.

La privacidad y la seguridad de los datos están estrechamente vinculadas y las empresas deben pensar en ambas cuestiones. Antes de iniciar la conversación con Jane, le damos la bienvenida a Pat Moran, jefe de ciberseguridad y respuesta a incidentes de PwC Irlanda. Hola Pat.

Hola Lizzie. ¿Cómo estás?

Eres especialista en el ámbito de la ciberseguridad y la ciencia forense de TI. ¿Puedes contarnos un poco sobre lo que haces y cómo se relaciona con la privacidad?

Claro. Supongo que tengo un trabajo realmente interesante. Como le digo a mi madre, quien me pregunta regularmente: “¿Qué es lo que realmente haces todos los días Pat?” Y yo digo: "Bueno, trato de proteger a la gente de todos los tipos malos que hay por ahí". Y ella se interesa y preocupa mucho por eso. En realidad si, lo que estamos tratando de hacer al final del día es intentar proteger a la gente de los malos.

¿Han aumentado los riesgos de violaciones de la privacidad o delitos cibernéticos a medida que vivimos en un mundo donde cada vez más nuestra información personal, nuestra información de salud y nuestros datos personales se han digitalizado? Porque parece que muchas cosas importantes viven en redes, en las nubes, etcétera.

Los riesgos definitivamente están aumentando. Creo que el hecho de que, incluso algo tan simple como que todos trabajemos desde casa, la gente se ha convertido en un objetivo cada vez mayor. Pienso que hay muchas más personas que se sienten atraídas a hacer clic en enlaces, porque esperan que los paquetes se entreguen en casa, porque el software que utilizan en la computadora portátil de su casa necesita actualizarse.

Volveremos contigo en breve, pero primero escucharemos la conversación de Lizzie con Jane Horvath. Ella ha sido directora de privacidad de Apple durante diez años, pero aportó décadas de experiencia tanto en derecho como en privacidad antes de estar en esta empresa. Jane fue la primera asesora jefe de privacidad en el Departamento de Justicia de EE. UU. y luego asesora global de privacidad en Google.

Como abogada e informática, Jane se ocupaba de la privacidad de los datos mucho antes de que se convirtiera en la preocupación que es hoy.

Jane proviene de un entorno que fue pionero en la privacidad mucho antes de que el público pensara en ello. Steve Jobs y Tim Cook sentaron ese precedente como valor corporativo. Y al principio de la entrevista hablamos sobre cómo Apple diseña productos teniendo en cuenta la privacidad, mucho antes de que lleguen al consumidor.

Jane, ¿cómo describirías tu trabajo?.

Yo describiría mi trabajo como probablemente el mejor trabajo en privacidad. Trabajo para una empresa que tiene un profundo respeto. La privacidad es un derecho humano fundamental en Apple. Y proviene de Tim Cook, quien está muy comprometido, tanto personalmente como con la empresa, y eso se refleja en todo lo que hacemos.

Y como alguien que ha sido uno de los primeros en el campo de la privacidad, este es un trabajo en el que tener apoyo ejecutivo y que toda la empresa apoye el tema es simplemente un lugar increíble para trabajar. Entonces, cuando describo mi trabajo, soy la profesional de privacidad más afortunada que existe.

¿Cómo se ve eso en la práctica, que esté tan integrado en la misión de la empresa? ¿Puedes darme un ejemplo tangible de eso?

He estado en Apple durante diez años y un día dos ingenieros llamaron a mi puerta y me dijeron: "Queremos desarrollar un dispositivo portátil y somos conscientes de que estos pueden afectar la privacidad. Por eso, queremos que tu equipo esté integrado desde el principio, porque estamos realmente centrados en los datos de salud”.

Y así es como fluyen las cosas en Apple. Cuando tienen una idea, traen a los profesionales de la privacidad; no solo a mi equipo, sino también al equipo de ingenieros de privacidad que también la integran en los productos.

Entonces, ¿qué encontró tu equipo? ¿Hubo momentos en los que dijeron: "Oh, en realidad está rastreando esto y no teníamos intención de que eso sucediera"?

No, en realidad estamos integrados desde el principio. Entonces no hay seguimiento. En realidad, está en el diseño mismo. Entonces, cuando brindamos asesoramiento y analizamos productos, trabajamos bajo cuatro principios principales de privacidad, que guían todo lo que hacemos.

El primero es que, cuando trabajamos con el equipo, intentamos desafiarlos a recopilar la menor cantidad de información posible. No significa "no recopilar información", pero significa que, si no necesita los datos en un foro personal, no necesita recopilarlos. El segundo principio es que muchas personas, cuando interactúan con empresas en la nube, la empresa sabe todo lo que están haciendo con sus productos y servicios.

Están recopilando todos los datos que están rastreando. Saben lo que están haciendo cuando interactúo. Lo que intentamos hacer es que su dispositivo, su iPhone, su iPad, sea realmente inteligente, es decir, que no necesite saber mucho sobre el usuario.

Tu experiencia es muy interesante. Siento que probablemente no haya muchos abogados que también se especializan en ciencias de la computación. ¿Crees que eso ha cambiado tu forma de pensar sobre el entorno regulatorio?

Cien por ciento. Sabes, cuando obtuve mi título en ciencias de la computación y estaba tratando de decidir dónde ir a la escuela de posgrado, me debatía entre obtener un doctorado en informática o un doctorado en derecho. Y, ya sabes, el impulso para la facultad de derecho fue: entiendo los bits y bytes.

Y me preocupa, al observar algunas de las leyes que se están creando, que debemos ser muy cautelosos y asegurarnos de que estamos hablando con personas que entienden la tecnología mientras se redactan las regulaciones. Porque creo que muchos legisladores no entienden la tecnología subyacente. Cuando me gradué de la facultad de derecho, la privacidad no era una profesión, pero creo que me incliné hacia ella porque está muy integrada con la tecnología.

A menudo, cuando hablas con personas encargadas de hacer cumplir la ley, ponen la privacidad y la seguridad en ejes diametralmente opuestos. Sé que todos ustedes estarían en desacuerdo con eso, pero ¿cómo se puede contrarrestar eso?

Creo que la forma en que respondo a eso, en realidad, es que, si tú puedes verlo todo, todos los demás también pueden hacerlo. La tecnología no es partidista. Entonces, no se puede diferenciar entre los buenos y los malos.

Entonces, si se crea una vulnerabilidad la tecnología no sabe si son las fuerzas del orden las que tienen acceso a ella o un hacker. Por eso, creo que cada vez más, especialmente cuando analizamos el cifrado, se ve mucho apoyo, incluso de funcionarios gubernamentales que reconocen lo importante, y realmente salvavidas, que es la capacidad de tener comunicaciones seguras.

¿Sientes que el tipo de entendimiento global se está moviendo hacia un mundo pro-cifrado?

Creo que todavía es un debate muy vibrante en este momento.

Antes de finalizar, me pregunto: ¿qué te gustaría que supiera alguien que compra un producto Apple?

Claro. Me gustaría que supieran que los dispositivos y el sistema operativo están diseñados desde cero para tratar de guiarlos con el objetivo de que tengan una experiencia privada. Y Apple tiene el derecho fundamental a la privacidad como uno de nuestros valores principales.

Y me gustaría que presten atención mientras utilizan sus dispositivos. Pero sobre todo, que practiquen la higiene de la privacidad. Una vez al mes, entra a configuración: privacidad. Y revisa cada una de las configuraciones y las aplicaciones a las que le has otorgado acceso. E incluso yo, a veces vuelvo y pienso: "¿Hice qué? ¿Por qué le di acceso a esta aplicación?". Pero siempre puedes revisar tus elecciones.

Entonces, creo que la gente se frustra y piensa: “Dios mío, he renunciado a toda mi privacidad. No hay nada que pueda hacer al respecto”. Pero nunca es demasiado tarde para tomar el control de sus datos y, ya sabes, cuánto más antiguos son los datos, en realidad no son tan utilizables. Entonces, si comienzas hoy a tomar el control de tu privacidad, lo tendrás en el futuro.

Jane nos acaba de decir lo importante que es la privacidad para Apple. Pero no se puede hablar de privacidad sin hablar de seguridad.

Esa conexión entre seguridad y privacidad es algo con lo que Pat Moran también está familiarizado en su trabajo de ciberseguridad y respuesta a incidentes para PWC Irlanda.

Pat, ¿cuáles fueron tus pensamientos sobre esa conversación con Jane?

Sí, lo que realmente me llamó la atención de la conversación de Jane es la historia que compartió con nosotros sobre los dos ingenieros que se le acercaron con la idea de su nuevo producto y cómo podrían crear privacidad desde el principio.

Pienso que esa historia dice mucho, realmente, de dónde nos encontramos hoy. Y muchas de las principales empresas tecnológicas y, de hecho, muchas organizaciones que reconocen que la privacidad en realidad puede ser una fortaleza, pueden atraer clientes, retenerlos y también demostrar la cultura y los valores de las organizaciones.

Jane habló mucho sobre cómo evitar problemas de privacidad. Pat, has estado en muchas situaciones en las que hay un problema y te han contratado para ayudar a clientes que han sufrido violaciones de datos importantes o han sido víctimas de ransomware. ¿Cómo es estar en el calor del momento?

Porque debe ser una situación muy estresante, no sólo es algo terrible, sino que es algo que está más allá de la zona de confort y el conocimiento de muchas personas mayores.

Muchas de las organizaciones que lo han superado con éxito han dicho que ha sido la peor etapa de sus carreras.

De hecho, hemos tenido algunas personas que han requerido hospitalización por las largas horas que han tenido que trabajar para intentar frenar la marea y recuperarse lo más rápido posible. Déjame contarte, Ayesha, sobre una investigación que hicimos el año pasado.

El 11 de mayo, los hospitales del sistema irlandés empezaron a recibir mensajes que decían que habían sido víctimas de un ataque de ransomware. Y las pantallas rápidamente se volvieron azules y alertaron a toda la gerencia de que los sistemas ya no estaban operando.

El director de información y el jefe de tecnología, recibieron una llamada alrededor de las cinco de la mañana desde una de sus maternidades para informarles que esto estaba sucediendo. Se observó que el ransomware había sido detonado en la propia red y se estaba propagando rápidamente, como un virus, por todas las redes dentro del servicio hospitalario.

Ahora bien, se trata de un servicio hospitalario bastante importante para Irlanda. Probablemente también haya alrededor de 80 o 90 hospitales afectados. Por eso, tuvieron que tomar la decisión de desactivar todos los servidores. Hubo pacientes en Irlanda haciendo cola en el departamento de accidentes y emergencias, y literalmente sus datos fueron anotados con lápiz y papel.

Entonces, el desorden que reinaba en una organización, todo debido a un ataque que se activó tres meses antes, permitió a los perpetradores permanecer en la red. Pudieron hacer lo que llaman exfiltración, que es simplemente transferir datos personales de los pacientes y luego afirmar que los iban a publicar en un sitio web, a una hora determinada, en un día determinado, si no se pagaba el rescate.

¿Qué le dices a un cliente que se encuentra después de un ataque, ya sea una violación de la privacidad o un ataque de ransomware? ¿Podrán reconstruirse de manera que sus clientes vuelvan a confiar en ellos?

El hospital que les mencioné, vino a nosotros después y nos dijeron: “Queremos que ustedes y PwC hagan un informe sobre cómo sucedió esto, porque queremos aprender de ello. Queremos publicar ese informe en nuestro sitio web, para que otras personas puedan aprender de él”.

Y creo que, como resultado de eso, recibieron muy pocas críticas y mucho respeto. Y ahora es un muy buen ejemplo de cómo puedes volverte más fuerte como resultado de una crisis.

Y Pat, ¿cómo detuvieron el ataque?

Literalmente tuvieron que desconectar todo. Desconectaron todos los dispositivos de red que se pudieran imaginar y lo reconstruyeron todo desde cero.

Da miedo pensar que nuestros datos personales pueden convertirse en armas de tal manera que cualquier empresa pueda verse afectada por un ataque. O podrías hacer clic inocentemente en un enlace y eso termina siendo lo que roba tus datos. Me sorprende el alcance y la mundanidad de estos ataques.

Todo esto me hace recordar cuán interconectadas están la privacidad y la seguridad. Y la forma en que nuestros datos personales existen en Internet pueden usarse como arma en contra o simplemente puede hacernos sentir comprometidos en el ciberespacio. Es una interacción muy extraña de cosas en las que, francamente, no dedico suficiente tiempo a pensar.