Marta Beltrán, Universidad Rey Juan Carlos
Con este tipo de soluciones se pretende lidiar con la suplantación de identidad o las identidades “fantasma”. Permite evitar fraudes electorales o en el acceso a ayudas sociales, por mencionar solo un par de ejemplos. Además, puede facilitar el cobro de salarios o prestaciones, la escolarización obligatoria de menores o la apertura de negocios de manera ágil.
Todas estas ventajas son fácilmente comprensibles –aunque discutibles– cuando estos sistemas se hallan en manos de gobiernos democráticos y en periodos de paz. Pero pasan a un segundo plano cuando se piensa en los riesgos que se asumen si estos gobiernos se convierten en autoritarios o en periodos de conflicto bélico. Especialmente porque en casi todos los casos en estos países no existe legislación relativa a la protección de datos que garantice unos derechos básicos a sus ciudadanos. Un claro ejemplo es lo que está ocurriendo en estos momentos en Afganistán.
¿Para qué se usaba la biometría en Afganistán?
El Gobierno afgano había creado diferentes bases de datos en los últimos años desde diferentes ministerios. Todas ellas incorporaban datos biométricos y multitud de información muy detallada sobre millones de sus ciudadanos.
La mayor parte de estos sistemas se habían construido con subvenciones estadounidenses y de los países aliados. Tenían como objetivo mejorar la Administración pública y los servicios que se prestaban (educación, sanidad, gestión tributaria) así como facilitar la creación de un ejército y de un servicio de policía propios. Todo ello evitando en lo posible los fraudes de identidad antes mencionados y con el foco en la seguridad, intentando evitar que se infiltraran en el Gobierno o en otras instituciones potenciales terroristas.
Uno de los problemas principales de todas estas bases de datos es que se construyeron sin respetar ninguno de los principios de privacidad desde el diseño: minimizar, separar, abstraer y esconder. Es decir, se recogían datos de más que no eran necesarios para los objetivos de los sistemas (por si acaso), se optaba por infraestructuras completamente centralizadas, no se anonimizaba ni se usaban pseudónimos al almacenar la información, no se empleaban mecanismos de cifrado de manera adecuada, etc.
Ninguno de esos aspectos se cuidó desde el diseño, probablemente por ignorancia, dejadez, limitaciones presupuestarias o de tiempo. Y también porque no existía obligación de cumplimiento, ninguna regulación obligaba al Gobierno afgano ni a sus contratistas a tomar todas estas precauciones porque no existía un marco regulatorio para la protección de datos ni regional, ni nacional ni supranacional.
¿Qué riesgos plantea el control talibán?
Se ha hablado mucho en los medios de la apresurada retirada de las tropas estadounidenses de Afganistán el pasado mes de agosto. Durante esta retirada, los talibanes se han hecho con diferentes sistemas y equipos que estas tropas han tenido que dejar atrás.
Obviamente, las alarmas se dispararon al ver las primeras imágenes de talibanes en posesión de diferentes vehículos, medios de transporte o sistemas de armamento estadounidenses. Pero también se han hecho con tecnología muy sofisticada en relación con la recogida de datos biométricos. Los dispositivos HIIDE (de Handheld Interagency Identity Detection Equipment) permiten obtener con facilidad el escáner de iris, la huella dactilar o la imagen de la cara de multitud de personas en muy poco tiempo.
El ejército estadounidense utilizaba este tipo de dispositivos para identificar a potenciales terroristas y recoger inteligencia. Han afirmado a través de diferentes portavoces que las bases de datos en las que se almacenan los datos recopilados a través de estos dispositivos no se han visto comprometidas. Pero han tenido que reconocer que muchos de estos dispositivos sí están en manos de los talibanes.
Si tienen disponible este tipo de tecnología, y además han tomado el control de todas las bases de datos gubernamentales antes mencionadas, pueden con mucha facilidad y en poco tiempo localizar a personas que hayan trabajado para el Gobierno anterior, que hayan cobrado del ejército estadounidense o que hayan abierto cierto tipo de negocios.
También pueden cruzarlos con datos abiertos que pueden obtenerse directamente de las redes sociales, en las que los ciudadanos afganos han disfrutado de libertad en los últimos años. Por este motivo organizaciones como Human Rights First se han apresurado a publicar guías para que la población afgana pueda borrar su huella digital en un intento de evitar represalias por expresar cierto tipo de opiniones en el pasado.
Evitar malos usos, presentes y futuros
Los ciudadanos afganos solo pueden esperar. Ninguno de los derechos de los que disfrutamos los europeos en relación con nuestros datos estaban a su alcance antes, ni mucho menos lo están ahora. No pueden acceder a las bases de datos existentes para saber qué datos se almacenan sobre ellos, tampoco pueden modificar o eliminar esta información.
Todo esto debería hacernos reflexionar: nuestros atributos biométricos no cambian; las circunstancias sociales, económicas o políticas de un país sí. La tecnología no suele ser buena o mala en sí misma, lo son los usos que le damos. Y siempre debe diseñarse intentando evitar los malos usos, en el presente pero también en el futuro.
La decisión de construir una base de datos que contenga atributos biométricos de las personas no debe hacerse a la ligera en ningún caso. Si se decide que los beneficios compensan los riesgos, el diseño debe incorporar las estrategias de privacidad adecuadas para proteger sus derechos. Y debe se auditado por expertos y organizaciones independientes que señalen todas las potenciales amenazas para que se resuelvan antes de poner los sistemas en producción.
Ahora son los ciudadanos afganos los que van a sufrir las consecuencias de las malas decisiones tomadas en el pasado a este respecto. Pero por desgracia, no es el primer ni último ejemplo de los impactos que puede llegar a tener la identificación biométrica en la población.
Marta Beltrán, Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos
This article is republished from The Conversation under a Creative Commons license. Read the original article.