Protección técnica de los datos

Como mencioné en un artículo a mediados del año pasado, la ubicación física de los datos sigue siendo importante para protegerlos de las intromisiones no deseadas del gobierno. En aquel artículo, describía la constante lucha legal de Microsoft con el gobierno a raíz de una orden judicial, ejecutada en EE. UU., por los datos que la compañía mantiene en su centro de datos de Irlanda. Hace pocos meses, Pete Brown, director de Product Marketing de Intralinks, publicó un artículo sobre el caso de Microsoft e Intralinks.

Microsoft ha dado un paso audaz para proteger su negocio en el futuro y ofrecer garantías a sus clientes extranjeros, independientemente del resultado final del caso que aún se dirime en los tribunales estadounidenses. Además de instalar un centro de datos en una jurisdicción extranjera, Microsoft ha ido más allá y se ha asociado a T-Systems, una filial de Deutsche Telekom. T-Systems será “depositaria y administradora de los datos” y Microsoft no tendrá acceso a los datos del centro de datos. Solo podrá obtenerlos si T-Systems o el cliente le otorgan acceso. Esto puede proporcionarle a Microsoft el aislamiento que necesita para resistir a una orden judicial de EE. UU. (o a la presión extrajudicial de los organismos gubernamentales estadounidenses). El objetivo es ayudar a mitigar las preocupaciones de los clientes de Microsoft, tanto de Europa como de otros lugares, acerca de la posibilidad de que el gobierno de EE. UU. tenga acceso a su información.

Si bien Microsoft ha elegido una estructuración física y jurídica de su infraestructura de TI, otras compañías están optando por un camino más técnico. Dada la gran cantidad de ofertas en la nube, la elección de una solución puramente técnica hubiese requerido importantes cambios en la arquitectura de los servicios de Microsoft, así que este camino probablemente les resultó más rentable.

Claves administradas por el cliente 

Una de las soluciones técnicas, las claves administradas por el cliente, permite que los clientes, sean individuos o empresas, administren quién tiene acceso a los datos. De esta manera, los proveedores de servicio trabajan con un flujo de datos cifrados, pero no tienen acceso a la información subyacente sin la ayuda del cliente.

En EE. UU., la ley CALEA (Ley de asistencia en las comunicaciones para la aplicación de la ley) requiere que los proveedores de telecomunicaciones proporcionen a los organismos de orden público un modo de escuchar las conversaciones. Sin embargo, la aplicación de esta ley se limita a la red telefónica conmutada y al servicio de VOIP. Lo interesante es que la ley CALEA prevé una excepción para la información cifrada que el operador no tiene posibilidad de descifrar.  La norma 47 USC 1002 (b)(3) establece que “El operador de telecomunicaciones no será responsable de descifrar, ni de garantizarle al gobierno la posibilidad de descifrar, ninguna comunicación cifrada por un abonado o un cliente, a menos que el cifrado haya sido provisto por el operador y este posea la información necesaria para descifrar la comunicación” [sin cursiva en el original].

Actualmente, los organismos de orden público están pidiendo que se sancione una ley CALEA II, para ampliar su alcance a otras formas de comunicación y, posiblemente, exigir que las compañías incluyan una “puerta trasera” en los productos de cifrado. Cabe destacar que el sector tecnológico se opone a estas exigencias, ya que debilitan intrínsecamente la seguridad de sus servicios y, obviamente, reducen la posibilidad de vender sus productos a clientes extranjeros.