La seguridad de las comunicaciones por vídeo: Cloud Act frente al RGPD

Seguridad

Valentín Martín, Channel Sales Manager, Spain & Portugal, arroja luz sobre las incompatibilidades existentes entre las regulaciones europeas en materia de privacidad y la iniciativa Cloud Act, que permite al gobierno norteamericano acceder a cualquier información albergada en las empresas tecnológicas de ese país.

Hace apenas unas pocas semanas, el pasado 27 de mayo, la Comisión Nacional de Informática y Libertades (CNIL), el organismo francés responsable, entre otras funciones, de la protección de datos personales, emitió un informe en el que se desaconseja el uso de servicios de videoconferencia de fuera de la Unión Europea tanto en la enseñanza superior, como en la investigación. 

Entre los argumentos esgrimidos está la “Cloud Act”, la ley que permite al gobierno estadounidense acceder a los datos intercambiados y alojados en la nube de una empresa estadounidense, independientemente de que los servidores estén ubicados en Estados Unidos o en el exterior. La CNIL alerta en su escrito sobre el hecho de que esta ley anulará el efecto del Reglamento General de Protección de Datos de la UE (RGPD), lo que ha causado un gran impacto en la prensa francesa.

Seguridad sí, pero…

Durante muchos años, los fabricantes de soluciones de videoconferencia han creído que el mayor riesgo para los usuarios era el relativo a la confidencialidad de sus conversaciones y no a los datos. De hecho, cada día se realizan muchas videollamadas en las redes de los proveedores de servicios de video, y la solución que parecía más acertada era la de cifrar de extremo a extremo la comunicación para evitar que pueda ser interceptada la conversación. En pocas palabras, se trataba de proteger el intercambio de paquetes IP entre el remitente y el destinatario a lo largo del recorrido.

Y los esfuerzos para proteger este tipo de información han avanzado hasta alcanzar los mínimos marcados por los Estados. En efecto, se pueden cifrar los intercambios de vídeo, pero el nivel máximo de protección debe permanecer dentro de las competencias de los servicios de seguridad nacionales para poder anular estas protecciones llegado el caso.

Es importante entender que para espiar las conversaciones de vídeo encriptadas, los ciber-delincuentes tienen que gastar mucho dinero para desarrollar los sistemas que les permitan penetrar las defensas y acceder al contenido. Se trata del equilibrio entre inversión y beneficio, como en cualquier negocio. Pero la información que pasa por los servicios de videoconferencia es muy difícil de captar y a menudo no es especialmente valiosa. En cualquier caso, no justifica invertir tanto, sobre todo porque el ataque debe coordinarse en el mismo momento que se produce la comunicación.

Sin embargo, ahora nos hemos dado cuenta de que el principal problema es de tipo legal, y no técnico, y se refiere a los datos almacenados, más que a las conversaciones en sí. Desde julio de 2020, en Estados Unidos ya no existe el Escudo de Privacidad (Privacy Shield) que regula la transferencia de datos personales entre Estados Unidos y los países de la Unión Europea.  Por otro lado, la Administración de Estados Unidos se ha dotado de una herramienta legal que le permite acceder a todos los datos que almacenen las empresas estadounidenses (Patriot Act – Cloud Act), independientemente de dónde estén alojados.

Y es sobre este punto, en el que la CNIL se ha pronunciado en su advertencia del 27 de mayo, instando a los ciudadanos franceses de la enseñanza superior y del ámbito del I+D, a no utilizar los sistemas norteamericanos.

El principal problema: los datos de conexión

Capturar y descifrar contenidos es poco frecuente, complejo y está reservado a los “profesionales” que persiguen una información muy concreta.

Un detalle que la CNIL no contempla en su informe es el almacenamiento y la seguridad de los CDR (registros de datos de llamadas – call data records), donde queda huella del dispositivo, sistema operativo, hora y duración de la llamada, protocolos de comunicación, etc. Algo así como los registros de las llamadas de una línea que los operadores de telefonía móvil entregan a la policía durante una investigación judicial.

Mientras que desencriptar una llamada es casi imposible, el uso de los datos de conexión es sencillo e instructivo. 

Al acceder a esta información de las llamadas (los CDR), un ciber-criminal o un servicio de inteligencia extranjero puede saber quién, cuándo, cómo, con qué frecuencia, durante cuánto tiempo, desde dónde, cuántas personas….  Con este tipo de datos, puede prever fácilmente la fusión compañías, una adquisición de empresas, alianzas políticas, colaboraciones académicas, negociación de contrataciones, etc. Información que es estratégica, confidencial, incluso sensible.
Más concretamente, en el mundo de la educación, podemos saber qué cursos realizan los estudiantes, su asistencia, su ubicación, su especialización. En un nivel superior, podemos conocer las colaboraciones de un Investigador y deducir la finalidad de su trabajo, los vínculos con empresas privadas, gobiernos, etc.

En conclusión…

La alerta de la CNIL sobre el uso de soluciones tecnológicas estadounidenses es algo positivo, sobre todo porque muchas empresas españolas y europeas se sienten protegidas por el RGPD de la UE. Por lo tanto, es importante recordar que la “Cloud Act” estadounidense elimina de facto la normativa europea si nuestros servicios de video los presta una empresa estadounidense.

Por eso, creemos que es importante contribuir a las advertencias de los peligros existentes que hacen las autoridades europeas sobre las herramientas de colaboración en general y de videoconferencia en particular.

Por último, no focalicemos en Estados Unidos únicamente. A partir del 1 de julio, las empresas británicas también salen del ámbito de aplicación del RGPD de la UE, nuestras autoridades de protección de datos tendrán también que analizar esa nueva situación.

Autor