Identificación digital

Los estados son dinosaurios y como consecuencia operan sobre una serie de supuestos que con el transcurso del tiempo pueden haber perdido su vigencia y más ahora en la era de Internet y las tecnologías digitales, es el caso de la identificación de los ciudadanos.

En países como Inglaterra los ciudadanos no han permitido al estado hacer inventario de sus ciudadanos como si de reses se tratara, por el contrario en otros como Colombia tenemos un registro detallado del rebaño. La discusión si esto es bueno o malo, … la dejo a un lado aceptando este hecho como una realidad que en el mediano plazo no va a cambiar pero siendo un apasionado por Internet, sistemas de autenticación, privacidad y tecnologías informáticas/digitales … me atrevo a hacer un análisis de lo que está pasando y a proponer lo que debería pasar.

Lo que está pasando es que la tecnología ha cambiado tanto que el estado tiene casi que la obligación de modernizarse implementando soluciones tecnológicas y debe hacerlo desde su ignorancia respecto a la tecnología emergente. Digo que es ignorancia por que mi punto de referencia es una comparación de la competencia/eficiencia del estado frente a la de multinacionales como Google tomando como referencia las soluciones tecnológicas que cada uno ofrece y la gestión del recurso humano competente en este campo.

Hasta el momento ha sido misión de la Registraduría General de la Nación alimentar y administrar el registro de los ciudadanos colombianos y el medio que nos ha dado para identificarnos es la cédula de ciudadanía. Si todo se hiciera de forma presencial exclusivamente la cédula es una forma decente de solucionar el problema de identificar una persona pero con la aparición del teléfono, las tecnologías digitales, los computadores e Internet todo ha cambiado, inicialmente pasamos de presentar la cédula en persona a dar el número de la cédula por teléfono para identificarnos y ahora en la modernización del estado y del sector privado nos piden el número de cédula para identificarnos en sitios web y esto ha traído como consecuencia la prostitución de los números de cédulas de los ciudadanos que hasta se pueden comprar de forma ilícita en los alrededores del centro de venta de computadores Unilago (reportaje periodístico que ahora no encuentro) y como consecuencia cualquiera que conozca el número de cédula de un ciudadano tiene la puerta abierta (o parcialmente abierta) para suplantarlo.

En el colectivo RedPaTodos vemos con preocupación la cantidad de datos que el estado y el sector privado tienen de los ciudadanos y que pone a disposición solicitando simplemente el número de cédula, por ejemplo gracias a Andrés Gómez, colombiano que trabaja en el CERN y que hizo un rápido estudio de la aplicación Verifiquese sabemos que lo que hace son consultas web a páginas de terceros (estado y privados).

Teniendo en cuenta los generalizados niveles de analfabetización digital respecto a la seguridad informática no es viable elegir el método de autenticación “más seguro” pues este sería demasiado complejo, incomprensible inmanejable y un desastre. En la práctica sería como darle un computador a un cavernícola y por ello se debe optar por un método que brinde un nivel aceptable de seguridad  (mirando hacia el futuro) pero que la población lo pueda aprender a usar y creo que en este punto está la propuesta de FIDO, que seguramente tendrá una fuerte aceptación en el mercado al ser abierto, escalable e interoperable y prueba de ello es que Google ha hecho el primer despliegue a larga escala de la tecnología.

Pero como sería el asunto?

Bueno se usaría U2F y para ello la cédulas que tenemos ahora se cambiarían por llaves de autenticación criptográfica USB que nos entregaría la Registraduría y que llamaré criptocédulas. Como hasta ahora, el número de cédula sería el mismo toda la vida.

Yo creo que que la Registraduría se especializaría en la instalación, aseguramiento y administración de los servidor(es) FIDO que usarían todas las otras entidades del estado donde el nombre de usuario de cada uno sería el número de la cédula y de esta forma tendría la posibilidad de impedir el acceso a cualquier sitio en caso de la pérdida de la cédula, aclaro que la idea sería pedir el nombre de usuario, el password y la criptocédula razón por la cual la perdida de la criptocédula no es tan grave pues hace falta el password para ingresar.

Como funciona fido? un video para entender: http://vimeo.com/yubikey/fido-u2f

De ser como propongo, la Registraduría tendría un papel muy importante que jugar en todas las propuestas de MinTIC pues la autenticación e incluso el acceso a archivos privados del ciudadano que deberían estar encriptados, debería hacerse mediante la criptocédula.

Creo que es un peligro dejar todo en manos de MinTIC pues es un experto en subcontratar pero no en estándares, seguridad o privacidad y lo digo al ver programas bandera como apps.co. Además no conoce a profundidad ni es responsable de la identificación ciudadana y otras misiones que han sido encargadas a determinadas ramas del estado para las cuales hay leyes y regulaciones, debe participar claro pero no asumir tareas que no le corresponden.

Anuncios

Pensando paranóico google, apple y cuantos más?

No puedo negarlo, siempre he querido dejar de ser un maldito hamster entretenido con la ruedita dentro de la jaula! Podrán decir que soy un pesimista pero desde que soy niño veo como las cosas están de mal y como gracias al “optimismo” continúan peor y me siento como una hormiga mirando hacia arriba tratando de entender el mundo que la rodea desde otra perspectiva.

Cuando inicié a leer Google Is Not What It Seems pensé en solo leer uno o dos párrafos para hacerme una idea, no pude parar de leer hasta el fin, y estos días estaba pensando …   algo que me parece interesante en la historia de Steve Jobs y de Larry Page es que a ambos les quitaron literalmente de sus manos el control sobre las empresas que ellos fundaron y solo se las regresaron luego por que ellos fueron extremadamente persistentes.

Ahora la me pregunto, será que en ese periodo de consolidación de las grandes corporaciones lo que hace el  gobierno de Estados Unidos es sistemáticamente apoyarlas para que crezcan e infiltrarlas desde adentro por medio de CEO’s como Eric Schmidt para que estas sirvan a un “proyecto de nación” que la población e incluso los mismos fundadores de estas corporaciones desconocen.

Servidor de backups revelde

Después del incidente que dejó RedPato2 fuera del aire unas cuantas horas y que justamente bloqueó el trabajo de Pilar y Fernando que necesitaban acceso a una información que estaba en el wiki la necesidad de un servidor con un backup que se pueda usar en caso de emergencia se convirtió en una prioridad.

Para tal fin decidí recuperar un viejo Mac mini con procesador PowerPC G4, entonces compré algunos CD’s vírgenes, bajé debian testing (Jessie de Oct 14 2014) y cuando estaba listo para iniciar me di cuenta que no tenía teclado.

No me voy a varar por eso, salí y compré el teclado a pesar de la lluvia, me había hecho el propósito de solucionar el problema!

Inicié la instalación pero el instalador beta estaba lleno de bugs, primero no fue capaz de crear las particiones cifradas, entonces decidí hacer una instalación sencilla y en la instalación del sistema base me decía que no encontraba el kernel, revisé y allí estaba el paquete, entonces intenté como 3 veces instalándolo manualmente hasta que lo logré.

En el primer reinicio del sistema me encontré con un kernel panic por que no encontraba el sistema de archivos, aburrido decidí bajar el CD de instalación de estable y funcionó, mi “sexto sentido” me llevó a revisar el disco duro y plop, el disco duro estaba dañado, inmediatamente me decidí a desvalijar una vieja Archos 5 Internet Tablet (uno de los peores productos de electrónica de consumo que he conocido) para sacarle el disco duro, pero como no tenía los destornilladores pequeñitos me tocó ir a comprarlos, me tomó un buen tiempo pero lo logré:

IMG_20141016_150402

Abrí el mac y lo tenía casi listo para hacer el cambio condo me di cuenta que había perdido mi tiempo pues el mac es viejito y la interfaz del disco duro es PATA y la del disco que le saqué a la tablet era SATA:

IMG_20141016_160730

 

Creo que cuando realmente quieres hacer algo y empiezas a hacerlo con impulso, no debes perder el impulso y por ello decidí comprar un disco duro, llega en un mes!!!  espero que el hecho de haberme metido la mano al dril evite que pierda el interés, y todo este post para decir que hay cosas que el dinero no puede comprar, como ayudar con la infraestructura del colectivo que defiende Internet en Colombia, para todo lo demás existe BitCoin 🙂

Nube Voladora o Enboladora de MinTIC?

Si bien aplaudo el hecho de que se tengan programas para modernizar el estado y entiendo que MinTIC nos quiera dar una nube voladora, me preocupa bastante la carpeta digital planteada en el plan vive digital 2014 2018.

Si el interés de MinTIC es poner la tecnología al servicio de los ciudadanos, agilizar trámites, reducir consumo de papel, la burocracia y la corrupción creo que debe seguir adelante pero con una solución capaz de resistir ataques de agencias de inteligencia y delincuentes informáticos profesionales tanto nacionales como internacionales por que los datos y los metadatos son el recurso más codiciado de la sociedad de la información, por ejemplo la historia clínica de alguien puede valer 10 veces más que los datos de su tarjeta de crédito y la información que tiene Google de nosotros es tan importante que ha sido atacado en varias ocasiones por la NSA y por agencias de espionaje y gobiernos extranjeros, vinculando este último con el escándalo revelado por Eduard Snowden.

Para que este proyecto no sea un fracaso nacional pasando de una nube voladora a una que nos deje en bola en la red hay que pasar de la retórica de los estándares internacionales en seguridad y comenzar hablar claramente de criptografía  fuerte, por que usar canales cifrados (por ejemplo https en el navegador) no es suficiente.

Si al estado le interesan los ciudadanos y quiere ayudarlos y protegerlos, entonces los datos de los ciudadanos hospedados por el estado (directa o indirectamente) deberán estar encriptados y solamente los ciudadanos deberían tener la capacidad de desencriptarlos, de lo contrario sería muy fácil pensar que el interés principal del proyecto es el espionaje masivo de los ciudadanos por parte del gobierno.

Artículos relacionados:

 

 

 

FLISoL – El poder de los nombres

En FLISoL – Poder en la base expliqué e ilustré que los FLISoL ocurren en lugares específicos:

FLISoL-distribuido-casos

Casos organización FLISoL

 

Voy a tomar como ejemplo Honduras 2014 y voy a suponer que fue organizado por varias comunidades para que corresponda con el caso FLISoL-B, allí tal vez inicialmente valga la pena denominar el único evento existente con el nombre de FLISoL Honduras, el problema (aclaro que no conozco la realidad en Honduras) es que el cerebro del coordinador muy seguramente entenderá que dicho cargo le otorga autoridad sobre FLISoL en todo el país y podría comenzar a actuar como soberano del mencionado territorio y seguramente el resto del grupo lo validará por que todo nos indica que su elección fue democrática y por lo tanto su comportamiento corresponde con su “nivel de autoridad”.

FLISoL-B

FLISoL-B

Ahora supongamos que dos semanas antes del evento, en otra ciudad una comunidad local decide organizar el evento allí, entonces tenemos en la primera ciudad el caso FLISoL-B y en la nueva ciudad el caso FLISoL-A (en el mismo país) que se parece a Panamá 2014 (tampoco conozco la realidad en Panamá) y pasan varias cosas, ya no es conveniente usar el nombre de FLISoL Honduras pues hay dos ciudades que participan pero la que había llegado de primeras usó este nombre entonces como cambiar todo para ser “justos” respecto al nombre es muy complicado, por este año una ciudad usará el nombre del país y  la segunda parecerá menos importante usando el nombre de su ciudad (tal vez lo sea pero la primera no es un país y ese es el punto). El coordinador de la primera ciudad será el coordinador internacional por que ya lo era y seguramente al sentirse tan importante y recorrido procurará incluso repetir el año siguiente (2015) y “dejará” a un amigo amigo suyo organizar el evento para la primera ciudad (en 2015).

Casos FLISoL-A y FLISoL-B en mismo país

Casos FLISoL-A y FLISoL-B en mismo país

 

El coordinador nacional gobernará con otros como el, llenos del poder ilusorio que les otorga el nombre de su cargo van a trabajar en equipo con la expresión maxima de poder, el/ los coordinadores Internacionales. Si lo analizamos bien, estos terminan siendo cargos como los de los políticos, allí hay mucho poder, se habla mucho, se resuelve poco y se crean nuevos problemas como la distribución de los recursos nacionales e internacionales y por otro lado los que organizan localmente tienen que soportar esta gente que realmente ya no está organizando ningún FLISoL o que tratan de hacer tanto para figurar que no hacen nada. Para empeorar todo, ese poder se usa para entorpecer  a nivel internacional el trabajo creativo (multimedia, banners …) y de administración/desarrollo de la infraestructura pues el poder de los nombres de los cargos que les dimos les indica que son ellos los que deben liderar, decidir y gobernar al resto.

Como se pueden dar cuenta es el mismo problema que tenemos en nuestras sociedades contemporáneas calcado en el FLISoL por que nuestro reflejo fue crear un modelo democrático participativo, justamente lo que los modelos horizontales pretenden eliminar y es que la ilusión del poder es tan adictiva que el fenómeno se repite incluso en las grandes ciudades y debo aceptar que a mi me pasó (por ello soy voluntario en infraestructura en vez de coordinador), yo quería un solo FLISoL para Bogotá y lo hice, y aunque logramos la inolvidable cifra de al rededor de 3.000 asistentes (principalmente a la exposición) y patrocinadores de la talla de SUN, nos dimos cuenta el mal que hicimos años después cuando otro grupo de gente tomó la coordinación del evento razón por la cual se organizó un segundo evento en la misma ciudad para “hacer el fork” caso FLISoL-G y FLISOL-H en Cuidad-E.

Caso FLISoL-G y FLISOL-H en Cuidad-E.

Caso FLISoL-G y FLISOL-H en Cuidad-E.

 

Con esto de base y también sabiendo que en Mexico hacen varios FLISoL en la misma ciudad por el tamaño de la misma he llegado a la conclusión (y por ello lo propongo) que la escala adecuada para dar el verdadero nombre de un FLISoL es una justo debajo de una ciudad, para encontrar estos nombres se pude usar OpenStreetMaps con un map=12 en el URL, para mostrarlo 3 ejemplos y aclaro que el nombre de la ciudad al final es para dar claridad y evitar conflictos por nombres iguales:

  1. SanCristóbal-Bogotá
  2. BenitoJúares-CiudadDeMéxico
  3. SanCristóbal-BuenosAires

Teniendo esto claro y para finalizar, deberíamos relegar los nombres poderosos (internacional, país, ciudad) a sencillas redirecciones y mensajes automáticos y usar los nombres sin tanto poder (los que propongo) no solo para el evento y el/l@s coordinadores. También en subdominios, alias de correo, direcciones de la lista de correo y en el sistema de registro para empoderar a la gente con infraestructura que le sirva para hacer el FLISoL en cada rincón de América Latina y tal vez de el mundo.

 

Pensando en página inicial del FLISoL

Es agradable darse cuenta que hay más como yo pensando desde ya en mejorar el FLISoL para el año 2015, leyendo la lista técnica me enteré de las Ideas de Igor respecto a OpenStreetMaps y hablándome con Tatica me enteré que ella hizo esta propuesta y piensa hacer otra y yo por otro lado tenía en mente hacer algo minimalista y que ojalá funcionara bien en teléfonos y tabletas y pegando todo lo anterior este es el bosquejo de mi idea:

HomePage2014

Para las pantallas muy pequeñas sencillamente lo de la derecha pasaría abajo:

HomePageMobil2014

 

  • El logo y la fecha: Estos dos elementos corresponden a tres acuerdos mínimos que permiten que el evento sea lo que es, uno es el nombre, el segundo es el logo que marca la tendencia de la identidad gráfica y el tercero es la fecha. sin ese nombre, sin ese logo y sin la fecha no sería FLISoL.
  • El mapa: La función del mapa es redireccionar a los asistentes potenciales al sitio web del FLISoL más cercano a la ubicación que buscan, algunos usan la wiki y otros sus sitios web propios.
  • El contador: Es una idea que tomé de la propuesta de Tatica por que me pareció chévere (me gustó) y además pienso que una vez finalizado el evento, en este espacio se podrían publicar las estadísticas generales del evento.
  • La presentación: Es el elemento más importante de la página principal, el contiene la descripción del evento y de los acuerdos mínimos que hacen el evento lo que es. Sirve al mismo tiempo para presentarnos a los que no nos conocen y para recordarnos a nosotros mismos quienes somos. Consideré que la mejor forma de cerrar este elemento era con el botón ¿Cómo ayudar?.
  • El botón ¿Cómo ayudar?: Tiene como misión redirigir a los colaboradores de la comunidad hacia el wiki, básicamente la idea sería brindar información de como organizar un evento local si no hay uno, como encontrarse con los organizadores de uno existente y como participar o encontrar ayuda en los equipos internacionales Creativo  y de Infraestructura.
  • Los agradecimientos: Por que las cosas no funcionan solas y es bueno agradecer tanto a los que hacen el Software Libre que se usa como a los que nos dan hospedaje.

Carcel para la opinión pública?

Siempre escuchamos la frase “la opinión pública”, si bien los eruditos podrán dar los detalles técnicos de como se mide y define, yo como amante de Internet puedo decir que considero el caso del señor Gonzalo Hernán López, condenado a 18 meses de cárcel por haber escrito un comentario en la versión en linea del periódico El País de Cali es una condena a la verdadera opinión pública.

Si la opinión pública reflejara lo que la sociedad piensa respecto a algo, entonces esta no debería ser homogénea y el vocabulario y rigurosidad de los comentarios deberían reflejar la diversidad social y cultural del país que está bien lejos de ser la ideal.

La verdadera opinión pública tal vez no es aquella prefabricada que siempre nos presentaron y tal vez siempre estuvo en los comentarios con los vecinos del barrio, los compañeros del trabajo y los amigos. Comentábamos sin pensar mucho al sentir garantizada nuestra libertad de expresión.

Gracias a Internet esta verdadera opinión dejó de vivir en círculos cerrados para tomar el lugar que le corresponde y ser pública pero el fallo de la Corte Suprema hará sentir a los colombianos menos libres de expresar su opinión en público y más tentados a usar herramientas técnicas como Tor y PirateBrowser para garantizar el  anonimato.

El asunto de la libertad de expresión e Internet es más complejo de lo que parece, este video ayuda por igual a abogados y genios de la computación a entender el informe “Libertad de Expresión e Internet” hecho por  Catalina Botero como relatora para la libertad de expresión de la Comisión Interamericana de Derechos Humanos.:

A %d blogueros les gusta esto: