Levantar muros en la nube

Los gobiernos nacionales buscan limitar cada vez más la transmisión de la información en la nube.
AÑADIR A FAVORITOS
ClosePlease loginn

Probablemente Amazon sea una de las empresas con mayor nivel de seguridad de datos en el mundo. Nunca ha sufrido una violación de la información de sus clientes (a menos que contemos lo ocurrido hace poco con la cadena de supermercados Whole Foods, comprada por Amazon hace unos meses). Incluso la CIA usa Amazon Web Services para almacenar su información de forma segura. Por eso, el anuncio que hizo la empresa la semana pasada resulta llamativo, aunque no sorpresivo: planea vender el hardware de sus servicios de computo en la nube en China para cumplir con la nueva ley de seguridad de ese país, que entró en vigencia este año. Si bien Amazon no abandonará China del todo, esto representa un gran cambio: según CNBC, “Amazon declaró que solo está vendiendo ‘determinados recursos físicos’ y que aún es dueño de la propiedad intelectual de AWS en todo el mundo”.

¿Por qué un país querría perjudicar a una empresa que tiene un excelente historial con respecto a la seguridad, con la excusa de fortalecer la seguridad de los datos?

En parte, esta nueva ley se centra en la localización de los datos y exige que toda la información importante sobre ciudadanos chinos o seguridad nacional se almacene de forma local en servidores que se encuentren físicamente en China. Esto podría ser un requisito complicado para las empresas internacionales, como Amazon, que regularmente transfieren y copian información a lo largo de su red de centros de datos. Teniendo esto en cuenta, no resulta sorpresivo que Amazon le vendiera toda su infraestructura localizada en China a Beijing Sinnet Technology Co. Ltd, una empresa local. Otras empresas de tecnología con sede en los Estados Unidos, como Apple, Oracle y Microsoft, también han iniciado el proceso para transferir el control de la información pertinente a las compañías chinas.

Existen dos razones generales por las que un país podría estar interesado en localizar su información dentro de su propio territorio. La primera es que es posible que la información esté menos segura si está almacenada en otros países (o si pasa por varios países hasta llegar al servidor final). Ya sea porque esas naciones podrían exigir menos requisitos de seguridad a las empresas y su infraestructura, o porque los gobiernos mismos podrían interceptar o recolectar esa información almacenada en servidores que están ubicados dentro de su jurisdicción. La segunda razón es que todos los datos de sus ciudadanos estarían localizados únicamente dentro de su propia jurisdicción, lo que les garantizaría tener un mejor y más rápido acceso a ellos en caso de necesitarlos para alguna investigación.

Ambos argumentos tienen un poco de verdad: es más fácil para los gobiernos extranjeros apoderarse de la información que pasa por sus países y los datos que se encuentran dentro de las fronteras de un país son más accesibles. Pero es posible que ubicar la información en un país específico perjudique la seguridad. Sin duda, traspasar los datos de los servidores operados directamente por Amazon, Microsoft y Apple hace que el gobierno chino pueda disponer de ellos con mayor facilidad, lo que probablemente sea la intención de esta nueva ley. Sin embargo, es posible que no ayude a proteger los datos sensibles de ese país contra los cibercriminales o el espionaje extranjero.

Por ejemplo, en muchos casos, las agencias de inteligencia de los Estados Unidos pueden recolectar información con mayor libertad fuera de su país que dentro de su propio territorio. Y eso se debe a que pueden asumir que esa información, por estar fuera de los Estados Unidos, pertenece a individuos extranjeros, a menos que su objetivo sea claramente una persona estadounidense. Muchas veces, dentro de los Estados Unidos, el gobierno tiene que sortear distintos obstáculos legales para recolectar datos. No obstante, fuera de sus fronteras, esos obstáculos desaparecen, y el gobierno no necesita usar los tribunales para acceder a la información almacenada. Sin embargo, esto también significa que el gobierno estadounidense no puede usar los tribunales para obligar a las empresas a proporcionar esos datos.

La razón más convincente para confiar en empresas como Amazon con datos sensibles es su historial: han demostrado una y otra vez que tienen lo necesario para brindar y mantener las medidas técnicas y los controles necesarios a fin de proteger la información contra intrusos. De hecho, varias empresas estadounidenses de tecnología estuvieron a la vanguardia cuando se trató de reforzar sus medidas de seguridad para proteger datos contra el espionaje del gobierno local luego de la divulgación que Edward Snowden hizo sobre los programas de vigilancia de ese país.

No es seguro si las empresas chinas que han tomado el control de las operaciones de hardware ubicado en ese país, como parte de su sociedad con las empresas estadounidenses de tecnología en la nube, contarán con medidas técnicas de seguridad que sean igual de sólidas que las de sus homólogas. Lo que sí es seguro es que pueden ignorar con mayor facilidad los intentos por parte del gobierno estadounidense de obtener información mediante mecanismos legales, como órdenes judiciales. Aún se desconoce si las empresas ubicadas en Estados Unidos podrán rehusarse a cumplir con las órdenes judiciales que exijan darles acceso a los datos almacenados en países extranjeros que pertenezcan a ciudadanos extranjeros. Dependerá del resultado de un caso que se tratará en la Corte Suprema en el que Microsoft está luchando contra una orden judicial que le exige proporcionar la información que está almacenada en un centro de datos en Irlanda.

Si la Corte Suprema falla a favor de Microsoft y considera que el gobierno no tiene derecho a acceder a la información de ciudadanos extranjeros almacenada en centros de datos en otros países, es posible que otros países comiencen a solicitar o exigir que la información se almacene dentro de su territorio, donde estará fuera del alcance de la ley estadounidense. Para hacerlo posible, podrían trabajar con empresas extranjeras. Pero si la Corte Suprema falla a favor del Departamento de Justicia, es probable que esos países decidan usar empresas locales para almacenar sus datos, como está haciendo China.

De cualquier forma, no hay duda de que las normas sobre cómo y dónde se almacena la información perjudicarán la eficiencia y los beneficios prometidos de seguridad de la tecnología en la nube. Parte de los beneficios de esta tecnología es que es posible reubicar recursos y mover datos para crear fluctuaciones en la actividad de los clientes. Así mismo, parte de encomendar nuestra información a Amazon Web Services supone confiar en una empresa grande, que cuenta con los recursos necesarios para usar un equipo experto de seguridad para proteger nuestros datos. Hacer que para las empresas de tecnología en la nube sea más difícil mover datos entre países también les complica usar eficientemente sus servidores asignando recursos a distintos clientes en función de lo que más necesitan o almacenando datos donde sea más barato. Además, despojar a esos proveedores de la tarea de proteger los datos implicaría perder su conocimiento en cuestiones de seguridad técnica.

La intención que tiene China de aprovechar la tecnología de Amazon para adaptar la infraestructura local de hardware sugiere que su gran temor al ciberespionaje extranjero ya no tiene que ver con cuestiones técnicas sino políticas. Si China quisiera proteger su información contra maniobras técnicas del gobierno estadounidense, no tendría mejor opción que recurrir a las empresas más importantes con sede en ese país, que han invertido mucho tiempo e innumerables recursos en demostrar su compromiso con la protección de datos contra ataques de su propio gobierno. Por el contrario, China está más preocupada por que el gobierno estadounidense utilice medios legales, como órdenes judiciales, para obtener información almacenada por esas empresas. Para evitar esto, está dispuesta a sacrificar la seguridad técnica que le ofrecen las compañías como Amazon en favor de la garantía que le dan las empresas locales, que están fuera del alcance legal (pero no técnico) de los gobiernos extranjeros.

***

Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de SlateNew America, y Arizona State University

+ posts

profesora asistente de políticas de ciberseguridad en la Tufts Fletcher School of Law and Diplomacy.


    ×  

    Selecciona el país o región donde quieres recibir tu revista: