|
La Cumbre mundial de la sociedad de la información ha contratado a SportAccess, una compañía del grupo Kudelski, como el responsable principal de una solución integrada para el control de acceso físico a la Cumbre organizada por Naciones Unidas. El sistema, que ha sido utilizado con anterioridad en otras cumbres como el Forum Económico Mundial, ha sido desarrollado por NagraCard y NagraID.
Un trabajo inicial realizado por un grupo independiente de expertos atendiendo la CMSI ha encontrado importantes fallos de diseño en el sistema propuesto desde el punto de vista técnico y legal.
El carné de identificación que se obtiene durante el proceso de registro en la Cumbre esconde un chip inteligente (SmartCard). El carné se obtiene después de mostrar un documento de identidad y dejar que una web cam tome una foto de cada participante. Lo que parece en principio una simple tarjeta de plástico es en realidad un SmartCard y un Rftag que se comunica con un lector de radiofrecuencia que puede estar ubicado en la entrada de una sala de conferencias o un ascensor. La tecnología, que también incluye una tinta segura especial en la tarjeta, permite la identificación remota de los participantes o grupo de participantes atendiendo cierto evento en un lugar concreto de la Cumbre.
Los datos personales del participante, incluida su fotografía, no se almacenan en la tarjeta sino en una base de datos centralizada. La solución permite por lo tanto monitorear cada uno de los movimientos de los participantes, incluyendo la posibilidad de saber si atienden determinada sesión, o establecer las relaciones de los participantes y sus interacciones.
Debido a que todos los datos personales, que no solo incluye la fotografía sino cada una de las transacciones asociadas a cierto individuo, se almacenan en una base de datos centralizada, partes de la base de datos o su totalidad pueden ser replicados y transferidos a futuros eventos como la siguiente Cumbre que será hospedada por el gobierno de Túnez en 2005.
Con la única intención de mostrar lo delicado del asunto, durante el transcurso de la investigación integrantes del grupo fueron capaces de registrarse en la Cumbre y obtener una tarjeta de acreditación después de mostrar tan sólo un documento de identificación falso. No se les pidió otra información como la confirmación del número de registro a la conferencia. Los datos necesarios para confeccionar el documento fueron obtenidos de la web de la Cumbre. Durante el proceso de registro se preguntó acerca del uso de la información personal y las funcionalidades incluidas en el carné de plástico de los asistentes, pero no se logró obtener ninguna información sobre el sistema o la política de privacidad del evento.
La preocupación principal no es sólo la falta de información que los participantes reciben acerca del sistema de control de acceso al evento o que nadie fuera capaz de contestar cómo los datos personales iban a ser tratados en el futuro; el problema principal es que el sistema en realidad no introduce una verdadera seguridad y por el contrario introduce la posibilidad de monitorear a los representantes de la sociedad civil.
Los firmantes de la denuncia -Prof. Dr. Alberto Escudero-Pascual del Royal Institute of Technology de Estocolmo, Suecia; Stephane Koch, Presidente de la Internet Society Geneva; y George Danezis, de la Universidad de Cambridge, Inglaterra- consideraron una amenaza para los participantes y para el total de la sociedad de la información que sistemas como éste se implementen sin una discusión transparente y abierta.
Más información (en inglés)
http://www.contra.info/wsis
wsis@contra.info
================
Contactos:
================
>>Ass. Prof. Dr. Alberto Escudero-Pascual, Researcher in Computer Security and Privacy, Royal Institute of Technology, Stockholm, Sweden (EN, SP) Tel: + 41786677843 , +46 702867989
>>George Danezis, Researcher in Privacy Enhancing Technologies and Computer Security, Cambridge University, UK. (FR, EN, GR)
>>Stephane Koch, President Internet Society Geneva, Executive Master of Economic Crime Investigations, Geneva, Switzerland. (FR, EN) Tel: +41 79 607 57 33
REFERENCIAS
[1] Electronic Privacy Information Center Website about RFID Identification
[2] Swiss Federal Law on Data Protection
[3] European Union Data Protection Directive
[4] Guidelines for the Regulation of Computerized Personal Data Files
[5] CASPIAN - Consumers Against Supermarket Privacy Invasion and Numbering
[6] The Boycott Gillette Campaign
|