Como bien sabemos, en Venezuela fue recientemente aprobada la Ley de Interoperabilidad, la misma, es considerada por muchos un logro significativo en la transformación tecnológica que generará un fuerte impacto en el desarrollo de los servicios de Gobierno Electrónico en el país. Esta ley, también llamada La Ley de Intercambio de Información entre Instituciones del Estado permitirá la simplificación de trámites y recortar los tiempos de respuesta a los venezolanos ante cualquier solicitud al Estado.
El pasado 13 de Septiembre de 2012, se realizó un evento organizado por CAVEDATOS: DebaTIC “Economía Digital y Movilidad” donde se pudo escuchar una Conferencia Magistral de la mano del Ing. José Sosa, Presidente del CENIT, del CNTI y Director General de Gestión, Acceso y Uso de Tecnología de Información del Ministerio del Poder Popular en Ciencia, Tecnología e Innovación donde se expuso muy marcadamente todas las ventajas que traerá el uso de la Interoperabilidad en Venezuela.
Lo que preocupa a algunos colegas que han discutido el tema, es la manera en que se nos ha presentado esta Ley. En principio, muy pocas personas tienen noción de que dicha ley se aprobó y a su vez, se tienen muy pocos detalles del evento (Cuándo se aprobó, Dónde se aprobó, quiénes estuvieron presente, etc. ) y mucho menos que todos nuestros datos estarán almacenados de forma centralizada.
También llama la atención la forma como está estructurada: Se habla de un Comité Nacional de la Interoperabilidad, y un Operador de Interoperabilidad (manejo de Datos), que será designado por el Presidente de la República.
Otro de los aspectos que preocupa es la seguridad. En un esquema distribuido el hecho de vulnerar uno de los nodos del sistema nos da la certeza de que el resto del mismo no será afectado, pero en un sistema centralizado la situación cambia.
Cuando hablamos de un sistema centralizado nos referimos al nuevo esquema a aplicar de la interoperabilidad en Venezuela, el llamado RDI (Repositorio Digital Institucional) el cual será firmado electrónicamente.
No queremos crear un concepto negativo de la Interoperabilidad, de hecho en otros países ha funcionado de manera correcta desde hace mucho tiempo. Entre ellos por ejemplo el uso de EMV, que es un estándar de interoperabilidad desarrollado por EuroPlay, MasterCard y Visa para la autenticación de pagos mediante tarjetas de crédito y débito el cual es usado desde los 90.
Actualmente sabemos muy poco acerca de la Interoperabilidad en Venezuela, siendo este un motivo para estar alertas y formularnos las siguiente preguntas: El hecho de que los RDI estén firmados electrónicamente nos da argumentos para exponer que no son ni serán vulnerables?, Si todos mis datos serán manejados por un único Operador de Interoperabilidad, si alguien llega a hackear de alguna forma dicho operador, no tendrán acceso a todos mis datos cuando antes sólo tenían acceso a una parte de los mismos?, Si hackean a dicho operador o vulneran un RDI, quién se responsabiliza por el uso de mis datos si en Venezuela no existe un Corpus Habeas Data?
Sabemos de muchos casos de troyanos que hacían uso de certificados digitales auténticos firmados de manera correcta para cometer fraudes electrónicos (Doquu) , sabemos que han podido vulnerar lo que se asumía no se podía ( El estándar EMV usado en las tarjetas de Chip ha sido Hackeado recientemente), sabemos de bases de datos muy bien protegidas que han sido hackeadas y se han hecho públicos los datos, (PlayStation, NASA, FBI, etc ), conocemos que en Venezuela el acceso a Bases de Datos que teóricamente deberían ser privadas es relativamente trivial en sistemas distribuidos ( CNE, TSJ, Onidex/SAIME, CANTV, Movilnet, Digitel, Movistar, PM, etc ), entonces podemos preguntarnos: La interoperabilidad que centraliza nuestros datos, será una solución o nuestro nuevo dolor de cabeza?.
Jonathan Maderos
Consultor Independiente de Seguridad
