26. ¿Qué responsabilidad debe tener una compañía en proteger los datos de los clientes? diciembre 3, 2015

Varios hackers accesaron el servidor de una compañía grande de entretenimiento, interrumpiendo el servicio a sus clientes. Los hackers también publicaron datos personales de millones de clientes, incluyendo contraseñas y posiblemente información sobre tarjetas de crédito. La compañía afectada alegadamente esperó toda una semana para informarle a sus clientes sobre tal ataque.

Los hackers que expusieron la data de esta compañía formaban parte de un conocido grupo activista. Este grupo de hackers tiene como blanco u objetivo a las grandes corporaciones y agencias de gobierno ,con el fin de exponer vulnerabilidades y protestar en contra de sus políticas. El grupo reclama que la compañía afectada no había encriptado apropiadamente la data expuesta. Los miembros de este grupo de hackers son desconocidos, así que los oficiales de seguridad no han podido hacerlos responsables de tales acciones.

Los clientes, sin embargo, han demandado a esa compañía de entretenimiento por la filtración de datos privados. Una demanda exponía que la falta de sistemas de encripción y de «firewalls»de esa compañía los hace responsable de las acciones de los hackers. Los oficiales de seguridad estuvieron de acuerdo y declararon que «Si una compañía es responsable por tantos detalles de pagos de tarjetas de crédito y cuentas de usuarios, entonces la seguridad de datos personales debe ser su prioridad.» Los clientes de esa compañía los acusan de irresponsables por el mero hecho de tardarse tanto hacer la notificación.  Este ataque resultó en un costo para esta compañía de aproximadamente $170 millones.  Desde ese ataque, la compañía cambió sus políticas de uso del usuario (user agreement policies). La nueva política establece que al estar de acuerdo con el uso de sus productos, los usuarios renuncian a su derecho a demandar por brechas o fallos en la seguridad.

¿Deberían los hackers recibir castigos por exponer la data de los clientes? ¿Por qué sí o por qué no? ¿Qué expectativas de seguridad deberían tener los clientes al momento de entrar sus datos personales en un Website o formulario electrónico? ¿Deberían las compañías ser capaces de prevenir las demandas de los clientes? ¿Por qué sí o por qué no? Si tú hubieras sido uno de los clientes afectados, ¿qué acciones habrías tomado al respecto?

25. ¿Deberían las universidades e instituciones educativas enseñar sobre «hacking»? abril 24, 2014

Los investigadores siempre han intentado entender la mentalidad de los criminales en un intento por identificar qué motiva a los criminales a cometer fechorías. De forma similar, algunas universidades están permitiendo a los estudiantes experimentar el modo de pensar de un hacker mediante cursos que enseñan cómo escribir o codificar virus de computadoras y otros programas maliciosos («malware»). Un instructor enseña a los estudiantes cómo evadir un programa de antivirus y poder generar un ataque de spam anónimo. Ese instructor asegura que si los estudiantes pueden evadir fácilmente un programa de antivirus, entonces eso demuestra que el producto es deficiente. ¿Existe algún beneficio al enseñar a los estudiantes cómo hacer «hacking»?

Los que proponen tales cursos reclaman que estas destrezas de «hacking» permitirán a la próxima generación de expertos en seguridad a pensar como hackers maliciosos, ayudando así a detener la propagación de «malware». Ellos comparan estas destrezas con las de estudiantes de física que aprenden sobre bombas atómicas o estudiantes de biología  que aprenden sobre cómo funcionan los venenos. Una compañía de software apoya la enseñanza de hacking para ayudar a los desarrolladores de programas  a evaluar el riesgo de seguridad de los mismos. Los críticos reclaman que esta práctica fomenta la creación de más virus y el hacking como tal. Algunos desarrolladores de software de detección de malware han declarado que nunca contratarían a un estudiante que haya tomado algún curso en hacking. Otros declaran que el conocimiento de cómo escribir malware no hace a una persona más capaz de detener esos programas maliciosos. Quedan muchas dudas sobre quién es el responsable desde el punto de vista legal, financiero y moral si un estudiante usa el conocimiento adquirido en el curso para desplegar código malicioso en el Internet o infectar otras computadoras a propósito.

¿Deberían las universidades enseñar sobre hacking? Sí o No y porqué. ¿Deberían las compañías contratar personas adiestradas en la creación de malware y en hacking? Sí o No y porqué. ¿Qué precauciones deben tomar estas instituciones educativas si planifican ofrecer dichos cursos? ¿Quién debería ser el responsable en el caso de un estudiante que propague malware? ¿Por qué?

24. ¿Deberías preocuparte por el uso de dispositivos biométricos en lugares públicos? octubre 13, 2013

  Cientos de miles de estudiantes usan el sistema de huellas digitales (thumbprint) para pagar su almuerzo cada día. Los administradores de los planteles escolares citan la necesidad de usar la biometría para rastrear la cantidad de alumuerzos gratuitos y subsidiados que proveen a los estudiantes. En un intento por aumentar la seguridad y monitorear la asistencia, muchos distritos escolares requieren identificación mediante huellas digitales (thumbprint) para entrar a salones de clases y participar de actividades escolares. Tiendas, parques temáticos y hasta oficinas de doctores usan sistemas biométricos para identificar clientes y pacientes. Los defensores de los derechos a la privacidad creen que estos dispositivos almacenan demasiada información personal. Muchos están preocupados por la facilidad en que se pueden rastrear las actividades de los individuos y que luego pueda usarse en su contra en un futuro o que dicha información pueda caer en las manos equivocadas. Algunos expertos de la salud están preocupados por el riesgo de transferir gérmenes de una persona a otra cuando se usan tales dispositivos biométricos. ¿Deberían obligar a los niños a proveer información biométrica en actividades públicas? Sí o No y por qué. ¿Se debe permitir que cualquier persona que provea productos y servicios pueda recopilar información biométrica de un cliente? Sí o No y por qué. ¿Cuáles son las consideraciones de privacidad y salubridad envueltas? ¿Deberían éstas ser una preocupación?

23. ¿Será posible que la tecnología RFID rastree todos tus movimientos? febrero 27, 2009

El rápido crecimiento de la tecnología RFID preocupa a los defensores del derecho a la privacidad de los individuos. El RFID (Radio Frequency Identification) utiliza un diminuto chip de computadora que puede pegarse a una etiqueta de un producto, coserse a una pieza de vestir o adherirse a un documento. Para los comerciantes, el RFID, puede facilitar la localización de artículos en un almacén e identicar aquellos que deban reabastecerse. Para los consumidores, el RFID puede suplir información detallada del producto y eliminar la necesidad de hacer filas para pagar sus compras ya que el monto de la compra se deducirá automáticamente de su tarjeta de crédito.

El gobierno federal ha comenzado un programa que incluirá el RFID en todos los pasaportes. Los defensores de la privacidad están preocupados por la posible pérdida de anonimato de las personas. Temen que con el lector RFID, cualquier individuo u organización podría rastrear los movimientos de una persona y hacer esta información disponible a agencias de mercadeo o de gobierno. Algunas corporaciones han adoptado esta tecnología para facilitar la localización de empleados clave dentro de un local o campus extenso. Algunos temen que el uso de chip RFID en pasaportes puede prestarse a falsificación ya que un lector oculto puede leer la información contenida en el chip para luego usarse con propósitos nefastos, como por ejemplo el robo de identidad.

Los defensores de la privacidad sugieren a los comerciantes que desactiven los transmisores de RFID tan pronto los clientes abandonen el local comercial. También recomiendan que los documentos que contengan RFID, como por ejemplo, los pasaportes, se guarden en un compartimiento hecho de un material que no permita que un lector RFID oculto tenga acceso a la información en el chip.

¿Te sentirías cómodo comprando un producto que tenga RFID? ¿Por qué? ¿Se le debería permitir a los consumidores solicitar que le desactiven el RFID después de hacer su compra o se le debería requerir a los comerciantes desactivar los transmisores tan pronto el cliente salga de la tienda?¿Por qué?¿Te sentirías cómodo llevando contigo un documento que tenga esta tecnología RFID? ¿Por qué?

22. ¿Qué tipo de conversión de un sistema es el mejor? May 2, 2008

Cualquier organización que esté usando un sistema de información eventualmente se verá en la necesidad de actualizarlo. El primer paso que toma la mayoría de las organizaciones es investigar y comparar el sistema existente que puede adquirirse, o considerar desarrollar un nuevo sistema. Una vez que el sistema se seleccione o se desarrolle, el próximo paso es la implantación. Asuma que una institución educativa a la cual asistes, planifica hacer una conversión hacia un nuevo sistema de matrícula. La administración de esta institución está indecisa entre una conversión paralela y una directa. Una conversión directa es menos costosa, pero arriesgada. Si el nuevo sistema no trabaja correctamente, la matrícula de los estudiantes pudiera ser un desastre. Por otro lado, la conversión paralela es segura, pero es costosa y toma mucho tiempo. La matrícula de estudiantes funcionará sin problemas, pero el presupuesto operacional de la escuela se afectará mucho. ¿Si tú fueras responsable de tomar esta decisión, qué método seleccionarías? ¿Por qué? ¿Se debería considerar otra alternativa, como por ejemplo, la conversión en fases (phased conversion) o proyecto piloto? ¿Por qué Sí o por qué No? ¿Cómo le darías prioridad al presupuesto, puntualidad del proyecto (timeliness) y calidad en cualquier situación? ¿Por qué?

21. ¿Deberían los estados compartir las bases de datos de criminales con el público general?

California fue el primer estado en utilizar esta controversial base de datos. Basándose en la Ley Megan (Megan’s Law) –el estatuto que lleva el nombre de una niña de siete años que fue violada y luego muerta por un delincuente que estaba en libertad condicional (parol)– la base de datos muestra una lista de los nombres y direcciones de personas convictas por crímenes cometidos contra niños. Actualmente, todos los estados emplean una base de datos similar y se les requiere compartir esta información con la base de datos nacional. La mayoría de los estados te permiten usar estas bases de datos para saber si hay algún convicto viviendo cerca de tí. En algunas comunidades, cuando un ofensor se muda allí, la policía informa al sistema de escuelas locales, y a su vez se le envía a los padres una notificación que contiene el nombre, historial, dirección y una foto del convicto. Algunos estados comparten información entre sí sobre todo tipo de criminales, y algunos permiten a los ciudadanos hacer una búsqueda de estos convictos por nombre. Promocionado como una herramienta de gran valor para la prevención del crimen, muchos sienten que la publicación de esta información dificulta a un ex-convicto llevar una vida normal y que puede resultar en «vigilantismo» –el auto de un convicto en libertad condicional (parol) fue quemado días después de que su nombre fuera publicado. ¿Se debería hacer público una base de datos de personas en libertad condicional (parol) o ex-convictos? ¿Por qué Sí o por qué No? ¿También esto debería aplicar a personas que han cometido otros tipos de crímenes? ¿Quién debería tener acceso a esta base de datos? ¿Por qué?

20. ¿Deberían obligar a las compañías a decirte qué información guardan sobre tí? abril 24, 2008

El gobierno le requiere a las compañías que ofrecen servicios de informe sobre crédito a proveerte un informe detallado sobre toda la información que almacenan sobre tu persona cuando así lo solicites. Aún así, estas compañías son simplemente una mínima porción del total de organizaciones que almacenan datos sobre tu persona. Otras organizaciones, tales como, compañías de tarjetas de crédito, hospitales, médicos, agencias de seguros, patronos, organizaciones sin fines de lucro, agencias federales, estatales y locales, etc. también almacenan tus datos personales. Entre otras cosas, esa información incluye tus gustos personales, hábitos de compra, e historial médico. Las organizaciones usan esa información para ofrecerte bienes y servicios en base a un perfil electrónico de tus características y hábitos. También intercambian y venden esta información a otras compañías. Son muchos los activistas del derecho a la privacidad que creen que tú tienes el derecho a pedir un listado de la información que una organización guarda sobre tí. Podrías descubrir que la información es incorrecta o que alguien ha obtenido información sobre tu persona que no quieres sea compartida. Esta información puede usarse en tu contra sin tu conocimiento, por ejemplo, cuando no aceptan tu plan médico. Muchas organizaciones reclaman que tienen derecho a guardar información sobre tu persona si haces transacciones con estas. Según estas organizaciones, esta información que almacenan sobre los clientes les ayuda a operar de manera más eficiente y beneficia a los consumidores ya que pueden recibir comunicaciones afines a sus gustos y preferencias. Además, argumentan que esta alternativa de permitir a sus clientes ver la información que almacenan sobre ellos es una carga muy pesada e innecesaria y que a la larga aumentaría realmente el riesgo de invasión a la privacidad o robo de identidad. ¿Deberías tener derecho a ver, corregir y eliminar información que una organización guarde sobre tu persona? Sí o No. ¿Por qué? ¿Debería existir un límite sobre la cantidad de tiempo que una compañía tiene para guardar información sobre tu persona? Si piensas en lo afirmativo, ¿por cuánto tiempo y por qué? ¿Cúales son algunos de los problemas que pudieran surgir si una compañía almacena datos incorrectos sobre los consumidores?

19. ¿Quién es responsable por los errores de programación (bugs)?

Las consecuencias de los errores de programación o bugs, pueden ser alarmantes. Un error de software en un sistema de misiles de defensa resultó en la muerte de 29 soldados de E.U. Otro error en el código que controla un una facilidad nuclear de Canadá causó un derrame de más de 3,000 galones de agua contaminada con radiación. Un error en el software para conectar llamadas larga distancia le costó más de $60 millones a AT&T. Algunas fuentes indican que Windows Vista fue lanzado al mercado tan pronto Microsoft pudo reducir la cantidad de errores a 500. Los expertos en programación estiman que existen entre 20 a 30 errores por cada 1,000 líneas de código en un programa promedio. Dado que son tantos los programas que contienen cientos de miles y hasta millones de líneas de código, no nos sorprende que existan estos errores. Muchas licencias de uso de software relevan de responsabilidad al creador del software en la eventualidad de que el usuario obtenga información errónea debido a errores de programación. ¿Quién debe ser responsable de los errores en un programa o software? ¿Por qué? ¿Si los usuarios proveen especificaciones incompletas o erróneas, deberían ser los responsables de estos resultados deficientes? ¿Por qué? ¿Deberían ser responsables ante la ley aquéllos que diseñan un sistema o que escriben programas que resulten en errores o daños? ¿Por qué?

18. ¿Debe un desarrollador de sitios Web saber usar el lenguaje «HTML»? febrero 15, 2008

Muchas páginas Web están escritas en HTML (Hypertext Markup Language) con etiquetas («tags») que indican cómo las páginas serán presentadas en una ventana de un «browser». Inclusive, puedes ver el código HTML usado en una página con sólo usar el menú de View del «browser» y luego seleccionar «Source», «Source Code» o «Page Source». Hoy día, programas como Dreamweaver o lugares como Squarespace o Wix permiten a las personas desarrollar páginas Web sin tener conocimiento sobre HTML. Con estos programas, puedes usar plantillas («templates»), menús, paneles y barras de herramientas para generar las etiquetas de HTML para diseñar una página Web. De ser necesario, puedes usar HTML para mejorar la página Web y arreglar problemas que surjan. Algunos creen que el conocimiento sobre HTML es esencial para la creación de un Web site efectivo, mientras otros creen que el ser creativo, estar familiarizado con programas como Dreamweaver y adherirse a estándares de buen diseño son más importantes. ¿Si fueras a contratar a un desarrollador de páginas Web, insistirías en que debe tener conocimiento sobre HTML? ¿Por qué sí o por qué no? ¿Debería ser requisito un curso sobre HTML para aquellos estudiantes matriculados en cursos de diseño de páginas Web? ¿Por qué?

17. ¿Es la subcontratación («outsourcing») tan buena como el desarrollo interno («in-house»)?

Desde comienzos del desarrollo de programas o «software», las organizaciones han luchado con la pregunta: Construir o comprar? Es decir, ¿debería una organización desarrollar el software de forma interna («in-house») o deberían comprarlo a terceros, como por ejemplo, una compañía de consultoría en programación? Hoy día, miles de compañías de consultoría compiten por los millones de dólares que genera la industria de subcontratación para desarrollo de software («outsourcing»).

Muchos ejecutivos creen firmemente que la organización debe enfocarse en la misión de la organización y no desperdiciar valiosos recursos en el intento de convertirse expertos en desarrollo de «software». Por ejemplo, una escuela debería enfocarse en la educación y subcontratar para el software que necesiten, como por ejemplo, desarrollar un nuevo sistema de matrícula.

Aquellos opuestos a la subcontratación («outsourcing») creen que la organización se beneficia más manteniendo el desarrollo de «software» de forma interna («in-house») porque la aplicación es crítica a la misión de la organización. Además, la organización necesita de expertos internos («in-house») que comprenden a cabalidad las procesos internos de la organización en comparación con los programadores subcontratados cuyo único interés es generar dinero por algún proyecto de desarrollo de «software».

Muchos proyectos grandes de desarrollo de «software» que han sido subcontratados a terceros han fracasado debido a la falta de entendimiento de estos acerca las funciones de la compañía. Hoy día, la mayor parte de las grandes organizaciones utilizan una combinación de subcontratación («outsourcing») y desarrollo interno («in-house»), dejando los proyectos críticos al equipo interno. Aún así, algunas organizaciones dependen completamente de la subcontratación («outsourcing») mientras otras compañías nunca recurren a esto.

¿Es el desarrollo de software interno superior a la subcontratación? ¿Por qué sí o por qué no? ¿Qué criterios usarías para tomar la decisión de desarrollar vs. comprar un sistema?

¿Cómo podrían las compañías protegerse contra malas experiencias al subcontratar a terceros?