Ética y Controversias en Informática

Comenta sobre temas éticos y controversiales en informática. Basados en el libro de texto "Discovering Computers".

26. ¿Qué responsabilidad debe tener una compañía en proteger los datos de los clientes? diciembre 3, 2015

Filed under: Uncategorized — mlarracuente @ 1:14 pm

visa_mastercardVarios hackers accesaron el servidor de una compañía grande de entretenimiento, interrumpiendo el servicio a sus clientes. Los hackers también publicaron datos personales de millones de clientes, incluyendo contraseñas y posiblemente información sobre tarjetas de crédito. La compañía afectada alegadamente esperó toda una semana para informarle a sus clientes sobre tal ataque.

Los hackers que expusieron la data de esta compañía formaban parte de un conocido grupo activista. Este grupo de hackers tiene como blanco u objetivo a las grandes corporaciones y agencias de gobierno ,con el fin de exponer vulnerabilidades y protestar en contra de sus políticas. El grupo reclama que la compañía afectada no había encriptado apropiadamente la data expuesta. Los miembros de este grupo de hackers son desconocidos, así que los oficiales de seguridad no han podido hacerlos responsables de tales acciones.

Los clientes, sin embargo, han demandado a esa compañía de entretenimiento por la filtración de datos privados. Una demanda exponía que la falta de sistemas de encripción y de “firewalls”de esa compañía los hace responsable de las acciones de los hackers. Los oficiales de seguridad estuvieron de acuerdo y declararon que “Si una compañía es responsable por tantos detalles de pagos de tarjetas de crédito y cuentas de usuarios, entonces la seguridad de datos personales debe ser su prioridad.” Los clientes de esa compañía los acusan de irresponsables por el mero hecho de tardarse tanto hacer la notificación.  Este ataque resultó en un costo para esta compañía de aproximadamente $170 millones.  Desde ese ataque, la compañía cambió sus políticas de uso del usuario (user agreement policies). La nueva política establece que al estar de acuerdo con el uso de sus productos, los usuarios renuncian a su derecho a demandar por brechas o fallos en la seguridad.

¿Deberían los hackers recibir castigos por exponer la data de los clientes? ¿Por qué sí o por qué no? ¿Qué expectativas de seguridad deberían tener los clientes al momento de entrar sus datos personales en un Website o formulario electrónico? ¿Deberían las compañías ser capaces de prevenir las demandas de los clientes? ¿Por qué sí o por qué no? Si tú hubieras sido uno de los clientes afectados, ¿qué acciones habrías tomado al respecto?

 

25. ¿Deberían las universidades e instituciones educativas enseñar sobre “hacking”? abril 24, 2014

Filed under: Controversias,Ethics,Information Systems,Security & Privacy,SICI4087 — mlarracuente @ 2:31 pm

hackingLos investigadores siempre han intentado entender la mentalidad de los criminales en un intento por identificar qué motiva a los criminales a cometer fechorías. De forma similar, algunas universidades están permitiendo a los estudiantes experimentar el modo de pensar de un hacker mediante cursos que enseñan cómo escribir o codificar virus de computadoras y otros programas maliciosos (“malware”). Un instructor enseña a los estudiantes cómo evadir un programa de antivirus y poder generar un ataque de spam anónimo. Ese instructor asegura que si los estudiantes pueden evadir fácilmente un programa de antivirus, entonces eso demuestra que el producto es deficiente. ¿Existe algún beneficio al enseñar a los estudiantes cómo hacer “hacking”?

Los que proponen tales cursos reclaman que estas destrezas de “hacking” permitirán a la próxima generación de expertos en seguridad a pensar como hackers maliciosos, ayudando así a detener la propagación de “malware”. Ellos comparan estas destrezas con las de estudiantes de física que aprenden sobre bombas atómicas o estudiantes de biología  que aprenden sobre cómo funcionan los venenos. Una compañía de software apoya la enseñanza de hacking para ayudar a los desarrolladores de programas  a evaluar el riesgo de seguridad de los mismos. Los críticos reclaman que esta práctica fomenta la creación de más virus y el hacking como tal. Algunos desarrolladores de software de detección de malware han declarado que nunca contratarían a un estudiante que haya tomado algún curso en hacking. Otros declaran que el conocimiento de cómo escribir malware no hace a una persona más capaz de detener esos programas maliciosos. Quedan muchas dudas sobre quién es el responsable desde el punto de vista legal, financiero y moral si un estudiante usa el conocimiento adquirido en el curso para desplegar código malicioso en el Internet o infectar otras computadoras a propósito.

¿Deberían las universidades enseñar sobre hacking? Sí o No y porqué. ¿Deberían las compañías contratar personas adiestradas en la creación de malware y en hacking? Sí o No y porqué. ¿Qué precauciones deben tomar estas instituciones educativas si planifican ofrecer dichos cursos? ¿Quién debería ser el responsable en el caso de un estudiante que propague malware? ¿Por qué?

 

24. ¿Deberías preocuparte por el uso de dispositivos biométricos en lugares públicos? octubre 13, 2013

biometrics  Cientos de miles de estudiantes usan el sistema de huellas digitales (thumbprint) para pagar su almuerzo cada día. Los administradores de los planteles escolares citan la necesidad de usar la biometría para rastrear la cantidad de alumuerzos gratuitos y subsidiados que proveen a los estudiantes. En un intento por aumentar la seguridad y monitorear la asistencia, muchos distritos escolares requieren identificación mediante huellas digitales (thumbprint) para entrar a salones de clases y participar de actividades escolares. Tiendas, parques temáticos y hasta oficinas de doctores usan sistemas biométricos para identificar clientes y pacientes. Los defensores de los derechos a la privacidad creen que estos dispositivos almacenan demasiada información personal. Muchos están preocupados por la facilidad en que se pueden rastrear las actividades de los individuos y que luego pueda usarse en su contra en un futuro o que dicha información pueda caer en las manos equivocadas. Algunos expertos de la salud están preocupados por el riesgo de transferir gérmenes de una persona a otra cuando se usan tales dispositivos biométricos. ¿Deberían obligar a los niños a proveer información biométrica en actividades públicas? Sí o No y por qué. ¿Se debe permitir que cualquier persona que provea productos y servicios pueda recopilar información biométrica de un cliente? Sí o No y por qué. ¿Cuáles son las consideraciones de privacidad y salubridad envueltas? ¿Deberían éstas ser una preocupación?

 

23. ¿Será posible que la tecnología RFID rastree todos tus movimientos? febrero 27, 2009

Filed under: Controversias,Ethics,Input & Ouput,Security & Privacy — mlarracuente @ 8:51 pm

rfid_trackingEl rápido crecimiento de la tecnología RFID preocupa a los defensores del derecho a la privacidad de los individuos. El RFID (Radio Frequency Identification) utiliza un diminuto chip de computadora que puede pegarse a una etiqueta de un producto, coserse a una pieza de vestir o adherirse a un documento. Para los comerciantes, el RFID, puede facilitar la localización de artículos en un almacén e identicar aquellos que deban reabastecerse. Para los consumidores, el RFID puede suplir información detallada del producto y eliminar la necesidad de hacer filas para pagar sus compras ya que el monto de la compra se deducirá automáticamente de su tarjeta de crédito.

El gobierno federal ha comenzado un programa que incluirá el RFID en todos los pasaportes. Los defensores de la privacidad están preocupados por la posible pérdida de anonimato de las personas. Temen que con el lector RFID, cualquier individuo u organización podría rastrear los movimientos de una persona y hacer esta información disponible a agencias de mercadeo o de gobierno. Algunas corporaciones han adoptado esta tecnología para facilitar la localización de empleados clave dentro de un local o campus extenso. Algunos temen que el uso de chip RFID en pasaportes puede prestarse a falsificación ya que un lector oculto puede leer la información contenida en el chip para luego usarse con propósitos nefastos, como por ejemplo el robo de identidad.

Los defensores de la privacidad sugieren a los comerciantes que desactiven los transmisores de RFID tan pronto los clientes abandonen el local comercial. También recomiendan que los documentos que contengan RFID, como por ejemplo, los pasaportes, se guarden en un compartimiento hecho de un material que no permita que un lector RFID oculto tenga acceso a la información en el chip.

¿Te sentirías cómodo comprando un producto que tenga RFID? ¿Por qué? ¿Se le debería permitir a los consumidores solicitar que le desactiven el RFID después de hacer su compra o se le debería requerir a los comerciantes desactivar los transmisores tan pronto el cliente salga de la tienda?¿Por qué?¿Te sentirías cómodo llevando contigo un documento que tenga esta tecnología RFID? ¿Por qué?

 

22. ¿Qué tipo de conversión de un sistema es el mejor? mayo 2, 2008

Filed under: Controversias,Information Systems,SICI4087 — mlarracuente @ 11:30 am

Cualquier organización que esté usando un sistema de información eventualmente se verá en la necesidad de actualizarlo. El primer paso que toma la mayoría de las organizaciones es investigar y comparar el sistema existente que puede adquirirse, o considerar desarrollar un nuevo sistema. Una vez que el sistema se seleccione o se desarrolle, el próximo paso es la implantación. Asuma que una institución educativa a la cual asistes, planifica hacer una conversión hacia un nuevo sistema de matrícula. La administración de esta institución está indecisa entre una conversión paralela y una directa. Una conversión directa es menos costosa, pero arriesgada. Si el nuevo sistema no trabaja correctamente, la matrícula de los estudiantes pudiera ser un desastre. Por otro lado, la conversión paralela es segura, pero es costosa y toma mucho tiempo. La matrícula de estudiantes funcionará sin problemas, pero el presupuesto operacional de la escuela se afectará mucho. ¿Si tú fueras responsable de tomar esta decisión, qué método seleccionarías? ¿Por qué? ¿Se debería considerar otra alternativa, como por ejemplo, la conversión en fases (phased conversion) o proyecto piloto? ¿Por qué Sí o por qué No? ¿Cómo le darías prioridad al presupuesto, puntualidad del proyecto (timeliness) y calidad en cualquier situación? ¿Por qué?

 

21. ¿Deberían los estados compartir las bases de datos de criminales con el público general?

Filed under: Controversias,Information Systems,Security & Privacy — mlarracuente @ 10:58 am

Criminal recordCalifornia fue el primer estado en utilizar esta controversial base de datos. Basándose en la Ley Megan (Megan’s Law) –el estatuto que lleva el nombre de una niña de siete años que fue violada y luego muerta por un delincuente que estaba en libertad condicional (parol)– la base de datos muestra una lista de los nombres y direcciones de personas convictas por crímenes cometidos contra niños. Actualmente, todos los estados emplean una base de datos similar y se les requiere compartir esta información con la base de datos nacional. La mayoría de los estados te permiten usar estas bases de datos para saber si hay algún convicto viviendo cerca de tí. En algunas comunidades, cuando un ofensor se muda allí, la policía informa al sistema de escuelas locales, y a su vez se le envía a los padres una notificación que contiene el nombre, historial, dirección y una foto del convicto. Algunos estados comparten información entre sí sobre todo tipo de criminales, y algunos permiten a los ciudadanos hacer una búsqueda de estos convictos por nombre. Promocionado como una herramienta de gran valor para la prevención del crimen, muchos sienten que la publicación de esta información dificulta a un ex-convicto llevar una vida normal y que puede resultar en “vigilantismo” –el auto de un convicto en libertad condicional (parol) fue quemado días después de que su nombre fuera publicado. ¿Se debería hacer público una base de datos de personas en libertad condicional (parol) o ex-convictos? ¿Por qué Sí o por qué No? ¿También esto debería aplicar a personas que han cometido otros tipos de crímenes? ¿Quién debería tener acceso a esta base de datos? ¿Por qué?

 

20. ¿Deberían obligar a las compañías a decirte qué información guardan sobre tí? abril 24, 2008

Filed under: Controversias,Ethics,Information Systems,SICI4087,Uncategorized — mlarracuente @ 2:09 pm

locked foldersEl gobierno le requiere a las compañías que ofrecen servicios de informe sobre crédito a proveerte un informe detallado sobre toda la información que almacenan sobre tu persona cuando así lo solicites. Aún así, estas compañías son simplemente una mínima porción del total de organizaciones que almacenan datos sobre tu persona. Otras organizaciones, tales como, compañías de tarjetas de crédito, hospitales, médicos, agencias de seguros, patronos, organizaciones sin fines de lucro, agencias federales, estatales y locales, etc. también almacenan tus datos personales. Entre otras cosas, esa información incluye tus gustos personales, hábitos de compra, e historial médico. Las organizaciones usan esa información para ofrecerte bienes y servicios en base a un perfil electrónico de tus características y hábitos. También intercambian y venden esta información a otras compañías. Son muchos los activistas del derecho a la privacidad que creen que tú tienes el derecho a pedir un listado de la información que una organización guarda sobre tí. Podrías descubrir que la información es incorrecta o que alguien ha obtenido información sobre tu persona que no quieres sea compartida. Esta información puede usarse en tu contra sin tu conocimiento, por ejemplo, cuando no aceptan tu plan médico. Muchas organizaciones reclaman que tienen derecho a guardar información sobre tu persona si haces transacciones con estas. Según estas organizaciones, esta información que almacenan sobre los clientes les ayuda a operar de manera más eficiente y beneficia a los consumidores ya que pueden recibir comunicaciones afines a sus gustos y preferencias. Además, argumentan que esta alternativa de permitir a sus clientes ver la información que almacenan sobre ellos es una carga muy pesada e innecesaria y que a la larga aumentaría realmente el riesgo de invasión a la privacidad o robo de identidad. ¿Deberías tener derecho a ver, corregir y eliminar información que una organización guarde sobre tu persona? Sí o No. ¿Por qué? ¿Debería existir un límite sobre la cantidad de tiempo que una compañía tiene para guardar información sobre tu persona? Si piensas en lo afirmativo, ¿por cuánto tiempo y por qué? ¿Cúales son algunos de los problemas que pudieran surgir si una compañía almacena datos incorrectos sobre los consumidores?