Casi todos los adultos estadounidenses recuerdan, con vívidos detalles, dónde estaban la mañana del 11 de septiembre de 2001. Estaba en el segundo piso del ala oeste de la Casa Blanca, en una reunión del personal del Consejo Económico Nacional, y nunca olvidaré la En el momento en que el agente del Servicio Secreto entró abruptamente en la habitación, gritando: “Debes irte ahora. ¡Señoras, quítese los tacones altos y váyase! “
Justo una hora antes, como asesor de tecnología de la Casa Blanca del Consejo Económico Nacional, estaba informando al subjefe de gabinete sobre los detalles finales de una reunión en la Oficina Oval con el presidente, programada para el 13 de septiembre. Finalmente, estábamos listos para recibir la señal del presidente. -desde enviar un proyecto de ley de privacidad federal al Capitolio – efectivamente una versión federal de la Ley de Derechos de Privacidad de California, pero más fuerte. La legislación pondría barreras alrededor de los datos de los ciudadanos, requiriendo el consentimiento de aceptación para que se comparta su información, gobernando cómo se podrían recopilar sus datos y cómo se usarían.
Pero esa mañana, el mundo cambió. Evacuamos la Casa Blanca y el día se desarrolló con tragedia tras tragedia enviando ondas de choque a través de nuestra nación y el mundo. Estar en DC ese día fue presenciar y experimentar personalmente lo que se sintió como el espectro completo de la emoción humana: dolor, solidaridad, incredulidad, fuerza, determinación, urgencia… esperanza.
Se ha escrito mucho sobre el 11 de septiembre, pero quiero dedicar un momento a reflexionar sobre el día siguiente.
Cuando el personal del Consejo Económico Nacional regresó a la oficina el 12 de septiembre, nunca olvidaré lo que Larry Lindsey, nuestro jefe en ese momento, nos dijo: “Lo entendería si algunos de ustedes no se sintieran cómodos estando aquí. Todos somos objetivos. Y no apelaré a su patriotismo o fe. Pero, ya que todos somos economistas en esta sala, apelaré a su interés propio racional. Si retrocedemos ahora, otros nos seguirán, y ¿quién estará allí para defender los pilares de nuestra sociedad? Estamos aguantando la línea aquí hoy. Actúe de una manera que enorgullezca a este país. Y no abandone su compromiso con la libertad en nombre de la seguridad “.
Hay mucho de qué enorgullecerse de cómo el país se unió y cómo nuestro gobierno respondió a los trágicos eventos del 11 de septiembre. Primero, sin embargo, como profesional en el campo de la seguridad cibernética y la privacidad de datos, reflexiono sobre el consejo de Larry y muchos de las lecciones críticas aprendidas en los años siguientes, especialmente cuando se trata de defender los pilares de nuestra sociedad.
Aunque nuestros recuerdos colectivos de ese día todavía se sienten frescos, han pasado 20 años y ahora entendemos el papel vital que jugaron los datos en los meses previos a los ataques terroristas del 11 de septiembre. Pero, desafortunadamente, no pudimos conectar los puntos que podrían haber salvado miles de vidas al mantener los datos de inteligencia demasiado cerca en ubicaciones dispares. Estos silos de datos oscurecieron los patrones que habrían sido claros si solo se hubiera establecido un marco para compartir información de forma segura.
Entonces, nos dijimos a nosotros mismos, “Nunca más”, y los funcionarios del gobierno se propusieron aumentar la cantidad de inteligencia que podían recopilar, sin pensar en las consecuencias significativas no solo para nuestras libertades civiles, sino también para la seguridad de nuestros datos. Entonces, la Ley Patriota entró en vigencia, con 20 años de solicitudes de vigilancia de agencias de inteligencia y aplicación de la ley abarrotadas en el proyecto de ley. Habiendo estado en la sala de negociaciones de la Ley Patriota con el Departamento de Justicia, puedo decir con confianza que, si bien las intenciones pueden haber sido comprensibles, prevenir otro ataque terrorista y proteger a nuestra gente, las consecuencias negativas posteriores fueron amplias e innegables.
Las escuchas telefónicas domésticas y la vigilancia masiva se convirtieron en la norma, minando la privacidad personal, la seguridad de los datos y la confianza pública. Este nivel de vigilancia sentó un precedente peligroso para la privacidad de los datos, mientras que arrojó resultados marginales en la lucha contra el terrorismo.
Desafortunadamente, el proyecto de ley federal de privacidad que esperábamos llevar al Capitolio la misma semana del 11 de septiembre, el proyecto de ley que habría solidificado las protecciones de privacidad individual, fue suspendido.
Durante los años siguientes, se hizo más fácil y económico recopilar y almacenar cantidades masivas de datos de vigilancia. Como resultado, los gigantes de la tecnología y la nube se expandieron rápidamente y dominaron Internet. A medida que se recopilaron más datos (tanto del sector público como del privado), más y más personas obtuvieron visibilidad de los datos privados de las personas, pero no se implementaron protecciones de privacidad significativas para acompañar ese acceso ampliado.
Ahora, 20 años después, nos encontramos con un exceso de recopilación y acceso de datos sin restricciones, con compañías de tecnología gigantes y dispositivos de IoT que recopilan puntos de datos sobre nuestros movimientos, conversaciones, amigos, familias y cuerpos. Las fugas de datos masivas y costosas, ya sea por ransomware o simplemente por configurar mal un depósito en la nube, se han vuelto tan comunes que apenas aparecen en la página principal. Como resultado, la confianza pública se ha erosionado. Si bien la privacidad debe ser un derecho humano, no es uno que esté protegido, y todos lo saben.
Esto es evidente en la crisis humanitaria que hemos visto en Afganistán. Solo un ejemplo: trágicamente, los talibanes se han apoderado de dispositivos militares estadounidenses que contienen datos biométricos sobre ciudadanos afganos que apoyaban a las fuerzas de la coalición, datos que facilitarían a los talibanes identificar y rastrear a esas personas y sus familias. Este es el peor de los casos en el que los datos privados y confidenciales caen en las manos equivocadas y no hicimos lo suficiente para protegerlos.
Esto es inaceptable. Veinte años después, una vez más nos decimos a nosotros mismos: “Nunca más”. El 11 de septiembre debería haber sido un reconocimiento de cómo administramos, compartimos y protegemos los datos de inteligencia, pero aún no lo hemos hecho bien. Y en ambos casos, en 2001 y 2021, la forma en que administramos los datos tiene un impacto de vida o muerte.
Esto no quiere decir que no estemos progresando: la Casa Blanca y el Departamento de Defensa de los EE. UU. Han centrado la atención en la ciberseguridad y la protección de datos Zero Trust este año, con una orden ejecutiva para impulsar la acción hacia el fortalecimiento de los sistemas de datos federales. La buena noticia es que tenemos la tecnología que necesitamos para proteger estos datos confidenciales y, al mismo tiempo, hacerlos compartibles. Además, podemos implementar planes de contingencia para evitar que los datos caigan en las manos equivocadas. Pero, desafortunadamente, simplemente no nos estamos moviendo lo suficientemente rápido, y cuanto más lentamente resolvemos este problema de administración segura de datos, más vidas inocentes se perderán en el camino.
De cara a los próximos 20 años, tenemos la oportunidad de reconstruir la confianza y transformar la forma en que administramos la privacidad de los datos. En primer lugar, tenemos que colocar algunas barandillas. Necesitamos un marco de privacidad que otorgue a las personas autonomía sobre sus propios datos de forma predeterminada.
Esto, por supuesto, significa que las organizaciones del sector público y privado tienen que hacer el trabajo técnico detrás de escena para hacer posible la propiedad y el control de estos datos, vinculando la identidad con los datos y devolviendo la propiedad al individuo. Esta no es una solución rápida o simple, pero se puede lograr, y es necesaria, para proteger a nuestra gente, ya sean ciudadanos estadounidenses, residentes o aliados en todo el mundo.
Para acelerar la adopción de dicha protección de datos, necesitamos un ecosistema de soluciones gratuitas, accesibles y de código abierto que sean interoperables y flexibles. Al combinar la protección de datos y la privacidad con los procesos y soluciones existentes, las entidades gubernamentales pueden recopilar y agregar datos de manera segura de una manera que revele el panorama general sin comprometer la privacidad de las personas. Tenemos estas capacidades hoy y ahora es el momento de aprovecharlas.
Porque la verdad es que, con el gran volumen de datos que se recopilan y almacenan, hay muchas más oportunidades para que los datos estadounidenses caigan en las manos equivocadas. Los dispositivos incautados por los talibanes son solo una pequeña fracción de los datos que están en juego actualmente. Como hemos visto en lo que va de año, los ataques cibernéticos de los estados nacionales están aumentando. Esta amenaza a la vida humana no desaparecerá.
Las palabras de Larry del 12 de septiembre de 2001 aún resuenan: Si retrocedemos ahora, ¿quién estará allí para defender los pilares de nuestra sociedad? Depende de nosotros, los líderes tecnológicos del sector público y privado, proteger y defender la privacidad de nuestra gente sin comprometer sus libertades.
No es demasiado tarde para que podamos reconstruir la confianza pública, comenzando por los datos. Pero, dentro de 20 años, ¿miraremos hacia atrás en esta década como un punto de inflexión en la protección y defensa del derecho a la privacidad de las personas, o seguiremos diciendo: “Nunca más”, una y otra vez?
