en En profundidad, Noticias

Otra ley al servicio del ciudadano

Servidor, en su ignorancia, ostenta el pretencioso título de Consultor en Seguridad de la Información que traducido al «roman paladino» viene a significar que le digo a las empresas cómo tienen que hacer las cosas para cumplir con una determinada norma o buena práctica

Si las administraciones públicas, grandes empresas y bancos hicieran caso a los consultores, no habría ni la mitad de fugas de información que hay actualmente, pero la realidad es obstinada y se empeña en constatar que muchos «objetivos de seguridad» se establecen para cumplir con el expediente, con la ley o para que te den un certificado de que cumples con una determinada norma (y alimentar así el círculo vicioso de la hipocresía)

Ahora hay una ley nueva que se llama Ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. El origen de esto es algo que se llama PSD2 (Payment Service Providers) que, ¿cómo no?, viene de la amada Europa. ¿Y todo esto qué es?

La versión oficial: Una ley que pretende organizar un sector en alza para que puedas obtener más aprovechamiento de tus productos financieros, inversiones y recibas más información para poder elegir más libremente

La realidad: Una puerta abierta a que todo aquel que tenga algo que vender, estafar o robar, pueda acceder a tus datos bancarios para ver qué haces, dónde lo haces, cómo lo haces y así intentar colocártela lo mejor posible …. para él

¿Puedes defenderte?: Si, claro que si. Prohibiendo a tu banco que de acceso a tus datos a los actores contemplados en la ley. ¿Lo vas a hacer?: No, claro que no. Ni siquiera sabes lo que estás firmando cuando usas Facebook o Twitter

La ley contempla dos actores

  • Los que acceden a tus datos iniciando un proceso de pago: por ejemplo un comercio, El Corte Inglés, un bar, Media Mark etc
  • Los servicios de información de cuentas que, y cito literalmente, «proporcionan al usuario del servicio de pago información agregada en línea sobre una o varias cuentas de pago mantenidas en sus proveedores de servicios de pago, lo que permite al usuario del servicio de pago tener en todo momento una información global e inmediata de su situación financiera.”

Hasta ahora, los primeros, hacían todo a través de un número limitado de pasarelas de pago MUY SEGURAS que procesaban millones de transacciones al día. A partir de ahora el banco pone algo que se llama API a disposición de todo aquel que tenga que cobrarte alguna cosa. (API = Application Program Interface)

El ecosistema de una API es complicado. Hay una parte de frontend (del lado de quien inicia el cobro), hay un backend (del lado del banco que gestiona la operación) y hay toda una arquitectura software y hardware que dirige todo el proceso. ¿Y eso es seguro?: Hoy SI, mañana no lo sé porque no se sabe si, en todo ese ecosistema, aparecerá un 0-day que permita un ataque externo

Lo que es de sentido común es:

  • Un sistema donde cada cual accede por sus medios es mucho más inseguro que un sistema donde todo el mundo pasa por un único punto (redsys etc). La dispersión favorece «la investigación» y no precisamente con buenos fines
  • Nos están vendiendo todo esto POR NUESTRO BIEN y cada vez que un poderoso, un político o un publicista empieza diciendo que hace algo «por tu bien» es porque te la va a colocar doblada y va a obtener mucho más beneficio del que puedas obtener tu

Así que una vez más, la ley, el poder, el statu quo se convierte en el gran hermano que se va a enterar de lo que haces con tu dinero, si te has corrido una juerga del nueve, si has comprado criptomonedas, en qué tienda de ropa compras, en qué restaurante de comida rápida pides, que coche eléctrico has alquilado (y posiblemente el recorrido). Antes también el banco lo sabía, PERO SOLO EL BANCO. Por supuesto que el banco explotaba tu información sin tu permiso para su propio interés, pero lo malo es que ahora lo va a poder explotar todo aquel que se convierta en uno de los actores arriba indicados

No quiero pensar las mafias traficantes de datos al rededor de los «servicios de información de cuentas». Estos si que van a ganar dinero

Naturalmente todo esto está SUPERVISADO por el BANCO DE ESPAÑA ……. y procura contener la risa porque yo no puede hacerlo. Si; el mismo BdE que se comió las preferentes, el mismo BdE que se tragó las hipotecas en divisas, el mismo BdE que se fumó las quiebras de las Cajas de Ahorros, el mismo BdE que dice que no va a recuperar el dinero de los rescates bancarios que los ESPAÑOLES hemos REGALADO a los bancos

Yo ya he recibido dos cartas de dos bancos: BBVA y Openbank y se despachan con lindezas que ni el mismo Vitto Corleone habría superado con sus «ofertas que nadie podía rechazar»

  • «Si no está de acuerdo con estas condiciones le rogamos nos lo comunique para proceder a la cancelación de sus datos». O sea, o estas de acuerdo o te vas a tomar por saco a otro banco donde te van a obligar a lo mismo porque esta maniobra viene de muy arriba
  • «Si usted no nos comunica lo contrario entenderemos que acepta estas nuevas condiciones». O sea, me paso el reglamento general de protección de datos por donde me parece (y ojo que esto lo han supervisado los abogados, y si lo hacen hay que suponer que es correcto ¿? …… y yo estoy equivocado claro)

Claro, para que Christine Lagarde siga cobrando lo que cobra hay que facilitar barra libre aunque los derechos de los ciudadanos tengan el mismo valor que los excrementos de mi perro (que yo me molesto en recoger, ojo). Ya más adelante, si eso, hacemos una nueva ley de protección de datos, también por el interés de los ciudadanos