Buenas, no suelo escribir artículos, por lo que a los que lo lean, les pido algo de paciencia. No pretendo hacer una discusión técnica sobre el redactado de esa ley, sino sobre algunos detalles que veo que se están pasando por alto en muchas discusiones, más allá de lo orwelliana o no que sea dicha ley, en concreto y sobre todo, quiero centrarme en discutirla desde el punto de vista de la seguridad informática.
Primero una ligera presentación, para que veáis desde qué punto de vista hablo. Soy un informático, pero sobretodo, me he dedicado durante muchos años a el desarrollo web y a la seguridad de sistemas, por lo que tengo alguna base para afirmar lo que digo. Con todo esto, comencemos.
Esta ley la veo un disparate por varios motivos, más allá recalco, de la privacidad, y son dos detalles.
- Ya desde que entró en vigor el nuevo reglamento de protección de datos, te obligan a varias cosas:
- No recabar más datos de los que tu necesites para hacer tu labor: esto hace que si para ejercer tu labor, no necesitas saber quién es padre de quién, o su correo, o cosas así, no puedas preguntarlo.
- Debes pensar tu sistema informático con una seguridad acorde a los tipos de datos que vas a recabar: eso hace que si no son datos importantes, y son medio públicos (DNI, y nombre) la ley te "obligue" a poner un nivel, pero si incluyen datos más sensibles, te obligue a otro. Lo ideal sería que esto implicara que los hosteleros deban rediseñar su sistema informático para hacer frente a estas nuevas preguntas, y esos nuevos datos.
Te obliga a más cosas, pero lo que nos interesa, de momento termina ahí, pero lo que no termina ahí, son los problemas.
Una cosa que hay que quizá convenga explicar antes de comenzar es que no todos los datos son igual de valiosos, casi de cualquier sitio puedes sacar un nombre, y muchas veces por registros públicos, no es complicado asociarlos a un DNI, por eso los sitios que sólo procesan esos datos no suelen tener muchos problemas con seguridad (ojo, no ninguno, sólo es que puedes lograr que los datos valgan menos que lo que cueste obtenerlos por las malas). Pero si a esos datos le añades cosas como relaciones de familiaridad, datos bancarios como el IBAN, el número de tarjeta de crédito, etc., etc., la cosa cambia, esos datos pueden permitir a gente muy poco honrada hacer negocios, o incluso intentar estafas mucho más elaboradas, por lo que son mucho más valiosos.
El primero de los problemas que le veo a esta ley, aparte del de la privacidad, son que, básicamente, van a convertir a los sistemas informáticos de los hoteles en blancos muchísimo más jugosos de lo que eran. Antes como mucho podrías obtener alguna relación DNI - Nombre del inquilino, pero ahora incluirán datos mucho más jugosos, como los bancarios, parentescos, etc.
¿Qué quiero decir con esto? Imaginaos un hotel de 5 estrellas, en una zona bonita y cara, con clientes ricos y poderosos, esa ley también obligará a custodiar datos sensibles de ellos, antes sólo se podría sacar algún dato DNI-Nombre, y eso si no lo ponían todo a nombre de una empresa, pero ahora, esos equipos contendrán datos muy jugosos de personas muy jugosas. Y si piensas "Ok, pero yo no soy rico, y no me alojo en hoteles de ricos, no me dice nada", te equivocas, esta ley hará que básicamente, todos los sistemas informáticos de hoteles por donde pase mucha gente, o puedan pasar personas de muy diverso poder adquisitivo, sean valiosos.
Básicamente, acaban de colocar una enorme diana en la "espalda" de todos los sistemas informáticos de los hosteleros de este país. Acaban de hacerles pasar de unos equipos que apenas daban para un aperitivo, a un plato mucho más jugoso. Dicho de otra forma, si han intentado hackear a la Agencia Tributaria, ¿qué esperanza tiene de librarse de ataques un hotel, ahora que sus datos son mucho más valiosos que antes?
Y por la misma normativa de seguridad, el responsable de asegurar todos esos datos, es el que responsable de su tratamiento, en este caso, el hotel/hostal/lo que sea, y las multas que pone a AEPD por los fallos de seguridad no son pequeñas, y crecen según el tipo de datos filtrados.
El segundo problema es el gran y sabroso "caramelo" que acaban de crear para todo hacker o grupo de hacking que se precie, quiero decir, ya la Agencia Tributaria supone un gran "atractor" de esa gente, ahora acaban de crear un portal que reúne datos de una escala inferior, pero aún muy muy valiosos para ellos, y los han puesto todos juntitos para que no se pierdan. Y por si era poco aliciente, además pocas horas tras ponerse en marcha, se muestra que, por lo menos, algún test de estrés y rendimiento de los servidores sí que se han saltado ( www.ultimahora.es/noticias/local/2024/12/02/2285187/turismo-colapsa-pl ), eso, que a priori puede parecer anecdótico, a alguien que se dedique a la seguridad, le hace plantearse "¿Qué mas test y pruebas se habrán saltado? quizá pueda intentar alguna para ver si no lo han hecho, y puedo sacar algo".
En otras palabras, acaban poner un plato muy jugoso a la mesa, hay mucha gente con hambre en la sala, y hay alguna señal de que la seguridad de la mesa puede no ser demasiado buena ¿Qué puede fallar?
Y todo esto sin tener que entrar en cosas como la violación de privacidad que suponga, y que como eso supone meter muchos datos "a mano", los hosteleros tendrán que poner a alguien a introducir esos datos en menos de 24 horas.
En conclusión, esta ley tiene muchas cosas discutibles, pero algo de lo que no veía hablar es de la enorme cantidad de nuevo blancos para gente muy poco honrada que se van a crear con nuestros datos, además de un caramelo que, esté bien custodiado o no, también resultará muy, muy apetitoso, para esa misma clase de gente. Es entendible que la gente se preocupe por lo que un hostelero hará con esos datos, pero lo que no veo a nadie plantearse, y es el motivo de este artículo es "¿Podrán los hosteleros mantener seguros esos datos?", porque conforme lo veo, deberían de estar ahora mismo reforzando su seguridad informática como si no hubiese un mañana mientras esta ley esté activa o se van a llevar algún susto desagradable.
rusito 
