Proteger los datos de los clientes contra el espionaje de los gobiernos

El siguiente artículo es de Brad Smith, Abogado General y Vicepresidente Ejecutivo de Asuntos Legales y Corporativos de Microsoft.
Muchos de nuestros clientes han expresado una seria preocupación sobre la vigilancia de los gobiernos en el Internet.
Compartimos sus inquietudes, y es por eso que estamos tomando medidas para asegurar que los gobiernos utilicen un proceso legal, en lugar de la fuerza bruta tecnológica, para acceder a los datos de los clientes.
Al igual que a otros, nos alarman en particular los recientes alegatos en la prensa sobre un esfuerzo más amplio y coordinado por parte de algunos gobiernos para eludir algunas medidas de seguridad en línea -y, en nuestra opinión, también los procesos y protecciones legales- para poder reunir clandestinamente los datos privados de los clientes. En específico, los artículos recientes en prensa proporcionan alegatos sobre la intercepción y recopilación gubernamentales -sin órdenes de cateo ni citatorios legales- de los datos de los clientes a medida que estos viajan entre los clientes y los servidores o entre los centros de datos de las compañías en nuestra industria.
Si eso fuera cierto, dichos esfuerzos amenazan con afectar seriamente la confianza en la seguridad y privacidad de las comunicaciones en línea. De hecho, la indagación gubernamental actualmente representa una “amenaza avanzada persistente” comparable con el malware sofisticado y los ataques cibernéticos.
En vista de estos alegatos, hemos decidido tomar medidas inmediatas y coordinadas en tres áreas:
· Ampliaremos el cifrado en todos nuestros servicios. 

· Fortaleceremos las protecciones legales de los datos de nuestros clientes. 

· Mejoraremos la transparencia de nuestro código de software, a fin de que los clientes estén tranquilos al saber que nuestros productos no contienen "back doors"
A continuación explico con más detalle estas medidas:
Mayor cifrado
Hemos utilizado cifrado en nuestros productos y servicios desde hace muchos años para proteger a nuestros clientes de los delincuentes en línea y de los hackers. Aunque no tenemos pruebas de que los datos de los clientes hayan sido infringidos por el acceso gubernamental no autorizado, preferimos no arriesgarnos y atenderemos este problema de manera directa. Por lo tanto, llevaremos a cabo un esfuerzo integral de ingeniería para fortalecer el cifrado de los datos de los clientes en nuestras redes y servicios.
Ese esfuerzo incluirá nuestros principales servicios de comunicación, productividad y desarrollo, tales como Outlook.com, Office 365, SkyDrive y Windows Azure, y brindará protección durante todo el ciclo de vida del contenido creado por los clientes. En concreto:
· El contenido que se transmita entre nuestros clientes y Microsoft se cifrará por defecto.

· Nuestros principales servicios de plataforma, productividad y comunicación cifrarán el contenido de los clientes conforme viaje entre nuestros centros de datos.
· Utilizaremos la mejor criptografía de la industria para proteger esos canales, incluyendo Perfect Forward Secrecy y longitudes de claves de 2048 bits.

· Todo quedará implementado por completo hacia finales del 2014, pero una gran parte se realizará de inmediato.

· También cifraremos el contenido de los clientes que tenemos almacenado. En ciertos casos, tales como los servicios de terceros desarrollados para operar en Windows Azure, dejaremos que los desarrolladores decidan, pero les ofreceremos las herramientas para que puedan proteger los datos con facilidad.

· Estamos colaborando con otras compañías de la industria para asegurar que los datos que se transmitan entre los servicios -de un proveedor de correo electrónico a otro, por ejemplo- estén protegidos.
Aunque este es un esfuerzo de ingeniería importante dada la gran cantidad de servicios que ofrecemos y los cientos de millones de clientes que los utilizan, estamos comprometidos a avanzar con rapidez. De hecho, muchos de nuestros servicios ya cuentan con un fuerte cifrado en todo o en parte de su ciclo de vida. Por ejemplo, el contenido de los clientes en Office 365 y Outlook.com ya se encuentra cifrado cuando se transmite entre los clientes y Microsoft, y la mayoría de las cargas de trabajo de Office 365, así como el almacenamiento de Windows Azure, ahora se cifran conforme viajan entre nuestros centros de datos. Existen otras áreas en las cuales estamos acelerando los planes de incorporar cifrado.
Reforzando las protecciones legales
Tomaremos también medidas nuevas para reforzar las protecciones legales respecto a los datos de nuestros clientes, Por ejemplo, nos comprometemos a notificar a las empresas y a los clientes gubernamentales cuando recibamos una orden legal relacionada con sus datos. En caso de que por ley se nos prohíba notificar a nuestros clientes, apelaremos la orden en los tribunales. Ya lo hemos hecho con éxito en el pasado y lo continuaremos haciendo en el futuro para conservar la libertad de notificar a los clientes cuando los gobiernos busquen obtener sus datos. Además, haremos valer las objeciones jurisdiccionales disponibles contra las demandas legales cuando los gobiernos intenten obtener el contenido de los clientes que se encuentre almacenado en otro país.
Salvo en las circunstancias más limitadas, consideramos que las agencias de gobierno pueden acudir directamente a los clientes empresariales o gubernamentales para obtener información o datos sobre alguno de sus empleados -tal y como solían hacerlo antes de que los clientes migraran a la nube- sin afectar su investigación ni seguridad nacional. Y cuando surjan ese tipo de circunstancias limitadas, los tribunales deben tener oportunidad de revisar el caso y emitir un fallo.
Mayor transparencia
Así como hemos pedido a los gobiernos ser más transparentes respecto a estos asuntos, consideramos que también nosotros debemos serlo. Por lo tanto, estamos tomando las medidas necesarias para incrementar la transparencia al complementar nuestro programa existente, que brinda a los clientes gubernamentales la capacidad de revisar nuestro código fuente, confirmar por sí mismos su integridad y verificar que no haya ‘back doors’. Estableceremos una red de centros de transparencia que ofrecerán a esos clientes una mayor capacidad de confirmar por sí mismos la integridad de los productos de Microsoft. Dichos centros se establecerán en Europa, las Américas y Asia, e incluiremos una variedad más amplia de productos en este programa.
Por último, entendemos que debe haber un equilibrio entre la tecnología, la seguridad y la ley. Todos deseamos vivir en un mundo que sea seguro, pero también queremos vivir en un país que esté protegido por la Constitución. Queremos asegurarnos de que las cuestiones importantes sobre el acceso del gobierno se decidan en los tribunales en lugar de que sean dictadas por el poder de la tecnología. Además, nos enfocaremos en aplicar nuevas protecciones a nivel mundial dada la naturaleza global de estos problemas y retos. Consideramos que estas nuevas medidas logran un equilibrio que nos proporcionan a todos la seguridad que necesitamos y la privacidad que merecemos.
Lea más: Privacy