La Agencia Española de Protección de Datos (AEPD) publico hace unas semanas una nota técnica sobre una metodología de modelado de amenazas centrada en la privacidad, diseñada para entender y gestionar riesgos específicos relacionados con el tratamiento de datos personales.
¿Qué es el modelado de amenazas?
Antes de profundizar, definamos qué entendemos por modelado de amenazas. Este concepto surgió en los años 90, cuando crecieron las preocupaciones sobre la falta de medidas de seguridad en el desarrollo de software. Es un proceso sistemático que ayuda a identificar posibles amenazas para un sistema o aplicación, con el objetivo de anticipar y comprender riesgos desde la etapa de diseño. Es decir, el modelado de amenazas no es un análisis de riesgos en sí mismo, ya que este último examina y mitiga riesgos identificados de manera específica.
¿En qué se diferencia LIINE4EDU del resto?
A diferencia de los modelos de amenazas relacionados con la ciberseguridad, que suelen centrarse en la protección de activos y la mitigación de ataques, el modelado de amenazas a la privacidad adopta un enfoque más amplio. Incluye la identificación de impactos negativos potenciales en los derechos y libertades individuales, buscando proteger no solo la integridad y confidencialidad de los datos, sino también la transparencia y el control sobre la información personal.
Aunque ya existen marcos como LINDDUN, LIINE4EDU está diseñado para alinearse con las necesidades de cumplimiento de la normativa vigente en materia de protección datos y, específicamente, facilitar las Evaluaciones de Impacto en la Protección de Datos.
En este sentido, se eliminó la categoría de “Incumplimiento”, ya que el cumplimiento es un requisito previo en el diseño de las actividades de tratamiento. Si no se cumple con los requisitos legales, el modelado de amenazas no puede compensarlo. En su lugar, se añadieron cuatro nuevas categorías:
- Inexactitud: Uso de datos desactualizados, erróneos, incompletos, sesgados o de baja calidad que pueden conducir a decisiones incorrectas o perjudicar al individuo.
- Exclusión: Tratar inadecuadamente a una persona, obstaculizando involuntaria o deliberadamente su participación en la vida física o digital.
- Brecha de seguridad: Destrucción, pérdida, alteración, divulgación no autorizada o acceso indebido a datos personales debido a errores, actores malintencionados o ciberataques.
- Engaño: Influencia, coerción o manipulación intencionada que lleva a una persona a tomar decisiones involuntarias y potencialmente perjudiciales, generalmente en contra de sus propios intereses.
¿Por qué debería realizarse?
La importancia del modelado de amenazas radica principalmente en identificar aquellas amenazas que podrían afectar a las personas. Por ejemplo, la amenaza del engaño puede impactar el derecho a la autonomía, ya que las personas podrían ser inducidas a compartir más información o aceptar términos en contra de sus intereses, limitando su autodeterminación. También afecta el derecho a la información, dificultando que las personas comprendan cómo se utilizan sus datos; el derecho a la privacidad, al inducir a compartir más información; y libertades como la expresión, ya que el engaño puede erosionar la confianza y llevar a la autocensura.
Veamos un ejemplo
Aunque esta nota técnica cubre solo el nivel inicial del modelado, dejando para futuras publicaciones el desarrollo detallado de árboles de amenazas, nada impide empezar con un escenario inicial en el tratamiento de datos. Aun así, como señala la AEPD, el modelado de amenazas no elimina la necesidad de abordar primero la legitimidad y legalidad del tratamiento.
Tomemos como ejemplo una bomba de insulina controlada a distancia, que permite a médicos y pacientes monitorear los niveles de glucosa y ajustar la dosis de insulina a través de una aplicación móvil. El árbol de amenazas podría estructurarse de la siguiente manera:
| Nivel 1 | Nivel 2 | Nivel 3 |
|---|---|---|
| Vinculación | Integración con otros dispositivos | Ataque Man-in-the-Middle |
| Asociación de datos | Vinculación con otros datos médicos | |
| Transferencias a terceros | Riesgo de exposición a terceros | |
| Identificación | Reidentificación por pseudonimización | Combinación con datos contextuales |
| Análisis de metadatos | Deducción de identidad mediante patrones de uso | |
| Fuga de credenciales | Exposición de datos | |
| Inexactitud | Errores de configuración | Errores en la entrada de datos |
| Datos desactualizados | Retraso en actualizaciones en tiempo real | |
| Datos de baja calidad | Falta de validación | |
| Exclusión | Falta de control del usuario | Configuraciones predeterminadas restrictivas |
| Obstáculos a la intervención del usuario | Barreras para consultar el historial | |
| Violación de datos | Acceso no autorizado | Acceso de atacantes externos a través de malware |
| Pérdida de datos | Error en la configuración de copias de seguridad | |
| Acceso descontrolado | Acceso no autorizado a datos sensibles | |
| Engaño | Falta de transparencia | Lenguaje técnico incomprensible |
| Manipulación del usuario | Interferencia en la toma de decisiones | |
| Desinformación | Información oculta | |
| Divulgación | Recolección excesiva de datos | Recopilación de información irrelevante |
| Almacenamiento prolongado | Falta de aplicación de políticas de retención | |
| Distribución incontrolada | Distribución a terceros no autorizados |
¿Cuándo debemos realizarlo?
El modelado es una entidad viva que debe ser monitoreada y actualizada conforme se desarrollen los tratamientos y ante cada modificación sustancial. Sin embargo, debe definirse desde la fase de diseño; de lo contrario, se corre el riesgo de construir a ciegas.
En resumen
El modelado LIINE4EDU ofrece ventajas como:
- Su enfoque en la protección de derechos y libertades.
- Su alineación y consistencia con los principios y requisitos de las normativas europeas.
- La facilitación de una documentación detallada y la transparencia en los registros de tratamiento y medidas de seguridad.
- Mejora continua, gracias a las actualizaciones periódicas que permiten adaptarse a nuevas amenazas y desafíos.