La tecnología abierta de Estonia para garantizar transparencia en datos públicos

La puesta en marcha de una administración electrónica a nivel estatal se enfrenta a retos de altura. Uno de ellos es la fiabilidad de la información. Garantizar que las bases de datos que maneja un Estado sobre su territorio y sobre sus ciudadanos son correctas es un requisito imprescindible para confiar en una sociedad digital. Por lo general, las instituciones y los gobiernos no cuentan con ningún sistema que asegure la integridad de la información.

En Estonia la mayoría de los trámites se hacen electrónicamente y los ciudadanos están acostumbrados a tratar con las instituciones a través de servicios digitales, y la búsqueda de la seguridad de esos datos les ha llevado a buscar tecnologías seguras. Para la transmisión y recepción de mensajes cuentan con la tecnología PKY (public key infrastructure), pero este sistema no es del todo seguro si se aplica a la información, pues alguien que obtenga privilegios de administrador puede cambiar el contenido.

La información en Estonia está asegurada por una tecnología llamada Keyless Signature Infrastructure (KSI), cuyo código está liberado. La compañía que ofrece el servicio de KSI a la sociedad estonia es Guardtime y también es de allí. KSI trabaja con metadatos asociados a cada pieza de información. Están basados en criptografía, por lo que se trata de un código matemático. No se puede modificar la información sin romper ese código y, por tanto, dejar rastro. No es susceptible de ser hackeado porque es una combinación matemática que se modifica por defecto cuando se toca la información.

De esta manera, Guardtime puede probar que los datos sean los originales, quién los almacenó y cuándo lo hizo. La tecnología se utiliza para garantizar la integridad de información gubernamental o administrativa, instituciones financieras o registros médicos. La compañía ofrece su solución a proveedores de servicios cloud y cobra 10 céntimos por GB. Entrevistamos a Mike Gault, CEO y cofundador de Guardtime.

¿Cómo funciona el sistema de Guardtime?

Es como una etiqueta para la información, como metadatos, sólo que criptográficamente puedes probar la integridad de la información. Por ejemplo, puedes poner tu nombre en los metadatos, pero esto no significa que se trate de tu información. O puedes poner una fecha en los metadatos pero no es una prueba fiable, cualquiera puede cambiar estas cosas. Lo que ocurre con Guardtime es que se trata de una etiqueta criptográfica. Tienes una información y tienes una etiqueta Guardtime, una firma para esa información. Y con ello puedes probar matemáticamente la fecha, la integridad y la autenticidad de esa información, de forma totalmente independiente.

¿Qué papel está jugando Guardtime en Estonia?

Responsabilidad pública, transparencia, atribución. Un ejemplo simple, a la hora de registrar herencias hay información importante, es digital y está almacenada en una base de datos del gobierno. Como ciudadano, yo puedo verificar que esto es correcto. La administración del sistema es toda electrónica, así que un mal administrador o un hacker pueden entrar y modificar esta información, diciendo que ésta no es tu propiedad sino que es la de otro. En cambio, teniendo la firma de Guardtime aumenta la confianza en la sociedad digital. Sin la firma, un hacker realmente podría fastidiar bien las cosas.

¿De dónde provienen los ingresos de Guardtime?

Nuestro modelo de negocio es por gigabyte. Nos asociamos con proveedores de servicios cloud, como Joyent, que ofrece, digamos, el equivalente de Amazon S3. Con Guardtime puedes autentificar la información almacenada, no necesitas confiar en tu proveedor de almacenamiento para que verifique la integridad de esta información.

¿Con qué tipo de clientes trabajan?

Tenemos partners de servicios cloud. Trabajamos con China Telecom y tenemos clientes entre la banca de Europa. Tenemos también gobiernos, como el de Tailandia, Filipinas, Malasia, que utilizan activamente nuestro servicio para verificar la autenticidad de la información dentro de sus redes.

¿Trabajan con agencias y servicios de inteligencia?

No.

¿Qué importancia tiene verificar la integridad de los datos en las sociedades digitales?

Desde la perspectiva de una empresa o un gobierno puedes utilizar la nube como un archivo, almacenar información en la nube y presentarla a reguladores que pueden verificar que esta información es correcta. Piensa en transacciones financieras, registros médicos, bases de datos gubernamentales, toda esta información no puede estar subida a la nube y no cumplir con las obligaciones regulatorias.

¿Cómo están haciendo para expandir su tecnología?

Las compañías son misioneras o mercenarias. Nosotros tenemos una compañía misionera en el sentido de que queremos construir un estándar para la información. Queremos que todo gobierno, toda empresa, toda compañía de telecomunicaciones, cualquier organización utilice esta tecnología para autentificar la información. De momento tenemos modelo de acuerdos. Las compañías de telecomunicaciones integran nuestra tecnología en su plataforma y la ofrecen como un valor fuera del servicio.

¿Hay otras soluciones en el mercado que estén ofreciendo algo parecido?

La competencia ahora mismo es el status quo. Puedes tener información con la firma o puedes no tenerla. Si compras una caja de almacenamiento de EMC o NetApp es posible cumplir con la regulación respecto a la información porque la evidencia está en el hardware que contiene los datos. Pero al poner la evidencia en el software puedes mover la información a la nube. De esta manera los datos sujetos a regulación pueden almacenarse en la nube, a una fracción del coste que ofrecen las soluciones tradicionales.

¿En qué lugares está más implantada su tecnología?

Empezamos originalmente en Estonia. Después obtuvimos financiación en 2010 de inversores asiáticos. Asia es un gran mercado para nuestra tecnología. Las economías emergentes no tienen los sistemas legales que Europa tiene ni esa mente conservadora. Están mucho más abiertos a invertir en nuevas tecnologías.

¿Y cómo se puede Guardtime extender al resto de Europa?

La respuesta es la nube, porque en la nube todo es nuevo y los proveedores de servicios cloud están tratando de diferenciar su oferta.

Su solución es de código abierto y está disponible a todo el mundo. ¿Qué valor añadido ofrece Guardtime para que alguien contrate su sistema?

El software es de código abierto, pero aún con ello necesitas un proveedor de servicio. Se necesita una forma de hacer llegar el servicio a los clientes y eso es lo que hacemos.

Imagen: torkildr