Preocupación por la seguridad de los datos en la Siria post-Assad/تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
Por Wael Qarssifi, becario MTM 2023
Texto en árabe abajo/النص العربي أدناه
Tras la caída del régimen terrorista de Assad en Siria, el mundo sigue sin saber hasta qué punto confiar en los nuevos líderes islamistas. En esta situación compleja y en desarrollo, la seguridad de los datos no parece una prioridad. Wael Qarssifi, del Observatorio de la Migración y la Tecnología, explica por qué no debe ignorarse esta cuestión.
![Una foto gigante del ex presidente sirio Bashar al-Assad yace en el suelo dentro del Palacio Presidencial. [Omar Sanadiki/Foto AP].](https://images.squarespace-cdn.com/content/v1/626d808cc8cf094dc06d60e4/4ce7e1bc-397c-4206-91a1-d5d0e123b804/A+giant+picture+of+former+Syrian+President+Bashar+al-Assad+lies+on+the+ground+inside+the+Presidential+Palace.+Omar+Sanadiki_AP%C2%A0Photo.jpg)
Una foto gigante del ex presidente sirio Bashar al-Assad yace en el suelo dentro del Palacio Presidencial. [Omar Sanadiki/Foto AP], 8 de diciembre de 2024
El 7 de enero de 2025, el Primer Ministro interino sirio emitió un aviso a todas las agencias gubernamentales, asociaciones y organizaciones de la sociedad civil para que no recopilaran ningún dato o información de ciudadanos sirios a través de formularios digitales a menos que fuera a través de las plataformas del Ministerio de Comunicaciones y Tecnología de la Información. El aviso dejaba claro que todas las actividades que incluyeran la recopilación de datos de ciudadanos sirios debían organizarse y aprobarse a través del ministerio.
Tras cinco décadas de régimen brutal y una guerra que duró 14 años, el país está destrozado. En diciembre de 2024, el régimen de Assad llegó a su fin, tras una impactante campaña de 11 días de facciones militares de la oposición lideradas por el grupo islamista de línea dura Hay'at Tahrir Al-Sham (HTS). El gobierno provisional tiene mucho entre manos. La decisión de limitar la recopilación de datos digitales al Ministerio de Comunicaciones es comprensible en tiempos de caos, pero no se traduce necesariamente en prácticas que protejan la seguridad de los datos en Siria. Por el contrario, una serie de decisiones cuestionables del gobierno plantean interrogantes sobre la seguridad de los datos de los sirios.
Antes de la decisión del Ministerio sobre la recogida de datos, muchos medios de comunicación de Siria, entre ellos SyriaNews y Syria TV, informaron de que funcionarios del Gobierno habían dado instrucciones a los trabajadores para que se descargaran una aplicación llamada "Sham Cash." Esto implicaba compartir su información bancaria en la aplicación con el fin de recibir sus salarios retrasados desde la caída del régimen en diciembre.
Muchos trabajadores del gobierno expresaron su preocupación por la aplicación de monedero electrónico que está conectada a "Sham Bank", una antigua empresa de transferencia de dinero convertida en banco en 2018 y propiedad de Hay'at Tahrir Al-Sham (HTS), la organización militante islamista que puso fin al brutal reinado del régimen de Assad el 8 de diciembre de 2024. El grupo islamista sigue estando sometido a sanciones internacionales a pesar de su reciente disolución. Debido a estas sanciones y al control que el régimen de Assad ejercía sobre el sector bancario, la empresa propiedad de HTS que gestiona la aplicación nunca ha tenido conexión alguna con el ecosistema bancario sirio y carece de las salvaguardias y regulaciones monetarias habituales que solían aplicar los bancos del país.
Las dudas sobre la fiabilidad de la aplicación no sólo se dirigen a la posibilidad de robo de datos, sino que también surgen a nivel tecnológico. La aplicación que sólo está disponible para sistemas operativos Android, no está disponible en Google Play Store. Si bien el argumento de evitar sanciones por parte del desarrollador, no cambia el hecho de que la aplicación no está aprobada por un tercero como Google.
Dlshad Othman, Ingeniero Senior de Inteligencia de Ciberamenazas en Amazon Web Services (AWS), proporcionó un análisis técnico sobre la aplicación en un publicación en Facebooken el que afirmaba que los usuarios se ven obligados a "confiar en el desarrollador" debido a la falta de una evaluación de seguridad independiente. Othman expresó su preocupación por los requisitos que se imponen a los usuarios al utilizar la aplicación. Para que la aplicación funcione, el teléfono tiene que desactivar el modo de suspensión, permitir que la aplicación funcione en segundo plano y dar permiso para registrar datos biométricos como imágenes faciales y huellas dactilares. Según Othman, el servidor de la aplicación también es propenso a sufrir ciberataques. Othman también dijo que el problema de la aplicación no es sólo técnico, sino que también está relacionado con la apropiación y el monopolio en que HTS toma las decisiones.
Amenazas para los datos
El sector bancario no es el único problema para la seguridad de los datos de los sirios. Los expertos se refieren a muchos portales de datos gubernamentales que están bajo amenaza cibernética directa en el país.
Por ejemplo, un informe de enero de 2025 informe del Centro de Operaciones de Seguridad de Siria (SySOC) mostraba que muchos portales utilizados por el gobierno provisional sirio para recopilar datos carecen de importantes medidas de seguridad. Según el informe, los formularios de recogida de datos, algunos de los cuales son emitidos por el Ministerio de Sanidad, están alojados en servidores de Turquía, lo que suscita aún más preocupación por la seguridad de los datos. Expertos como SySOC temen que datos tan sensibles pertenecientes a ciudadanos sirios no deban alojarse en servidores que puedan ser controlados o alterados por el gobierno o entidades privadas de otros países.
El centro también descubrió que los sistemas utilizados por el gobierno son muy propensos a sufrir ciberataques automatizados y utilizan software antiguo que incluye lagunas conocidas en el protocolo de seguridad. La transferencia de datos se realiza a través de canales no cifrados, lo que facilita que un tercero pueda acceder a ellos.
En el informe, SySOC pide al gobierno que encuentre inmediatamente soluciones a las urgentes amenazas a la seguridad para proteger los datos de los sirios contra cualquier filtración o ciberataque.
¿Por qué deberían preocuparse los sirios?
El actual entorno técnico inseguro en el que el gobierno sirio está operando muchas de sus plataformas podría poner los datos de millones de sirios bajo la amenaza de ser filtrados, manipulados o incluso vendidos. En 2018, la base de datos de identificación de la India "Aadhaar" sufrió una enorme filtración de datos que llevó a que los datos de millones de indios se vendieran en Internet y puso a muchos de ellos bajo el riesgo de robo de identidad. Los datos filtrados incluían nombres, datos bancarios y datos biométricos. Las investigaciones sobre el caso demostraron que miles de antiguos empleados seguían teniendo acceso a todos esos datos sensibles después de dejar sus puestos por falta de un protocolo de protección adecuado.
Otra cuestión importante relacionada con la protección de datos es la total falta de transparencia. El ejemplo de la aplicación "Sham Cash" y el hecho de que el gobierno provisional de Damasco no revele ninguna información sobre la empresa privada propietaria de la aplicación hace saltar las alarmas sobre posibles monopolios de datos o nepotismo a la hora de conceder acuerdos de tratamiento de datos a entidades privadas concretas.
Estas prácticas pueden dar lugar a fugas de datos muy peligrosas similares al caso de "Deep Root Analytics" en Estados Unidos en 2016. Se filtraron datos sensibles de 198 millones de votantes antes de las elecciones presidenciales. La empresa contratada por el Comité Nacional Republicano tenía muchos puntos débiles en sus sistemas de protección y protocolo, lo que llevó a la filtración de información sensible que incluía el nombre y apellidos de los votantes, fechas de nacimiento, direcciones de domicilio y postal, números de teléfono, partido registrado y origen étnico.
Países con sistemas de protección de datos mucho más desarrollados que Siria sufrieron enormes filtraciones de datos debido a la falta de protección y a la ausencia de transparencia en las políticas de datos. La situación actual de la protección de datos en Siria apenas deja lugar para el optimismo si no se resuelven pronto los principales problemas señalados por muchos expertos.
Se espera que en marzo de 2025 la actual administración provisional sea sustituida por un gobierno de transición que se enfrente al reto de reconstruir un país tras décadas de guerra. La protección de datos no parece ocupar un lugar importante en esta agenda. Pero en un mundo cada vez más digital, el manejo de los datos es también un indicador de los derechos individuales. El nuevo gobierno sirio tendrá la responsabilidad de consultar con expertos sirios en tecnología, tanto en el país como en la diáspora. El objetivo sólo puede ser uno: presentar a sus ciudadanos una política de protección de datos definida con precisión y responsable, en la que la transparencia y la rendición pública de cuentas deben ser las directrices. Este planteamiento también implica un compromiso con una legislación estricta que regule cómo puede colaborar el gobierno con entidades privadas cuando se trata de recopilar y gestionar datos.
¿Quiere saber más?
Siga el trabajo de Wael aquí, incluido su reportaje para Al Jazeera sobre los numerosos problemas a los que se enfrentan los refugiados en Malasia.
تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
بعد سقوط نظام الأسد المرعب في سوريا، لا زال العالم متردداً بشأن الثقة بالقادة الإسلاميين الجدد في البلاد. في خضم هذا الوضع المعقد والمستمر بالتغير يبدو أن أمن البيانات لا يحظى بالأولوية. في هذا المقال يشرح وائل قرصيفي من مرصد الهجرة والتكنولوجيا ضرورة عدم تجاهل هذه القضية.
في 7 يناير الماضي، أصدر رئيس الوزراء السوري المؤقت بلاغاً لجميع المؤسسات الحكومية والنقابات ومنظمات المجتمع المدني بعدم جمع أي بيانات أو معلومات من المواطنين السوريين عبر النماذج الإلكترونية بدون استعمال المنصات الخاصة بوزارة الاتصالات وتقانة المعلومات السورية، وأعلن البلاغ حصر جميع عمليات جمع البيانات من المواطنين في البلاد بالتنظيم والموافقة من الوزارة المعنية.
بعد خمسة عقود من الحكم الوحشي وحرب دامت 14 عامًا، سقط نظام الأسد في ديسمبر 2024 بعد حملة عسكرية صادمة استمرت 11 يومًا من قبل فصائل المعارضة العسكرية بقيادة الجماعة الإسلامية المتشددة هيئة تحرير الشام. أمام الحكومة المؤقتة مسؤوليات كبرى وقرار تقييد جمع البيانات عبر الوسائل الرقمية بيد وزارة الاتصالات قرار مفهوم في سياق الفوضى الراهنة. القرار الجيد من الناحية النظرية لم يترجم بالضرورة بممارسات لحماية بيانات السوريين، بل على العكس صدرت من الحكومة الجديدة عدة قرارات مبهمة أثارت الكثير من التساؤلات حول خطط الحكومة لحماية بيانات المواطنين السوريين.
قبل أيام من إعلان الحكومة حصر عملية جمع البيانات بوزارة الاتصالات، نقلت العديد من وسائل الإعلام السورية من بينها سيريانيوز وتلفزيون سوريا أن مسؤولين في الوزارات الحكومية أصدروا توجيهات للموظفين بتحميل تطبيق "شام كاش" ومشاركة بيانات حساباتهم في التطبيق مع السلطات للحصول على رواتبهم المؤجلة منذ سقوط النظام في ديسمبر.
وعبّر العديد من الموظفين الحكوميين عن مخاوفهم بشأن تحميل تطبيق المحفظة الإلكترونية المرتبط بمؤسسة "بنك شام" وهي شركة حوالات سابقة تحولت إلى مصرف في عام 2018 ويمتلكها أفراد مرتبطون بهيئة تحرير الشام، الحركة التي قادت العملية العسكرية التي أسقطت النظام في 8 ديسمبر 2024. الحركة الإسلامية ورغم حلها إلا أنها لازالت خاضعة للعديد من العقوبات الدولية، وبسبب تلك العقوبات وسيطرة نظام الأسد على القطاع المصرفي فلم يكن لهذا المصرف التابع للحركة أي اتصال مع القطاع المصرفي السوري، وافتقاد لمعظم آليات الأمان والقوانين التي تعمل بها المصارف عادة في سوريا.
التساؤلات حول التطبيق المذكور لا ترتبط فقط باحتمالية سرقة البيانات بل كذلك بالمستوى التقني ككل، فالتطبيق غير متوفر سوى على الأجهزة التي تعمل بنظام أندرويد، ورغم ذلك فإنه غير متوفر على التطبيقات الرسمية مثل متجر جوجل، وفيما يعزى ذلك إلى العقوبات ومحاولة تلافيها من قبل مبرمجي التطبيق فإن ذلك لا يغير واقع أن التطبيق لم يخضع لأي موافقة من جهة ثالثة مثل جوجل بخصوص إجراءات الأمان.
المختص في مجال أمن المعلومات ومهندس في مجال التهديدات الرقمية لدى خدمات أمازون ويب (AWS)، دلشاد عثمان، كتب في منشور عبر موقع فيسبوك تحليلاً أولياً لوضع التطبيق، حيث أوضح أنه يتطلب من المستخدمين "الوثوق بالمطور" في غياب أي تقييم أمان من جهة ثالثة للتطبيق، وعبر عن تساؤلات بخصوص الأذونات التي يطلبها التطبيق. للعمل بالشكل المطلوب يمنع التطبيق الهاتف من دخول وضع السكون ويستمر بالعمل في الخلفية كما يقوم بتسجيل معلومات هامة مثل بصمة الأصابع والوجه، كما أن الخوادم التي يعتمد عليها التطبيق هي عرضة للهجمات السيبرانية بحسب الخبير الذي أوضح أن المشكلة مع التطبيق ليست تقنية بقدر ما هي مرتبطة بسياسة هيئة تحرير الشام واحتكارها لاتخاذ مثل هذه القرارات.
مخاوف تهدد بيانات السوريين
القطاع المصرفي ليس القطاع الوحيد الذي تواجه فيه بيانات السوريين تهديدات أمان جدية، حيث يشير خبراء إلى عدة منصات حكومية تعمل تحت خطر هجمات سيبرانية قد تهدد أمن بيانات المواطنين في البلاد.
على سبيل المثال، أصدر المركز السوري للأمن الرقمي مؤخراً تقريراً أظهر أن العديد من المنصات المعتمدة لجمع بيانات من قبل الحكومة السورية المؤقتة تفتقر لإجراءات أمن أساسية لحماية البيانات والمعلومات التي تقوم بجمعها. بحسب التقرير فإن نماذج جمع البيانات التي تستعملها العديد من المؤسسات الحكومية بما فيها وزارة الصحة تعمل على خوادم في تركيا، وعنوان بروتوكول إنترنت (IP) يشير إلى استضافة مشتركة قد تكون غير آمنة للبيانات التي يتم جمعها من المواطنين السوريين، ورغم أن وجود الخوادم التركية قد يكون بسبب الشبكات التركية في إدلب إلا أن المحاذير الأمنية لا تزال جدية بهذا الشأن. كما يحذر الخبراء مثل المركز السوري من خطورة وضع معلومات حساسة تخص السوريين على خوادم يُمكن التحكم بها أو تعطيلها من قبل حكومات أو شركات خاصة أجنبية.
كما وجد المركز خلال تقييمه لتلك المنصات أن العديد من الأنظمة المستعملة من قبل الحكومة معرضة بشكل كبير للهجمات السيبرانية وتستعمل مكتبات برمجية قديمة تحمل ثغرات معروفة ويُمكن اختراقها، فيما يتم نقل العديد من البيانات والمعلومات من خلال اتصالات غير مشفرة مما قد يعرضها لخطر الاعتراض من جهات ثالثة.
ودعا المركز الحكومة السورية المؤقتة لاتخاذ إجراءات عاجلة لحماية بيانات السوريين من التهديدات واحتمالية التسريب، وذلك عبر نقل جميع المنصات الحكومية إلى خوادم مخصصة وتحديث البنية التحتية بما يتلائم مع التقنيات الحالية.
لماذا على السوريين الاهتمام بهذه القضية؟
البيئة التقنية غير الآمنة في سوريا والتي تعمل الحكومة المؤقتة من خلالها قد تضع بيانات الملايين من السوريين في خطر التسريب أو التلاعب أو البيع. في عام 2018 شهدت الهند تسريباً لملايين البيانات من خلال نظام الهويات الحكومي "آداهار" وهو ما تسبب بتعريض ملايين المواطنين الهنود لخطر انتحال الشخصية أو نشر بيانات شخصية حساسة، حيث تضمن التسريب أسماء المواطنين وتفاصيل حساباتهم البنكية ومعلوماتهم البيومترية، فيما كشفت التحقيقات أن آلاف الموظفين الحكوميين في الهند كانوا يمتلكون ولوجاً إلى تلك المعلومات قبل التسريب رغم أنهم غادروا وظائفهم منذ سنوات بسبب غياب البروتوكولات الأمنية المناسبة.
للقضية بعد آخر يرتبط بالغياب التام للشفافية، فتطبيق "شام كاش" كمثال وتعامل الحكومة في دمشق معه دون الكشف عن أي معلومات مرتبطة بالشركة الخاصة التي تمتلكه يدق ناقوس الخطر بخصوص احتمالية تأسيس احتكارات أو محسوبيات في المستقبل لمنح صفقات لشركات خاصة للتعامل مع بيانات السوريين.
ممارسات مثل هذه قد تقود مستقبلاً لتسريبات بيانات خطيرة كما حصل في حالة شركة "ديب روت أناليتكس" الأمريكية في عام 2016، حيث تسببت مشاكل الأمان في الشركة بتسريب بيانات 198 مليون ناخباً أمريكياً قبل الانتخابات الرئاسية. الشركة التي تعاقد معها الحزب الجمهوري الأمريكي كانت تعاني من العديد من الثغرات في نظمها الأمنية وهو ما تسبب بتسريب بيانات حساسة تتضمن أسماء الناخبين وتواريخ ميلادهم وعناوين السكن والبريد وأرقام هواتفهم والحزب الذي ينتمون إليه وتصنيفهم العرقي.
الواقع يؤكد أن الدول التي تمتلك نظم حماية بيانات أفضل بكثير من سوريا عانت سابقاً من تسريبات كبرى بسبب غياب وسائل الأمن الضرورية وغياب الشفافية في السياسات أو الصفقات، والوضع الحالي في سوريا لا يترك مجالاً للتفاؤل في هذا الشأن إذا لم يتم حل المشاكل التقنية الواضحة التي أشار إليها العديد من الخبراء وبشكل عاجل.
من المتوقع أن تستبدل الحكومة السورية المؤقتة بحكومة انتقالية في شهر مارس، وأمام هذه الحكومة تحد كبير لإعادة بناء بلد مدمر بعد أكثر من عقد من الحرب، ويبدو أن أمن البيانات لا يبدو على رأس سلم الأولويات في الوقت الحالي. في عالم رقمي وأكثر رقمية كل يوم، تعامل الحكومات مع بيانات المواطنين هو مؤشر هام على تعاملها مع الحريات والحقوق الفردية، والحكومة السورية مطالبة اليوم بالاعتماد على خبرات السوريين في سوريا وفي المهجر نحو تحقيق هدف واحد وهو: تقديم سياسة واضحة وشفافة وقابلة للمساءلة حول حماية بيانات السوريين وتقديم قوانين صارمة بخصوص التعامل مع الشركات والهيئات الخاصة عندما يتعلق الأمر بجمع البيانات والتعامل معها.