El ox¨ªmoron de la privacidad en las redes sociales

Por definici¨®n una red social es una aplicaci¨®n de internet que permite crear contenidos y compartirlos con otros usuarios. Precisamente ese car¨¢cter comunitario de la aplicaci¨®n es el que hace que nos aventuremos a crear perfiles en los que recogemos nuestros hobbies, intereses o incluso nuestras actividades cotidianas. De forma habitual compartimos y publicamos fotos, comentamos la informaci¨®n publicada por otras personas e interactuamos con ellas proporcion¨¢ndoles datos personales.

En este entorno ?de verdad pensamos que podemos mantener acotado el control de todo aquello que divulgamos? La respuesta parece obvia. A veces incluso, los promotores de estas redes ni siquiera necesitan saber nuestros datos personales; solo tendr¨ªamos que consultar lugares como Big para comprobar c¨®mo pueden utilizar la huella digital que dejamos cada vez que nos movemos por Internet.

Pero a¨²n hay m¨¢s. En muchas ocasiones, esa informaci¨®n (incluyendo datos personales) es utilizada por terceros y se convierte en moneda de cambio para transacciones en ocasiones ilegales. Es entonces cuando nos escandalizamos. Ponemos el grito en el cielo: ¡°yo cre¨ª que¡­ yo pens¨¦ que¡­¡±. Y, a continuaci¨®n, desviamos la atenci¨®n hacia las compa?¨ªas a las que hemos dado permiso para que los gestionen.

No son pocos los casos publicados de filtraciones de datos personales de usuarios de forma masiva ¡ªsin el consentimiento de la red social¡ª que han obligado a la Justicia a depurar responsabilidades. Podr¨ªamos decir que, desde este punto de vista, cuando esto ocurre, tenemos una clara y desagradable evidencia de a donde van a parar nuestros datos.

Legislaci¨®n y futuras iniciativas legislativas

Las redes sociales son una consecuencia de la globalizaci¨®n. Operan a nivel mundial en un terreno en el que hay m¨¢s de 200 pa¨ªses. Desafortunadamente cada Estado tiene sus propias leyes (algunos incluso ni siquiera desarrolladas en una normativa de protecci¨®n de datos).

A nivel europeo, el RGPD ha significado un salto cualitativo muy importante, aunque a¨²n no ha sido seguido por el resto del mundo occidental. Se trata de una ley que, aunque no est¨¢ concebida para los usuarios de redes sociales, puede ser aplicada a sus operadores. Ciertos pa¨ªses europeos han reforzado estas medidas ¡ªm¨¢s all¨¢ incluso de los propios procedimientos que las propias redes sociales aplican internamente y que a menudo se han demostrado ineficientes. As¨ª, por ejemplo, Alemania?dispone actualmente de una ley ¡ªNetzDG Law¡ª que obliga a aquellas compa?¨ªas que tienen m¨¢s de dos millones de usuarios. Un paso similar al seguido por el gobierno canadiense. En otros pa¨ªses, como en el caso de Rusia, la legislaci¨®n obliga a que los datos de sus ciudadanos se conserven en servidores dentro de su territorio. En China se han mostrado m¨¢s restrictivos: han creado sus propias redes sociales que son monitorizadas por el propio gobierno, bloqueando al resto de las que dominan el mercado internacional. En USA no existe una ¨²nica normativa com¨²n que regule la protecci¨®n de datos personales; m¨¢s a¨²n, los propios Estados norteamericanos disponen de sus legislaciones particulares.

Demasiadas diferencias para una cuesti¨®n tan trascendental. Actualmente el gobierno norteamericano est¨¢ estudiando c¨®mo obligar por ley a las redes sociales que disponen de m¨¢s de 100 millones de usuarios activos, a informar tanto a los usuarios como a las entidades reguladoras de cu¨¢les son los datos recogidos, cu¨¢l ser¨¢ su uso y cu¨¢l es su precio en el mercado. Es lo que se conoce como la Iniciativa Dashboard. Una iniciativa loable, aunque limitada en su alcance ya que garantizar la privacidad no ser¨¢ su principal objetivo. Lo que de verdad perseguir¨¢ es el aprovechamiento y uso de esos datos privados, es decir, pondr¨¢ en valor los datos que proporcionan y generan los usuarios. Al final se trata de combatir la idea de que las redes sociales son recursos de acceso gratuito. De hecho, existe una expresi¨®n coloquial que dice que ¡°si no sabes cu¨¢l es el producto que te est¨¢n vendiendo es que el producto eres t¨²¡±.

Riesgos que asumimos los usuarios

Los riesgos de compartir datos personales pueden ser incontables. De facto, se trata de riesgos que est¨¢n imbricados en la propia concepci¨®n de las redes sociales. Por definici¨®n una red social implica compartir. Un concepto que es completamente opuesto a mantener la privacidad.

Cuando una persona comparte con otra persona un dato que solo ella conoce multiplica por dos los riesgos. Imagin¨¦monos cuando ese mismo dato (fotograf¨ªa, comentario o informaci¨®n personal) se comparte con cientos de miles o millones de personas. Algunos dir¨¢n que la informaci¨®n que se suele divulgar en las redes sociales es irrelevante o que no aporta valor a nadie con respecto a la privacidad, pero realmente est¨¢n cometiendo un profundo error.

La informaci¨®n que publicamos en redes sociales dice mucho de nosotros y puede ser utilizada para definir, por ejemplo, perfiles de personalidad, afinidades pol¨ªticas, contactos, localizaci¨®n, etc. Solo a modo enumerativo podr¨ªamos mencionar la posibilidad de conocer nuestra geolocalizaci¨®n a trav¨¦s de los par¨¢metros de las fotograf¨ªas que subimos, nuestras rutinas diarias a trav¨¦s de los cambios de estado que reflejamos en nuestras cuentas, los amigos (incluso ¡°no amigos¡±) que a?adimos (o bloqueamos) a grupos de confianza, la conexi¨®n que hacemos con otras aplicaciones (por ejemplo, financieras), etc.

Todo ello permite no solo hacer perfiles sociol¨®gicos de grupos o de personas sino incluso proporcionan informaci¨®n ¨²til para deducir, por ejemplo, contrase?as que utilizamos en las cuentas que tenemos asociadas.

El emblem¨¢tico caso de Facebook

Recientemente se ha multado a Facebook con 5.000 millones de d¨®lares, unos 4.436 millones de euros al cambio, por haber violado la privacidad de sus usuarios al ceder sus datos sin consentimiento previo a la empresa Cambridge Anal¨ªtica.

Mucho se ha hablado de este caso, pero poco se ha comentado que Facebook ya ten¨ªa provisionado en sus resultados el posible importe de esta multa. Mark Zuckerberg, a finales del pasado a?o, reserv¨® una partida econ¨®mica dirigida a afrontar el pago de una sanci¨®n que claramente preve¨ªa que fuera cuantiosa. Econ¨®micamente es algo que ten¨ªan asumido y para un ¡°monstruo tecnol¨®gico¡± como es Facebook no resulta ¡°demasiado alta¡± ¡ªun 8% de su facturaci¨®n anual.

Quiz¨¢s lo relevante de la multa impuesta por la FTC (Federal Trade Commission) se encuentre en los detalles de la sentencia en los que se expone la obligaci¨®n futura de Facebook de documentar cualquier decisi¨®n relativa al uso de datos personales de servicios o aplicaciones pretendan lanzar al mercado. Algunas voces, de hecho, indican que tanto en Europa como en USA se est¨¢n tomando medidas tambi¨¦n frente a otros grandes actores tecnol¨®gicos del mercado que a todos se nos vienen a la cabeza.

Y en este contexto aparecen los asistentes virtuales¡­

Con la proliferaci¨®n de los asistentes virtuales (Siri, Cortana, Alexa¡­) nos enfrentamos a un problema a¨²n mayor. Se trata de elementos que han sido concebidos para aportar un modelo de interfaz alternativo a servicios y dispositivos que utilizamos habitualmente. Pero ?qui¨¦nes son los principales fabricantes de este tipo de dispositivos? La respuesta es inmediata: aquellos que disponen de m¨¢s informaci¨®n de nosotros y que hasta la fecha solo adquir¨ªan por interacci¨®n directa, a trav¨¦s de terminal m¨®viles o smartphone del que solo pod¨ªan extraer lo que intencionadamente les proporcion¨¢bamos (fotograf¨ªas, comentarios¡­).

En el futuro, utilizando los asistentes virtuales, esas mismas redes sociales podr¨¢n capturar el sonido de nuestro entorno (lo que ser¨ªa la informaci¨®n personal proporcionada de forma pasiva), nuestro tono de voz al dar las instrucciones o nuestras reacciones frente a cualquier respuesta.

?Es el tono de voz un dato personal? ?Y la transcripci¨®n de su contenido? ?C¨®mo se garantiza que no extraen informaci¨®n del sonido ambiente? ?Podr¨ªa alguien suplantar nuestra voz por imitaci¨®n? ?Se podr¨¢ insertar malware en archivos de audio? ?Qu¨¦ frecuencias de sonido ser¨¢n capaces de capturar estos dispositivos? ?Qu¨¦ podr¨ªan hacer con frecuencias ultras¨®nicas? Todas son preguntas que cada d¨ªa m¨¢s nos hacemos los que trabajamos en ciberseguridad.

Hace escasamente un a?o, la Liga de F¨²tbol Profesional en Espa?a fue investigada (y recientemente sentenciada) por utilizar su aplicaci¨®n para identificar, a trav¨¦s del sonido, transmisiones de partidos desde bares que no ten¨ªan contratado el servicio de pago. Recientemente, Google ha sido sancionado por grabar el 0,2% de las conversaciones de sus asistentes de voz. Seg¨²n el gigante tecnol¨®gico el objetivo es simplemente mejorar la calidad del servicio. Y esto no ha hecho m¨¢s que empezar¡­

C¨®mo nos informan las redes sociales

Las condiciones de uso de las redes sociales forman parte de los pasos previos que debemos aceptar para hacer uso de los servicios que nos ofrecen. Sin previa aceptaci¨®n de dichas condiciones, no formaremos parte de la red. Estamos condenado a decidir si admitimos, o no, las reglas que definen qu¨¦ datos recopilar¨¢n, con qu¨¦ fin los utilizar¨¢n, con qui¨¦n estar¨¢n autorizados a compartirlos, etc. Se trata de los habituales ¡°T¨¦rminos y Condiciones¡± que ¡ªy aqu¨ª viene por qu¨¦ no estamos debidamente informados¡ª mayoritariamente aceptamos sin siquiera leer. M¨¢s de un 90% de los subscriptores nunca se leen las condiciones del servicio y m¨¢s de un 40% de los usuarios de redes sociales nunca modifican las condiciones de privacidad de sus dispositivos.

La reglamentaci¨®n vela por que seamos informados adecuadamente y por que los datos se utilicen de forma correcta, pero nosotros mismos debemos conocer qu¨¦ datos estamos dispuestos a proporcionar para que sean recogidos por terceras partes. Y con ello debemos ser conscientes del riesgo.

Una inmensa mayor¨ªa de la sociedad conf¨ªa en las redes sociales de forma casi ciega. Incluso podr¨ªamos decir m¨¢s, somos rehenes de sus servicios. Aquellos que no forman parte de las redes sociales m¨¢s conocidas son calificados como antediluvianos. El perfil de las redes sociales, a d¨ªa de hoy, se utiliza para reforzar v¨ªnculos de amistad o familiares, o incluso para acceder a puestos de trabajo cuando son revisados por los departamentos de RRHH. Nuestra huella digital crece con cada ¡°Like¡± que damos.

Quiz¨¢s cuando utilicemos este tipo de redes deber¨ªamos pensar en cuestiones como qui¨¦n puede acceder a nuestra informaci¨®n, qu¨¦ informaci¨®n pueden pasar nuestros contactos a terceras personas, qu¨¦ confianza nos transmiten aquellos con los que estamos conectados¡­ Si despu¨¦s aceptamos esos riesgos ser¨¢ otra cuesti¨®n.

Aplicaciones que ayudan a proteger nuestros datos

El uso de herramientas para la protecci¨®n de los datos personales al m¨¢s puro estilo de un firewall es una de las alternativas que el mercado est¨¢ barajando para protegernos frente a esta ¡°fiesta de la informaci¨®n¡±.

Existen m¨²ltiples aplicaciones. Se trata de propuestas que muestran su preocupaci¨®n por la privacidad desde una perspectiva quiz¨¢s algo m¨¢s general. Jumbo?es una de ellas; est¨¢ integrada con las principales redes sociales y permite controlar el flujo de datos de car¨¢cter privado desde un smartphone. Tambi¨¦n destacan Mastodon, PixelFed, Wire o Signal, aunque evidentemente su ¡°aceptaci¨®n social¡± es a¨²n peque?a.

En general, este tipo de soluciones adolecen de la dificultad de tener que instalarse en nuestros dispositivos personales (tel¨¦fonos m¨®viles, tabletas, PC¡­) lo que obliga a un control muy estricto (y particular) de cada uno de ellos. Y esto limita su eficacia. Desafortunadamente y por el momento, debemos decir que no existen soluciones transversales que act¨²en de proxy ubicuo frente a las m¨²ltiples redes sociales con las que interactuamos.

Y para concluir¡­

Enfrentados pues a la evidencia de que nuestros datos personales pueden estar circulando por internet como producto de compraventa, y si a¨²n no estamos convencidos de los riesgos que estamos asumiendo cuando los compartimos, nos queda la posibilidad de hacer un peque?o ejercicio y comprobar si parte de nuestra informaci¨®n personal circula por la red. Solo tenemos que conectarnos a lugares como Haveibeenpwned?y hacer una primera evaluaci¨®n. Es posible que lo que descubramos haga que nos replanteemos algunas decisiones¡­ o quiz¨¢s no.

Juanjo Gal¨¢n es Business strategist de All4Sec