Facebook, de nuevo multada por su gestión de los datos de los usuarios

La noticia ha llenado muchos titulares hoy: la Agencia Española de Protección de Datos ha impuesto una multa de 1,2 millones de euros a Facebook por vulnerar la normativa sobre protección de datos de particulares ya que la empresa “recopila, almacena y utiliza datos de los usuarios para fines publicitarios sin haber obtenido autorización expresa para ello previamente”.

La empresa, en un escueto comunicado, ha respondido que “discrepan respetuosamente” de la decisión de la AEPD y que, por tanto, “recurrirán la sanción”. La clave de su defensa es que son los propios usuarios los que voluntariamente la información que quieren añadir en su perfil y compartir con otros. Además, esos mismos contenidos no se emplean para mostrar publicidad específica.

Desde el argumentario de la Agencia, la red social ha recopilado esa información sobre su ideología, sexo, credo religioso o gustos personales sin que se haya dado un consentimiento inequívoco. Esto hace que considere que ha cometido dos infracciones graves y una muy grave por las que ha sido multado con 300.000 y 600.000 euros respectivamente.

Lo más grave para la empresa es que según el estudio llevado a cabo por la AEPD -y que se podría extrapolar a otros mercados de la UE- es que la compañía estadounidense no informa de manera exhaustiva de los datos que va a recoger y la forma en la que van a ser utilizado con la salvedad de ciertos ejemplos residuales. Además, la política de privacidad que, según Facebook de forma voluntaria, aceptan los usuarios está llena de generalidades y expresiones poco claras que dificultan la compresión por parte del usuario (aunque se detenga a leerlas con cuidado).

Asimismo, los usuarios no son informados del empleo de cookies cada vez que navegan por una web en la que pueden pinchar en un “me gusta”. De esta forma, con ese sencillo click, su información pasa a estar compilada por la empresa y se acepta de forma implícita su posterior uso, probablemente, con fines comerciales.

De este modo, el legislador también reseña que los datos de los usuarios no son eliminados cuando dejan de ser útiles para el fin por el que se recopilaron ni tampoco cuando un usuario solicita su eliminación definitiva. Lo más llamativo es que, desde que un usuario solicita eliminar su cuenta -y con ello todos los datos personales que Facebook ha recopilado- estos siguen siendo tratados durante al menos 17 meses con fines que el usuario ya no desea.

Facebook se ha defendido explicando que cumplen completamente la Ley de Protección de Datos de Irlanda, país en el que tiene centralizadas todas sus operaciones continentales y que ya está trabajando con las agencias de ambos estados miembros (España e Irlanda) para poder subsanar estos problemas.

Big Data, ¿el mayor enemigo del crimen?

Mapa del crimen en Philadelphia

El procesamiento de grandes volúmenes de datos vinculados al comportamiento humano (por ejemplo, como consumidor) se ha convertido en una importante herramienta para intentar predecir el futuro. Esto permite lanzar productos, servicios, campañas políticas, etc. con una tasa de acierto mayor que la que tenían los creativos y publicistas que “solo se guiaban por su instinto”.

Desde hace tiempo este mismo sistema se ha ido utilizando para intentar prever el crimen. ¿Es posible saber cuándo, cómo o quién cometerá un delito con antelación? Sin llegar a sistemas tan futuristas como el de Minority Report, se ha comprobado que el empleo del Big Data permite a la policía estudiar palmo a palmo el comportamiento delictivo de una ciudad para enviar patrullas a las zonas conflictivas -en función de la franja horaria, el día de la semana, etc.- para disuadir a los criminales de sus fechorías.

La policía de Memphis, Estados Unidos, afirma que han conseguido rebajar los delitos graves un 30% y los actos violentos otro 15% desde que emplean estos sistemas. Las cifras se repiten en Richmond, Virginia, con una caída del 30% de los homicidios en los últimos doce meses. ¿Su denominador común? Un sistema de gestión y análisis de datos desarrollado por IBM.

¿Qué ventajas tiene esto? Un sistema de una start up denominado PredPol permitió que en la pequeña localidad de Reading disminuyeran los robos un 23% a pesar de que el cuerpo contase con menos efectivos. El secreto reside en poder analizar la situación en franjas de tiempo muy pequeñas -nunca llevan las predicciones más allá de las 12 horas- y crean un minúsculo tablero sobre la ciudad: se estudia el municipio en cuadrículas de 150×150 metros.

Factores como el clima, la época del año y otros sociales (si es día de pagos, ya que en EEUU muchas empresas siguen utilizando cheques). Sin embargo, cuantas más variables son capaces de introducirse en el sistema -como nombres de delincuentes habituales-, tipo de delitos y otras variables de actualidad, más fácil es hacer el seguimiento predictivo.

Esto ayuda no solo a las zonas con mayor criminalidad, sino que permite una gestión más eficiente de los recursos de las fuerzas de seguridad además de crear un nuevo perfil de agente: aquel que debe tener conocimientos estadísticos y matemáticos para saber gestionar una herramienta de última generación pensada en hacer las calles más seguras.

Una de las pegas que se han visto superadas sobre este tipo de sistemas es si realmente minimizan el crimen en una determinada zona o si tan solo trasladan los actos delictivos de una zona a otra. La respuesta es sencilla: el software se ajusta automáticamente y analiza toda una región no solo un barrio de una ciudad. Está continuamente calibrando el historial de crímenes y adecuando la temporalidad para que los esfuerzos se centren donde es más probable que ocurra un delito.

Este sistema que puede parecer tan lejano -y exclusivo de sociedades como la estadounidense- también tiene su aplicación a este lado del Atlántico. La Policía Nacional española ya ha puesto en marcha un cuerpo pensado en analizar perfiles geográficos de delitos para convertir las áreas conflictivas en zonas más seguras.

¿Llegaremos algún día al perfil del criminal (potencial o real) persona a persona? Requeriría traspasar una línea roja sobre la privacidad y protección de datos. Además, con las técnicas actuales requeriría un enorme esfuerzo en personal y tiempo (ergo en dinero) y es probable que se necesitara una sociedad más madura en cuanto a la integración racial y de determinados grupos étnicos.

Darknet, ¿por qué es tan difícil atacarla?

Es muy habitual la metáfora en la que internet se representa como un iceberg: el usuario medio tan solo conoce la punta. Una porción menor al 10% en la que se encuentra la parte indexada de la red. Aquello a lo que Google, Yahoo!, Bing y compañía llegan. Bajo el mar se encuentra lo que muchos denominan Deep Web. El resto del iceberg, el no comercial y no indexado. Y más abajo aún de esa enorme masa de datos se encuentra Darknet.

Podríamos definirlo como un conjunto de tecnologías y redes superpuestas que tienen como fin proteger el anonimato de sus usuarios. El peaje por esta oscuridad es que puede que tengan que conectarse a un servidor privado o cumplir unos requisitos específicos como tener instalado un software determinado.

De facto esto hace que los buscadores “tradicionales” no puedan rastrear sus contenidos y, además, tanto el origen como el destino de los datos permanece oculto. Todo el proceso de la red es invisible. Esto hace que sea el emplazamiento perfecto para contenidos de seguridad, datos de administraciones, etc. Pero también permite que se lleven a cabo en este espacio operaciones ilícitas. En cualquier caso, todo atisbo de ciberataque es prácticamente inútil puesto que se trata de una zona de la red “impenetrable”.

¿Por qué? Al fin y al cabo, sobre el papel, si sabemos “dónde está” deberíamos poder atacarla -si así quisiéramos-. Un estudio publicado en la revista Physical Review E ha averiguado que Darknet es capaz de autoprotegerse y corregir por sí misma agresiones de forma espontánea. En él Manlio De Domenico y Alex Arenas, del Departamento de Ingeniería Informática y Matemáticas de la Universidad Rovira y Virgili y Tarragona concluyen que la clave está en su “particular topología más descentralizada que el resto de la red”.

Para poder constatar esto los autores de la investigación crearon un modelo que explica cómo se transmite la información en la Darknet y descubrieron que no emplea una distribución homogénea de conexiones sino que se va encriptando en distintas capas.

Una vez hecho esto simularon tres tipos de ataques: dirigidos contra un nodo en concreto; contra varios de forma aleatoria y otros diseñados para provocar una cascada de fallos y propagarse por la red (el modelo). El resultado es que concluyeron que para atacar Darknet es necesario atacar cuatro veces más sus nodos que los del resto de internet. Y esto tan solo provocaba ciertas perturbaciones. Además, su propia estructura permite solucionar de forma autónoma los problemas y neutralizar los fallos en cascada.

Esto hace que, a pesar de que se considere más ineficiente que la red superficial -la información emplea algoritmos criptográficos más complejos y va de nodo en nodo aleatoriamente en vez de directamente al destinatario- haya una pequeña base de fieles que hayan construido una zona libre informativa en la que están apartados del resto de la red. Con todo lo bueno y todo lo malo que esto trae.

Protección de datos, Europa toma la delantera

Por fin el trabajo de años del Parlamento Europeo ha llegado a buen puerto en materia de protección de datos. Hace poco más de una semana la legislación de 1995 fue actualizada a la era digital para dar más herramientas a las autoridades para poder plantar cara a las empresas que infrinjan las leyes y vulneren los derechos individuales de los ciudadanos al respecto de sus datos.

Entre las normas más aplaudidas se encuentra la garantía la Derecho al Olvido y la obligatoriedad a agilizar la portabilidad de datos así como un refuerzo al consentimiento explícito de los usuarios para el tratamiento de sus datos utilizando -por fin- un lenguaje claro que no deja espacio a las ambigüedades en el que todas las cláusulas sobre privacidad quedan lejos de posibles interpretaciones.

Según los comisarios europeos Frans Timmermans y Vera Jourová “las nuevas normas garantizan que el derecho fundamental a la protección de datos personales están disponibles para todos los ciudadanos”. Además, “ayudan a estimular el mercado digital único europeo mediante el fomento de la confianza de los consumidores en los servicios en línea”.

De esta forma el Reglamento General de Protección de Datos endurece las penas para las empresas que se salten las normas con multas que pueden alcanzar el 4% de su facturación global de modo que no puedan saltarse nunca el consentimiento “claro y afirmativo” de cada persona en cada caso.

Las grandes empresas, además, tendrán que designar un “oficial de protección de datos” si tratan datos sensibles a escala y estarán obligadas a informar si sufren alguna filtración durante las 72 horas siguientes al problema. Además, la responsabilidad de la misma se extenderá a cualquier procesador de datos que haya estado relacionado con la misma.

El Derecho al Olvido, además, pasa a convertirse en una Ley, del mismo modo que la portabilidad de datos para que pasen de un proveedor a otro de datos debe facilitarse siempre que así lo desee el propietario de los mismos. En caso de que se trate de datos de menores o de que estos hayan cedido datos a redes sociales, los mismos quedarán a merced de lo que decidan hacer con ellos sus tutores legales siendo una autoridad única la que puede tomar decisiones al respecto de las quejas que surjan por su uso.

La legislación continental entrará 20 días después de su publicación y todos los Estados miembros sin excepción tendrán un plazo máximo de dos años para implementarla en su respectiva legislaciones nacionales.

Cifrado en WhatsApp, en qué consiste y qué protege

La era de la conectividad, las redes sociales y los dispositivos móviles es también la era de la privacidad. Cada vez son más las personas que se preguntan si tiene sentido disfrutar de todas estas comodidades (para algunos nos hacen esclavos de la propia sociedad) si a cambio hemos de pagar cediendo una parcela tan importante como nuestra privacidad.

La pelea entre Apple y el FBI por ceder un acceso a su sistema operativo y poder revisar los contenidos del smartphone de un terrorista son solo el penúltimo capítulo de escándalos de espionaje, filtraciones de información y ataques a la privacidad de los individuos. Por eso las plataformas de referencia en comunicación han decidido tomar cartas en el asunto.

Hace pocos días que los mil millones de usuarios comenzaron a recibir un mensaje en sus chats como el que abre el post de hoy. La aplicación de mensajería más popular del planeta propiedad de Facebook decidía cifrar las conversaciones de sus usuarios (llamadas y mensajes) para que nadie que no formara parte de las mismas pudiera acceder a sus contenidos.

El cifrado parece ser la última barrera para que propios (autoridades) y extraños (hackers) puedan acceder libremente a nuestras vidas cuando les plazca. Pero, ¿en qué consiste el cifrado para ser tan eficaz? Básicamente se trata de crear una clave temporal que solo puede descifrar el smartphone del receptor. Cuando escribimos algo el contenido sale de nuestro smartphone hasta los servidores de WhatsApp ya encriptado y allí se rebota hasta el destinatario. De esta forma nadie, ni siquiera WhatsApp, puede acceder al contenido de la mensajería.

Con este cifrado las conversaciones se vuelven más parecidas a las que mantenemos en persona: nadie excepto los interlocutores cara a cara pueden saber el contenido de una charla. Esto también hace más seguras a las llamadas que se hagan a través de la aplicación ya que garantizan que “ni las autoridades ni hackers ni organizaciones criminales podrán pinchar” las mismas.

La idea de la empresa ahora propiedad de Mark Zuckerberg es restablecer la confianza con los usuarios que después de algunos escándalos de filtraciones quedó muy dañada. El sistema, que ya lo emplean otras plataformas de mensajería puede ser el espaldarazo definitivo para colocar a la famosa plataforma de mensajería como la referencia de un mercado en el que cada vez quedan menos alternativas importantes y las seguras son muchas veces nichos minoritarios.

¿Qué no protege WhatsApp?

Sin embargo, como en todo contrato hay letra pequeña. La web Livemint advertía que la plataforma “puede retener la fecha y el sello de tiempo de la información asociada a los mensajes entregados con éxito y los números de teléfono que intervienen en los mensajes así como cualquier otra información que WhatsApp esté legalmente obligado a recoger”.

De esta forma, aunque el contenido sea privado, los números de teléfono y las horas y fechas de los mensajes sí se almacenarán en los servidores de la empresa para que las autoridades puedan obtenerlos cuando los necesiten.

Además, son varios los medios que han acudido a expertos para saber si, realmente, nuestra mensajería está protegida de los temidos hackers. Y la respuesta es la esperada: por mucho que lo garantice la empresa, los mensajes pueden caer en manos de terceros siempre que estos infecten nuestro smartphone con un troyano. WhatsApp no puede hacer nada contra esto. “Solo” puede protegernos del pirateo directo mediante WiFi y redes 3G y 4G.