El concepto de redes sociales implica riesgos que como usuarios a menudo hemos decidido aceptar.
No hay más que pararse a leer los “Términos y Condiciones” de estas aplicaciones para darse cuenta de hasta qué punto sus promotores quedan autorizados para hacer uso de la información que les proporcionamos.
Por definición una red social es una aplicación de Internet que permite crear contenidos y compartirlos con otros usuarios. Precisamente ese carácter comunitario de la aplicación es el que hace que nos aventuremos a crear perfiles en los que recogemos nuestros hobbies, intereses o incluso nuestras actividades cotidianas. De forma habitual compartimos y publicamos fotos, comentamos la información publicada por otras personas e interactuamos con ellas proporcionándoles datos personales.
En este entorno ¿de verdad pensamos que podemos mantener acotado el control de todo aquello que divulgamos? La respuesta parece obvia. A veces incluso, los promotores de estas redes ni siquiera necesitan saber nuestros datos personales; solo tendríamos que consultar lugares como Big para comprobar cómo pueden utilizar la huella digital que dejamos cada vez que nos movemos por Internet.
Pero aún hay más. En muchas ocasiones, esa información (incluyendo datos personales) es utilizada por terceros y se convierte en moneda de cambio para transacciones en ocasiones ilegales. Es entonces cuando nos escandalizamos. Ponemos el grito en el cielo: “yo creí que… yo pensé que…”. Y, a continuación, desviamos la atención hacia las compañías a las que hemos dado permiso para que los gestionen.
No son pocos los casos publicados de filtraciones de datos personales de usuarios de forma masiva —sin el consentimiento de la red social— que han obligado a la Justicia a depurar responsabilidades. Podríamos decir que, desde este punto de vista, cuando esto ocurre, tenemos una clara y desagradable evidencia de a donde van a parar nuestros datos.
Legislación y futuras iniciativas legislativas
Las redes sociales son una consecuencia de la globalización. Operan a nivel mundial en un terreno en el que hay más de 200 países. Desafortunadamente cada Estado tiene sus propias leyes (algunos incluso ni siquiera desarrolladas en una normativa de protección de datos).
A nivel europeo, el RGPD ha significado un salto cualitativo muy importante, aunque aún no ha sido adoptadaspor el resto del mundo occidental. Se trata de una ley que, aunque no está concebida para los usuarios de redes sociales, puede ser aplicada a sus operadores. Ciertos países europeos han reforzado estas medidas —más allá incluso de los propios procedimientos que las propias redes sociales aplican internamente y que a menudo se han demostrado ineficientes. Así, por ejemplo, Alemania dispone actualmente de una ley —NetzDG Law— que obliga a aquellas compañías que tienen más de dos millones de usuarios. Un paso similar ha seguido el gobierno canadiense. En otros países, como en el caso de Rusia, la legislación obliga a que los datos de sus ciudadanos se conserven en servidores dentro de su territorio. Los chinos se han mostrado más restrictivos: han creado sus propias redes sociales que son monitorizadas por el propio gobierno, bloqueando al resto de las que dominan el mercado internacional. En USA no existe una única normativa común que regule la protección de datos personales; más aún, los propios Estados norteamericanos disponen de sus legislaciones particulares.
Demasiadas diferencias para una cuestión tan trascendental. Actualmente el gobierno norteamericano está estudiando cómo obligar por ley a las redes sociales que disponen de más de 100 millones de usuarios activos, a informar tanto a los usuarios como a las entidades reguladoras de cuáles son los datos recogidos, cuál será su uso y cuál es su precio en el mercado. Es lo que se conoce como la “Iniciativa DASHBOARD”. Una iniciativa loable, aunque limitada en su alcance ya que garantizar la privacidad no será su principal objetivo. Lo que de verdad perseguirá es el aprovechamiento y uso de esos datos privados, es decir, pondrá en valor los datos que proporcionan y generan los usuarios. Al final se trata de combatir la idea de que las redes sociales son recursos de acceso gratuito. De hecho, existe una expresión coloquial que dice que “si no sabes cuál es el producto que te están vendiendo es que el producto eres tú”.
Riesgos que asumimos los usuarios
Los riesgos de compartir datos personales pueden ser incontables. De facto, se trata de riesgos que están imbricados en la propia concepción de las redes sociales. Por definición una red social implica compartir. Un concepto que es completamente opuesto a mantener la privacidad.
Cuando una persona comparte con otra persona un dato que solo ella conoce multiplica por dos los riesgos. Imaginémonos cuando ese mismo dato (fotografía, comentario o información personal) se comparte con cientos de miles o millones de personas. Algunos dirán que la información que se suele divulgar en las redes sociales es irrelevante o que no aporta valor a nadie con respecto a la privacidad, pero realmente están cometiendo un profundo error. La información que publicamos en redes sociales dice mucho de nosotros y puede ser utilizada para definir, por ejemplo, perfiles de personalidad, afinidades políticas, contactos, localización, etc. Solo a modo enumerativo podríamos mencionar la posibilidad de conocer nuestra geolocalización a través de los parámetros de las fotografías que subimos, nuestras rutinas diarias a través de los cambios de estado que reflejamos en nuestras cuentas, los amigos (incluso “no amigos”) que añadimos (o bloqueamos) a grupos de confianza, la conexión que hacemos con otras aplicaciones (por ejemplo, financieras), etc. Todo ello permite no solo hacer perfiles sociológicos de grupos o de personas sino incluso proporcionan información útil para deducir, por ejemplo, las passwords que utilizamos en las cuentas que tenemos asociadas.
El emblemático caso de Facebook
Recientemente se ha multado a Facebook con 5.000 millones de dólares, unos 4.436 millones de euros al cambio, por haber violado la privacidad de sus usuarios al ceder sus datos sin consentimiento previo a la empresa Cambridge Analítica.
Mucho se ha hablado de este caso, pero poco se ha comentado que Facebook ya tenía provisionado en sus resultados el posible importe de esta multa. Mark Zuckerberg, a finales del pasado año, reservó una partida económica dirigida a afrontar el pago de una sanción que claramente preveía que fuera cuantiosa. Económicamente es algo que tenían asumido y para un “monstruo tecnológico” como es Facebook no resulta “demasiado alta” —un 8% de su facturación anual. Quizás lo relevante de la multa impuesta por la FTC (Federal Trade Commission) se encuentre en los detalles de la sentencia en los que se expone la obligación futura de Facebook de documentar cualquier decisión relativa al uso de datos personales de servicios o aplicaciones pretendan lanzar al mercado. Algunas voces, de hecho, indican que tanto en Europa como en USA se están tomando medidas también frente a otros grandes actores tecnológicos del mercado que a todos se nos vienen a la cabeza.
Y en este contexto aparecen los asistentes virtuales…
Con la proliferación de los asistentes virtuales (Siri, Cortana, Alexa…) nos enfrentamos a un problema aún mayor. Se trata de elementos que han sido concebidos para aportar un modelo de interfaz alternativo a servicios y dispositivos que utilizamos habitualmente. Pero ¿quiénes son los principales fabricantes de este tipo de dispositivos? La respuesta es inmediata: aquellos que disponen de más información de nosotros y que hasta la fecha solo adquirían por interacción directa, a través de terminal móviles o smartphone del que solo podían extraer lo que intencionadamente les proporcionábamos (fotografías, comentarios…).
En el futuro, utilizando los asistentes virtuales, esas mismas redes sociales podrán capturar el sonido de nuestro entorno (lo que sería la información personal proporcionada de forma pasiva), nuestro tono de voz al dar las instrucciones o nuestras reacciones frente a cualquier respuesta.
¿Es el tono de voz un dato personal? ¿Y la transcripción de su contenido? ¿Cómo se garantiza que no extraen información del sonido ambiente? ¿Podría alguien suplantar nuestra voz por imitación? ¿Se podrá insertar malware en archivos de audio? ¿Qué frecuencias de sonido serán capaces de capturar estos dispositivos? ¿Qué podrían hacer con frecuencias ultrasónicas? Todas son preguntas que cada día más nos hacemos los que trabajamos en ciberseguridad.
Hace escasamente un año, la Liga de Fútbol Profesional en España fue investigada (y recientemente sentenciada) por utilizar su aplicación para identificar, a través del sonido, transmisiones de partidos desde bares que no tenían contratado el servicio de pago. Recientemente, Google ha sido sancionado por grabar el 0,2% de las conversaciones de sus asistentes de voz. Según el gigante tecnológico el objetivo es simplemente mejorar la calidad del servicio. Y esto no ha hecho más que empezar…
Cómo nos informan las redes sociales
Las condiciones de uso de las redes sociales forman parte de los pasos previos que debemos aceptar para hacer uso de los servicios que nos ofrecen. Sin previa aceptación de dichas condiciones, no formaremos parte de la red. Estamos condenado a decidir si admitimos, o no, las reglas que definen qué datos recopilarán, con qué fin los utilizarán, con quién estarán autorizados a compartirlos, etc. Se trata de los habituales “Términos y Condiciones” que —y aquí viene por qué no estamos debidamente informados— mayoritariamente aceptamos sin siquiera leer. Más de un 90% de los subscriptores nunca se leen las condiciones del servicio y más de un 40% de los usuarios de redes sociales nunca modifican las condiciones de privacidad de sus dispositivos.
La reglamentación vela por que seamos informados adecuadamente y por que los datos se utilicen de forma correcta, pero nosotros mismos debemos conocer qué datos estamos dispuestos a proporcionar para que sean recogidos por terceras partes. Y con ello debemos ser conscientes del riesgo.
Una inmensa mayoría de la sociedad confía en las redes sociales de forma casi ciega. Incluso podríamos decir más, somos rehenes de sus servicios. Aquellos que no forman parte de las redes sociales más conocidas son calificados como seres antediluvianos. El perfil de las redes sociales, a día de hoy, se utiliza para reforzar vínculos de amistad o familiares, o incluso para acceder a puestos de trabajo cuando son revisados por los departamentos de RRHH. Nuestra huella digital crece con cada “Like” que damos.
Quizás cuando utilicemos este tipo de redes deberíamos pensar en cuestiones como quién puede acceder a nuestra información, qué información pueden pasar nuestros contactos a terceras personas, qué confianza nos transmiten aquellos con los que estamos conectados… Si después aceptamos esos riesgos será otra cuestión.
Aplicaciones que ayudan a proteger nuestros datos
El uso de herramientas para la protección de los datos personales al más puro estilo de un firewall es una de las alternativas que el mercado está barajando para hacer frente a esta “fiesta de la información”.
Existen múltiples aplicaciones. Se trata de propuestas que muestran su preocupación por la privacidad desde una perspectiva quizás algo más general. Jumbo es una de ellas; está integrada con las principales redes sociales y permite controlar el flujo de datos de carácter privado desde un smartphone. También destacan Mastodon, PixelFed, Wire o Signal, aunque evidentemente su “aceptación social” es aún pequeña.
En general, este tipo de soluciones adolecen de la dificultad de tener que instalarse en nuestros dispositivos personales (teléfonos móviles, tabletas, PC…) lo que obliga a un control muy estricto (y particular) de cada uno de ellos. Y esto limita su eficacia. Desafortunadamente y por el momento, debemos decir que no existen soluciones transversales que actúen de proxy ubicuo frente a las múltiples redes sociales con las que interactuamos.
Y para concluir…
Enfrentados pues a la evidencia de que nuestros datos personales pueden estar circulando por Internet como producto de compraventa, y si aún no estamos convencidos de los riesgos que estamos asumiendo cuando los compartimos, nos queda la posibilidad de hacer un pequeño ejercicio y comprobar si parte de nuestra información personal circula por la red. Solo tenemos que conectarnos a lugares como Haveibeenpwned y hacer una primera evaluación. Es posible que lo que descubramos haga que nos replanteemos algunas decisiones… o quizás no.