Hablando sobre gestión de datos personales en La Nueva España

Reportaje datos personales LNE

Elena M. Chorén, redactora en La Nueva España, me escribía el miércoles pasado para trasladarme algunas dudas de cara a preparar un reportaje extenso sobre los datos que tienen Facebook o Google de cada uno de sus usuarios, a raíz del escándalo de Cambridge Analytica.

Elena se había descargado toda la información que ambas plataformas facilitan sobre su historial y se planteaba varias dudas al respecto.

Dejo por aquí sus preguntas y mis respuestas, ya que así mato dos pájaros de un tiro (tenía pendiente hablar precisamente de algunos de estos puntos).

En primer lugar, ¿estos datos que me descargo están cifrados? Es decir, ¿cualquiera puede interceptarlos y utilizarlos con fines maliciosos?

A ver, los datos que te has descargado no están cifrados, más que nada porque si estuvieran no podrías entenderlos. Pero en los servidores de estas compañías, por supuesto, sí están cifrados. De hecho, en casos como el de Google (de Facebook no me atrevo a asegurarlo) se aplica un sistema de privacidad diferencial parecido al de Apple que hace que incluso sus ingenieros serían incapaces de acceder a ellos si no es mediante los propios sistemas de la compañía (que cuentan con las medidas de control necesarias para que esto no ocurra).

Y esto hace que un potencial atacante esté en la misma situación que comento. O encuentra la manera de acceder a dicha información utilizando para ello los propios algoritmos del sistema, o únicamente tendrá acceso a información cifrada (ergo, necesitará encontrar la manera de bypasear ese cifrado para entenderla).

Ahora bien, ya poniéndonos estrictos, justo en el momento en el que has estado descargando esos documentos, si alguien hubiera estado monitorizándote (es decir, que hubieran comprometido de antemano tu dispositivo) o tuviera ahora acceso a tu dispositivo, podrían en efecto robártelos. Que sí, que estoy rizando el rizo, pero quería dejar claro cualquier escenario en respuesta a tu pregunta.

Pero vaya, que dentro de los servidores de estas compañías la información podemos considerar que está almacenada y tratada de la forma más segura posible.

Les va el negocio en ello, de hecho.

¿Cómo puedo impedir dejar rastro? (Google sabe dónde he estado en cada momento y Facebook conoce todas mis amistades, gustos, etc.)

La pregunta del millón, jeje.

La realidad es que no puedes. O te vuelves una ermitaña y reniegas del mundo civilizado que hemos creado en estas últimas décadas, o siempre dejarás un rastro. Y es que si no lo dejas tú, lo dejarán terceros por ti.

¿Qué se puede hacer entonces? Pues equilibrar en la medida de lo posible la balanza. Ser consciente de la información que exponemos, mostrar nuestra mejor cara en Internet, y si lo vemos necesario, incluir ruido y mecánicas de tergiversación en toda esa información que exponemos.

Un servidor por ejemplo tiene implementado un sistema para crear ruido automáticamente en todas las búsquedas que hago en Google. Mientras tengo el navegador encendido, estoy lanzando peticiones a Google sobre búsquedas aleatorias, ya no solo por privacidad, sino sobre todo con la idea de minimizar el impacto nocivo de las burbujas de filtros.

Y esto aplica en definitiva a cualquier otro servicio, Facebook incluido. Comparte solo lo que de verdad no te importaría que viera tu peor enemigo. Y no hace falta que lo hagas justo en el momento en el que ocurre. No pasa nada por publicar las fotos de esas vacaciones una semana más tarde, por ejemplo.

¿Funciona el navegar de incógnito o borrar el historial del navegador?

No. Para lo que quieres, no sirve de absolutamente nada.

El modo incógnito lo único que evita es que el historial de navegación se quede en el dispositivo una vez hayamos cerrado la pestaña. Pero esa información es compartida con Google en el caso de que estemos utilizando Chrome, y por supuesto todo lo que hagamos dejará un rastro en Internet.

Es un mito, en serio. Olvídate del asunto.

¿Dónde se guardan esos datos? ¿Cuánto tiempo suelen guardarse? ¿Son vulnerables?

Entiendo que te refieres a los datos históricos que almacena Google o Facebook, ¿verdad? Si es así, la respuesta es sencilla.

Se almacenan en las nubes de estas compañías, que no son más que cientos o miles de servidores físicos puestos en decenas de lugares alrededor de todo el mundo. Y se guardan para SIEMPRE, así con mayúsculas y todo. De nuevo te digo lo mismo que antes: les va el negocio en ello.

Cuando nosotros borramos una actualización de estado en Facebook, realmente lo que hace Facebook no es borrarla, es desindexarla (nosotros no podemos llegar a ella). Pero la información sigue sirviendo de aprendizaje a sus sistemas de IA, y seguirá estando replicada por esa nube de la que hablaba. Y esto mismo se aplica incluso al contenido que vamos a publicar y al final no se publica (cambiamos de opinión). Todo deja un rastro.

¿Que si son vulnerables? Hombre, todo en esta vida es vulnerable. Ahora bien, también te digo que probablemente sean los servidores más seguros que hay en la faz de la Tierra. Es muy pero que muy jodido comprometer la seguridad de un gigante como Google o Facebook. Pagan muy bien, tienen recursos casi infinitos, y por tanto, tienen a los mejores defendiendo sus sistemas.

Algunos expertos en seguridad describen todos estos datos como “bienes tóxicos” porque tarde o temprano serán utilizados en nuestra contra, ¿coincides con esta afirmación?

Coincido hasta cierto punto. Como te decía antes, tener una presencia digital no gestionada acertadamente es un potencial riesgo de cara al futuro. Pero es que no tenerla es mayor riesgo aún, ya que entonces lo que pongan terceros de nosotros será lo que estos sistemas, y en definitiva, cualquiera que nos busque, obtendrá. Y ya te digo que por regla general cuando hablan de uno desde fuera no es para halagarle, precisamente…

¿Sabes lo que de verdad me da más miedo? El desconocer para qué se utilizará toda esa información el día de mañana. Casos como el de Cambrigde Analytica eran escenarios conocidos por algunos de los que nos dedicamos a la seguridad desde hace ya unos cuantos años, y ahora salen a la opinión pública. Pero es que ¿qué pasará el día que Facebook o Google desaparezcan? ¿Quién comprará esas bases de datos, y con qué fines las van a utilizar?

Actualmente estas compañías son además los mayores interesados en generar confianza en el tercer entorno. Les va, de nuevo, el negocio en ello. Pero cuando se vayan a la bancarrota lo mismo venden esa información a un gobierno o a otras compañías que pueden tener intereses muy distintos.

Todos sabemos qué pasó con esos censos que el gobierno holandés hizo en los que incluía junto al nombre del ciudadano su preferencia religiosa. Cuando llegaron los nazis, tenían el trabajo de segmentación ya hecho. El 90% de los judíos del país murieron. No es por ponerme catastrofista, pero ahora tenemos un censo muchísimo más exacto y globalizado en manos de Google, de Apple, de Facebook…

¿Se puede garantizar la seguridad de los datos? ¿Cómo?

No. Simplemente no se puede garantizar la seguridad de nada en esta vida. Lo que podemos es implementar estrategias para minimizar los riesgos, como el tema de la privacidad diferencial que te comentaba antes, o lo de recurrir a una marca personal que limite qué mostramos y qué no de nosotros mismos. Pero garantizar 100% que el día de mañana no habrá filtración de algún tipo es pecar de ingenuo.

Y siendo conscientes de ello, ya te digo que probablemente los mejores preparados para tamaña empresa sean precisamente estas grandes compañías.

¿Qué cambiará con la entrada en vigor en mayo del nuevo reglamento de Protección de Datos en la Unión Europea?

Permíteme que sea gallego en la respuesta: Todo, o quizás nada.

El nuevo reglamento es uno de los proyectos más ambiciosos de cara a regular la protección de los datos que se haya hecho en toda la historia de nuestra civilización. Pero estamos ante un primer boceto, que lo mismo acaba siendo lo que de verdad el usuario/ciudadano necesitaba, o un completo despropósito, como fueron leyes que nos pillan más cercanas como la Sinde, el canon AEDE, o el aviso de cookies en todo servicio digital.

Y no me malinterpretes. Creo que es un acierto que algo así vaya a salir adelante. La cosa está en esperar a ver qué impacto tiene (hay que proteger a los usuarios, por supuesto, pero sin que ello asfixie a las empresas innecesariamente), valorar qué puntos fuertes queremos mantener, e ir parcheando todas sus debilidades, que seguro que las tiene y que darán que hablar cuando empiecen a llegar las multas a los gestores de información.

Lo interesante del asunto, y ahora recupero con el caso de Cambridge Analytica, es que todo parece apuntar a que Facebook ya no ve con tan malos ojos ceder parte de su libertad como empresa estadounidense para ajustarse a nivel mundial al reglamento de protección de datos europeo.

Y esto muy pero que muy interesante, porque por primera vez en décadas puede que Europa marque el ritmo tecnológico en algo, jeje.

Por último, ¿alguna recomendación para los que (como yo) nos hemos vuelto locos con proteger nuestra intimidad?

La mejor recomendación que te puedo dar es que no te vuelvas loca con el tema.

  • Aprende a utilizar la tecnología como una herramienta, no como un fin. Interésate lo justo por aprender cómo funciona, para que seas tú quien la utiliza y no ella quien abusa de ti. Es más fácil decirlo que hacerlo, por supuesto, pero es que es lo que nos ha tocado vivir. Y da gracias que actualmente tu mayor preocupación sea tu privacidad digital, y no el que un león te coma esta noche.
  • Siéntate un día a revisar qué sabe Internet (aka Google, para que nos entendamos :D) de ti. Búscate por tu nombre, por tu DNIe, por tu correo, por tu teléfono, y a ver qué sale.
  • Revisa qué pueden ver terceros de tu perfil de Facebook y el resto de redes sociales donde estés, entrando para ello en modo incógnito (no logueado) o utilizando las propias herramientas que te ofrecen estos servicios (en las opciones de privacidad de Facebook puedes ver tu perfil como alguien conocido, desconocido…). Lo que no quieras, te va a tocar borrarlo o cambiarle la privacidad.
  • Por último, aplica el segundo factor de autenticación en todas las cuentas que puedas, empezando, por supuesto, con tu email, que es la puerta de acceso a tu identidad digital.

Te paso para terminar el Webinar sobre Presencia Digital Saneada que impartía hace un par de meses, por si quieres ahondar un poco más en ello.