Estos días se daba a conocer que la cuenta de Twitter del presidente de los Estados Unidos de América había sido creada desde un correo @Gmail.com (EN).
¿Que cómo se sabe esto? Debido a que el recuperador de contraseñas de la plataforma nos muestra información sobre el email desde el que ha sido creada. Una feature de usabilidad más que el servicio ha decidido conceder.
¿Qué tiene de malo? A priori, nada más allá que el hecho de que es información que podría resultar crítica a la hora de realizar una campaña de usurpación de identidad.
Que si hablamos de un ciudadano cualquiera, pues quizás tiene poco interés. Pero hablamos del presidente de los EEUU, con todo lo que ello conlleva.
El tema, por anecdótico que parezca, coincide temporalmente con otro que quería tratar en esta pieza, y ambos ejemplifican a la perfección cómo hasta el más mínimo detalle de nuestra presencia digital puede ser en esencia un riesgo a futuro.
Segmentando clientes por su proveedor de correo (y su presencia digital)
Leía esta semana en The Sun (EN) que Admiral, una aseguradora de automóviles, había decidido subir el precio de sus seguros a aquellos clientes que tuvieran una dirección de correo @hotmail.com.
Lo interesante del caso son las razones que posiblemente (la compañía no ha reconocido que lleve a cabo este tipo de segmentación) hayan llevado a Admiral a tomar esta decisión. Según el autor del artículo, hasta 40$ podría llegar a subir el precio de un seguro por este pequeño detalle.
Como seguramente sepa, hoy en día ya no es posible hacerse con una de estas direcciones, habida cuenta de que toda la infraestructura de correo de Microsoft se ha migrado a outlook.com. Sin embargo, todos los que tuvieran(mos) una dirección @hotmail.com o @hotmail.es podemos seguir entrando desde outlook sin mayor problema.
De esta manera, el tener una dirección de correo de éstas podría llegar a considerarse un riesgo más (se asume que es un usuario que no preocupado por actualizarse, ergo, de mayor riesgo) a la hora de elaborar un patrón de riesgo para cada cliente (el negocio del que viven las aseguradoras). La noticia solo habla de Hotmail, pero entiendo que esto mismo se podría aplicar hoy en día con Yahoo (no sé si todavía se pueden seguir creando cuentas, pero en todo caso un usuario activo en Internet debería, como mínimo, conocer toda la mierda que ha salido alrededor de este antiguo popular servicio), o Terra en el caso de España.
A nivel de seguridad y privacidad, una cuenta @hotmail y una @outlook tienen exactamente el mismo sistema, y por tanto, comparten riesgos. Pero sí es cierto que un @hotmail tendrá presumiblemente más años de vida, y por tanto, habrá un riesgo mayor a que ese correo haya sido víctima de algún ataque (o pueda serlo en el futuro por estar ya en listas de distribución de campañas de phishing).
Que no hablamos de un único factor a tener en cuenta, sino la suma de decenas de factores que una empresa que se dedica a negociar con el riesgo puede considerar con la poca información que tiene de ese cliente (sus datos y quizás su historial, más aquella información que pueda obtener por fuentes público-privadas, y si me apura, aquella otra que el propio cliente esté dispuesto a ceder de su actividad diaria).
Y fíjese que no hemos entrado a analizar el nombre del usuario de correo (a priori un «manganito69» no debería inspirar mucha confianza…), sino simplemente su proveedor.
¿Qué dice el proveedor de correo de nosotros?
Con la duda que me quedo es qué impacto tendría el uso de un dominio más restrictivo o personalizado.
Una cuenta de Gmail la puede tener cualquiera. Una que venga del @bbva.com, o como es mi caso, de @pabloyglesias.com, ya no. ¿Es esto estrictamente algo positivo?
El utilizar estas cuentas (normalmente corporativas) para servicios no enfocados a ello me parece un error, y quizás hasta podría ser penalizado (si utilizas tu cuenta corporativa para contratar un servicio X, esto significa que no eres consciente de que lo mismo el día de mañana esa cuenta no será tuya y podrías perder el acceso al servicio, ergo, mayor riesgo asumido).
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Descontando que una de estas cuentas arroja más información que aquellas de proveedores más genéricos. Ergo, hasta cierto punto, estamos asumiendo mayor riesgo con nuestra presencia digital.
Un servidor, por ejemplo, utiliza su cuenta personal para conectarse en la mayoría de servicios y formularios donde entiendo que lo hago a nivel personal, incluidas redes sociales donde como mínimo mantengo un perfil personal. Y las corporativas para cuando el registro se hace exclusivamente en nombre de esa compañía o como representante de este proyecto…
¿Estoy actuando entonces de forma correcta? ¿Hay, de hecho, un patrón objetivamente más adecuado en la manera que tenemos de utilizar un elemento tan crítico aún hoy en día para nuestra presencia digital como es el correo?
¿Anteponemos entonces la generalización que nos ofrece un proveedor global a la reputación que nos arroja un proveedor de correo personalizado o corporativo? Esa búsqueda del Santo Grial del equilibrio en la que siempre nos movemos, ¿verdad?
Quiero pensar que mi manera de actuar en estas situaciones es la más adecuada, pero a la vista de lo comentado anteriormente, quizás no haya una que podamos considerar el ejemplo a seguir. Porque hoy en día un GMail o un Outlook gozan de relativa buena reputación, pero el día de mañana lo más probable es que no ocurra así. Y por otro lado, tenemos la poca seguridad que por defecto tienen proveedores de correo personalizados o corporativos, sin lugar a duda a años luz (estoy generalizando, lo sé) de lo que nos puede ofrecer Google o Microsoft con sus correos globales.
En fin, que por resumir, el cómo nos trate el servicio, o aquellos que analicen los datos agregados que de ello se podría desprender, puede cambiar radicalmente en uno u otro caso, incluyendo riesgos de seguridad, reputación, privacidad y presencia que quizás hoy en día no estamos tomando en consideración.
Interesantes reflexiones, pero yo creo que además de tener en cuenta el proveedor elegido a la hora de hablar de identidad digital, creo que hay que valorar el nombre de usuario escogido. Hace unos años participé en la selección de personal para una empresa. Mi misión era analizar la identidad digital y recabar información en las redes sociales sobre los aspirantes. Nos encontramos con aspirantes a puestos de ingenieros superiores, cuyas cuentas de correo eran del tipo cuquirubia @ hotmail.com o melapela1991 @ gmail.com (no son direcciones reales, sino simples ejemplos con grandes similitudes a la realidad encontrada). Está claro dónde acabaron sus CV: En la misma papelera que los CV con faltas de ortografía.
¿Esto se debe a una infantilización de la sociedad actual? ¿Tal vez a una despreocupación por las formas y el culto al «todo vale»? Desde luego no me vale la escusa de que a estas alturas ya están cogidos todos los nombres «normales» para cuentas de correo de proveedores gratuitos. Saber diferenciar lo privado y personal de lo profesional, es lo primero que tiene que aprender todo profesional y eso afectará a su identidad digital y mellará su huella digital que, posiblemente, le acompañará durante muchos años.
Por supuestísimo. Precisamente por Facebook estos días me han puesto ejemplos semejantes de gente que se dedica a recursos humanos. Y es lamentable, la verdad.
¿No se dan cuenta de que ya simplemente eso dice muchísimo de la persona? Mañana en el webinar que impartiré hablaré de este tema. ¡Muchas gracias Fernando!
Por supuesto que dice muchísimo de una persona, pero sobre todo, lo que dice es que somos unos negados para el cambio.
Me juego algo a que la mayoría de esas cuentas se crearon de adolescente, mucho antes de pensar siquiera en un perfil profesional… Lo grave es que luego no son capaces de cambiarla o crearse una nueva.
A veces ni siquiera es necesario cambiar de cuenta: existen proveedores como GMX (gratis) o Protonmail (de pago) que te permiten tener «alias» en tu cuenta (GMX ofrece hasta 10 alias por cuenta). Pero claro, para eso habría que informarse.
(Supongo que habrá más proveedores que ofrezcan esa opción, pero hablo de los que conozco directamente por trabajar con ellos).
Es peor aún Manuel. De hecho el propio Outlook ofrece crear alias, jajajaja.
La asignatura de informática debería ser troncal desde primaria…
No sé si una asignatura de informática como tal, sino más bien la presencia de la tecnología en cualquier asignatura como una herramienta más.
Yo no creo que sea una cuestión de que ser negados para el cambio. Es una cuestión de madurez. Muchos están aquejados por el síndrome de la eterna adolescencia y pretenden entrar en el mundo profesional con comportamientos propios de niños de la ESO.
Registrar un dominio, que cree una identidendad digital propia cuesta 10 euros al año y asociar ese dominio a una cuenta de GMail es gratis, pero para ello hsy que estudiar un poquito y, sobre todo, tener interés, pero eso es algo que supone demasiado esfuerzo para algunos. Por suerte hay muchos otros para los que estoo no es una regla generalizada y sí se les puede cinsiderar verdaderos profesionales, independientemente de cuál sea su sector.
La duda que me queda es si de verdad resulta interesante el tener dominios personalizados para la mayor parte de interacciones que hacemos en el ciberespacio. Tengo claro que a nivel profesional por supuesto. ¿Pero en casos como el anteriormente citado? Tendrían entonces la aseguradora en cuenta ese dominio como algo positivo (menos riesgo) o negativo (mayor riesgo)? habida cuenta de que mayor seguridad que nos ofrece una cuenta de GMail u Outlook no la vamos a encontrar con uno personalizado, y que lo mismo, por lo que dices, está destinada únicamente a aquellos que de verdad estamos más puestos en materia.
Por un lado, y cintestando a Manuel, no creo que sea una cuestión de enseñar informática, que obviamente no tiene nada que ver con la alfabetización digital, que sí es lo que hay que enseñar. En Galicia hay desde hace unos años una asignatura denominada identidad digital, donde se enseña a los chavales a manejarse con conocimiento de causa denteo de Internet y rso sí me parece interesante.
Por otro lado, Pablo, creo que estás asociando tener un dominio con instalarlo en un servidor gestionado por uno mismo. Esto último sí que requiere unos coocimientos técnicos e implica un riesgo frete a potenciales ataques, pero registrar un dominio y seguir los pasos que te sugiere GMail para asociarlo a una cuenta, lo único que requiere es saber que esto se ouede hacer y saber leer, nada más. Y por descontado que la seguridad de tu correo te la siguen garantizado tu registrador de dominios y Google.
Ahora bien. ¿Esto es unicamente para uso profesional? Yo creo que no. Siempre puedes crear varias cuentas bajo tu dominio y destinarlas a lo que quieras. Unas para uso privado y otras para uso profesional, porque lo importante es saber separar en lo digital, tu vida privada de tu vida profesional.
A mi por ejemplo, y es un tema del que precisamente hablaré hoy en el webinar, me parece interesante tener separada la identidad corporativa de la personal, y eso pasa por utilizar el correo (o correos, que un servidor tiene varios) corporativos únicamente para servicios que así lo requieran, utilizando el personal principal para los servicios o perfiles personales, y ya uno secundario para todos aquellos registros que no nos importan (con la idea de minimizar el impacto ante un ataque y limpiar la bandeja de entrada principal de SPAM).
Y eso hace que muchas veces me registre en sitios con un email que no es tan identificativo de mi persona como si utilizara el @pabloyglesias.com.
Voy a responderme a mi mismo: cuando hablé de «la asignatura de informática» me refería a que impartieran nociones básicas de conceptos, usos, seguridad, privacidad, etc. adaptada a unos niños que ya nacen siendo nativos digitales (tanto ordenadores como dispositivos móviles).
Perdón si con las prisas resumí demasiado.
Y, respondiendo a Fernando, la reticencia al los cambios es algo que nos viene regalado desde que la informática se hizo «fácil»: no hacía falta leer manuales, páginas man ni nada de eso. ¿Para qué necesitas leer si abrirse una cuenta de Gmail es lo más fácil del mundo? Y sin información nunca sabrás que con Outlook puedes crearte alias, ni que Gmail te da la opción de asociar un dominio propio…
Espero haber explicado mejor por dónde va el hilo de mis pensamientos.
Gracias.