Lo que nuestra cuenta de correo dice de nuestra presencia digital

reputacion correo

Estos días se daba a conocer que la cuenta de Twitter del presidente de los Estados Unidos de América había sido creada desde un correo @Gmail.com (EN).

¿Que cómo se sabe esto? Debido a que el recuperador de contraseñas de la plataforma nos muestra información sobre el email desde el que ha sido creada. Una feature de usabilidad más que el servicio ha decidido conceder.

¿Qué tiene de malo? A priori, nada más allá que el hecho de que es información que podría resultar crítica a la hora de realizar una campaña de usurpación de identidad.

Que si hablamos de un ciudadano cualquiera, pues quizás tiene poco interés. Pero hablamos del presidente de los EEUU, con todo lo que ello conlleva.

El tema, por anecdótico que parezca, coincide temporalmente con otro que quería tratar en esta pieza, y ambos ejemplifican a la perfección cómo hasta el más mínimo detalle de nuestra presencia digital puede ser en esencia un riesgo a futuro.

Segmentando clientes por su proveedor de correo

Leía esta semana en The Sun (EN) que Admiral, una aseguradora de automóviles, había decidido subir el precio de sus seguros a aquellos clientes que tuvieran una dirección de correo @hotmail.com.

Lo interesante del caso son las razones que posiblemente (la compañía no ha reconocido que lleve a cabo este tipo de segmentación) hayan llevado a Admiral a tomar esta decisión. Según el autor del artículo, hasta 40$ podría llegar a subir el precio de un seguro por este pequeño detalle.

Como seguramente sepa, a día de hoy ya no es posible hacerse con una de estas direcciones, habida cuenta de que toda la infraestructura de correo de Microsoft se ha migrado a outlook.com. Sin embargo, todos los que tuvieran(mos) una dirección @hotmail.com o @hotmail.es podemos seguir entrando desde outlook sin mayor problema.

De esta manera, el tener una dirección de correo de éstas podría llegar a considerarse un riesgo más (se asume que es un usuario que no preocupado por actualizarse, ergo, de mayor riesgo) a la hora de elaborar un patrón de riesgo para cada cliente (el negocio del que viven las aseguradoras). La noticia solo habla de Hotmail, pero entiendo que esto mismo se podría aplicar a día de hoy con Yahoo (no sé si todavía se pueden seguir creando cuentas, pero en todo caso un usuario activo en Internet debería, como mínimo, conocer toda la mierda que ha salido alrededor de este antiguo popular servicio), o Terra en el caso de España.

A nivel de seguridad y privacidad, una cuenta @hotmail y una @outlook tienen exactamente el mismo sistema, y por tanto, comparten riesgos. Pero sí es cierto que un @hotmail tendrá presumiblemente más años de vida, y por tanto, habrá un riesgo mayor a que ese correo haya sido víctima de algún ataque (o pueda serlo en el futuro por estar ya en listas de distribución de campañas de phishing).

Que no hablamos de un único factor a tener en cuenta, sino la suma de decenas de factores que una empresa que se dedica a negociar con el riesgo puede considerar con la poca información que tiene de ese cliente (sus datos y quizás su historial, más aquella información que pueda obtener por fuentes público-privadas, y si me apura, aquella otra que el propio cliente esté dispuesto a ceder de su actividad diaria).

Y fíjese que no hemos entrado a analizar el nombre del usuario de correo (a priori un “manganito69” no debería inspirar mucha confianza…), sino simplemente su proveedor.

¿Qué dice el proveedor de correo de nosotros?

Con la duda que me quedo es qué impacto tendría el uso de un dominio más restrictivo o personalizado.

Una cuenta de Gmail la puede tener cualquiera. Una que venga del @bbva.com, o como es mi caso, de @pabloyglesias.com, ya no. ¿Es esto estrictamente algo positivo?

El utilizar estas cuentas (normalmente corporativas) para servicios no enfocados a ello me parece un error, y quizás hasta podría ser penalizado (si utilizas tu cuenta corporativa para contratar un servicio X, esto significa que no eres consciente de que lo mismo el día de mañana esa cuenta no será tuya y podrías perder el acceso al servicio, ergo, mayor riesgo asumido).

banner curso presencia digital fundamentos

Descontando que una de estas cuentas arroja más información que aquellas de proveedores más genéricos. Ergo, hasta cierto punto, estamos asumiendo mayor riesgo.

Un servidor, por ejemplo, utiliza su cuenta personal para loguearse en la mayoría de servicios y formularios donde entiendo que lo hago a nivel personal, incluidas redes sociales donde como mínimo mantengo un perfil personal. Y las corporativas para cuando el registro se hace exclusivamente en nombre de esa compañía o como representante de este proyecto…

¿Estoy actuando entonces de forma correcta? ¿Hay, de hecho, un patrón objetivamente más adecuado en la manera que tenemos de utilizar un elemento tan crítico aún a día de hoy para nuestra presencia digital como es el correo?

¿Anteponemos entonces la generalización que nos ofrece un proveedor global a la reputación que nos arroja un proveedor de correo personalizado o corporativo? Esa búsqueda del Santo Grial del equilibrio en la que siempre nos movemos, ¿verdad?

Quiero pensar que mi manera de actuar en estas situaciones es la más adecuada, pero a la vista de lo comentado anteriormente, quizás no haya una que podamos considerar el ejemplo a seguir. Porque a día de hoy un GMail o un Outlook gozan de relativa buena reputación, pero el día de mañana lo más probable es que no ocurra así. Y por otro lado, tenemos la poca seguridad que por defecto tienen proveedores de correo personalizados o corporativos, sin lugar a dudas a años luz (estoy generalizando, lo sé) de lo que nos puede ofrecer Google o Microsoft con sus correos globales.

En fin, que por resumir, el cómo nos trate el servicio, o aquellos que analicen los datos agregados que de ello se podría desprender, puede cambiar radicalmente en uno u otro caso, incluyendo riesgos de seguridad/reputación/privacidad que quizás a día de hoy no estamos tomando en consideración.