Este fin de semana me escribía Juanjo, un estudiante a puntito de empezar su TFG en busca de alguien que le pudiera asesorar sobre por dónde esbozar un proyecto cuyo fin era profundizar en el impacto que tiene la digitalización de toda nuestra actividad a la hora de identificar u obtener información de una persona.
Es, de facto, uno de los temas en los que me he especializado en estos últimos años, y que en el argot técnico viene llamándose mecánicas de OSINT (Open Source Intelligence o Inteligencia de fuentes abiertas).
Habitualmente al OSINT se le suele dividir en dos partes:
- Footprinting: que sería la recolección de información “desde fuera”, es decir, mediante herramientas de recolección de información en Internet. La mayor parte de mi trabajo como analista, de hecho.
- Fingerprinting: la pata oscura, que en caso de no tener permiso es ilegal, y que vendría dada por la recoleción de información “desde dentro”, ya sea de un sistema informático, una red o un perfil utilizado por el objetivo.
Le comenté algunos de estos puntos, enlazándole a artículos que he ido escribiendo sobre ello e intentando organizar un poco toda esta información para que tuviera formato de índice, y mientras le respondía me acordé que recientemente había leído el caso de una trabajadora sexual que había visto expuesto su perfil personal a alguno de sus clientes.
Esta semana, para colmo, se hizo viral el hoax de que Facebook nos estaba espiando mediante el micrófono de nuestro terminal, por lo que también escribí una pieza en la que adelantaba las verdaderas razones de por qué estas grandes compañías parecen que nos espían… cuando realmente solo hablamos de un buen uso del machine learning y la inteligencia artificial.
El impacto del “People You May Know” de Facebook
Lo comentaban hace un par de semanas por Gizmodo (EN). Leila es una chica que trabaja como escort, un trabajo que como sabrá, no suele estar muy bien visto en la sociedad, y que por ende suele llevarse a cabo sin anunciarlo a los cuatro vientos.
Además, no es raro que de conocerse su trabajo la chica pueda tener problemas (clientes que la persiguen, amigos que lo mismo la tratarían de otra manera), por lo que como muchos otros trabajadores sexuales tiene diferentes perfiles en Internet:
- El principal: asociado a su email universitario, con sus datos reales y donde como todos nosotros mantiene una actividad esperable para una chica de su edad.
- Los secundarios: asociados a emails y números de teléfono distintos, bajo distintos pseudónimos, con los que establece contacto con sus clientes.
El caso es que pese a haber tomado las medidas aparentemente adecuadas para separar su vida personal de las vidas profesionales que lleva, Leila se empezó a dar cuenta que le llegaban solicitudes de amistad a su perfil principal de clientes pasados.
Aquí quería llegar yo, puesto que herramientas como el “Personas que quizás conozcas” de Facebook operan a un nivel de machine learning que podría incluso hacer peligrar la vida de algunos de sus usuarios, como es el caso de esta chica.
Y no es a primera vez que algún usuario denuncia situaciones parecidas: Desde psiquiatras que descubren con horror cómo sus clientes se ponen en contacto con ellos (EN), hasta personas que son capaces de encontrar familiares desconocidos o sacar trapos sucios (EN).
De cuando la inteligencia artificial es capaz de sacar conjeturas a priori sin nexo común
Detrás de “People You May Know”, un sistema de matchmaking del cual apenas conocemos cómo funciona (ES), y que por defecto entra dentro de los servicios obligatorios que tendremos activados simplemente por tener cuenta en la red social.
Una situación semejante a la que hace ya unos meses expuse sobre la seguridad del flujo de datos en un entorno abierto. El cómo una periodista consiguió acceder al perfil privado del director del FBI James Comey gracias a las recomendaciones de amistad que le sugería Instagram, encontrando entre ellas la de su hijo, y saltando del perfil de su hijo al del padre.
Ahí está el verdadero reto de un entorno tan rico en información personal. Conforme más complejos son los sistemas de inteligencia artificial de estas plataformas, menos barreras éticas, e incluso legales, se van a romper, comprometiendo nuestra privacidad hasta límites que lo mismo ni siquiera somos conscientes de que pueden llegar a comprometerse.
¿No habría que plantearse unos límites artificiales que mantuvieran hasta cierto punto el control por parte del usuario?
Se me ocurre, por ejemplo, que únicamente debería sugerirnos perfiles que tuvieran relación directa por elementos tales como la pertenencia a círculos de amistad (o grupos) parecidos, o incluso lugares en común (misma universidad, misma ciudad, misma empresa de trabajo…).
Porque me da, a la vista del caso de Leila, que estos sistemas están empezando a basarse además en patrones de actividad, como pueden ser las interacciones en común que hayamos llevado o la correlación de actividades con perfiles semejantes. Un elemento muchísimo menos controlable por parte del usuario, que en efecto podría señalar como potencialmente a la misma persona en dos o más perfiles pese a que en su elaboración todos los elementos identificativos sean distintos.
Y el corolario con el que quiero que se quede es que no hay puntos medios, por que hoy en día si aceptamos estar en una plataforma como Facebook, aceptamos de facto servir de carne de cañón para estas herramientas de matchmaking.
Claro que tenemos capacidad para parametrizar a nivel de seguridad y privacidad nuestra cuenta, pero aun así seguiremos sujetos a esa inteligencia oculta y omnipresente que a cada paso se vuelve un poco más creepy.
Algo que a veces se agradece (¡Joder, qué guay que Facebook me ha sugerido agregar a la chica esta que conocí ayer de noche y de la que únicamente tenía su nombre y su número de teléfono!), y que en algún momento podría volverse en nuestra contra, quizás exponiendo una parte de nuestro perfil que no querríamos que expusiera a según qué personas, o peor aún, tachándonos de una oportunidad de trabajo, negándonos el acceso a un seguro o a una hipoteca, y quien sabe si en el futuro identificándonos como objetivos de un sistema dictatorial fuertemente represivo.
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
________
Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.