Desprotegidos por defecto

miércoles, 5 de abril de 2017

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), destinado a proporcionar a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales, introduce un nuevo concepto que deberán adaptar tanto fabricantes de tecnología como desarrolladores de aplicaciones y redes sociales: la privacidad por defecto.

Con este principio se pretende proporcionar privacidad tanto en el contenido como en los metadatos obtenidos del usuario (por ejemplo, localización y tiempo de la llamada) y que necesitarán encontrarse anonimizados o borrados si el usuario no ha dado su consentimiento. A pesar de que GDPR define el término consentimiento como «un acto afirmativo claro que refleje la voluntad del interesado de aceptar el tratamiento», en la actualidad nos encontramos ante servicios que, por defecto, habilitan casillas ya marcadas de las que el usuario no es consciente. Las opciones que más se repiten en las redes sociales son las siguientes:


Permitir que terceros puedan encontrar a otros usuarios. Esta casilla permitiría a terceros encontrar a otros usuarios de la red social en base al correo electrónico o el número de teléfono. Incluso, en Twitter, el uso de esta opción le estaría proporcionando información al usuario objetivo a través de la sección A quién seguir de qué perfil le habría buscado.

Figura 1. Opción de visibilidad de Twitter.


Personas que quizá conozcas. Esta opción proporcionaría a los usuarios de la red social poder contactar con otras personas en función de datos personales entregado, las redes de las que formas parte o de la actividad realizada. Sin embargo, no sólo Facebook estaría utilizando términos demasiado ambiguos que no permitirían saber con claridad a los usuarios qué información estarían cruzando.

Figura 2. Opción de privacidad de Facebook.

Recuperación de contraseñas. La recuperación de contraseñas sin que se notifique al usuario (imaginemos que lo hiciera un tercero en el contexto de un potencial ataque) podría suponer una reducción de su privacidad si tras anonimizar su dirección de correo todavía se consigue intuir la información mostrada.

Figura 3. Recuperación de contraseñas en Facebook.

Recepción de anuncios. El usuario recibirá anuncios personalizados basados en la información compartida con terceros si no deshabilita la casilla de contenido promocionado, tal y como ocurre en Twitter. En este caso, un tercero cedería su información a esta red social, obtenida por ejemplo a través de la suscripción de su boletín, con el objetivo de encontrar usuarios potencialmente interesados y mostrar así el contenido promocionado.

Figura 4. Funcionamiento del contenido promocionado en Twitter.

No rastrear (Do Not Track o DNT). Al tener desactivada la opción de DNT en el navegador del usuario (revísela también en el dispositivo móvil, ya que suele encontrarse deshabilitada), la red social ofrecerá anuncios o sugerencias personalizadas.

Figura 5. Opción Do Not Track en Chrome.

Configuración de privacidad solamente a través de la instalación de aplicación. Algunas redes sociales solamente permiten la configuración de privacidad a través de su aplicación móvil, como Instagram y ask.fm.

Figura 6. Configuración de privacidad en Instagram.


Por otro lado, seguro que nos hemos encontrado en alguna ocasión ante la dificultad de darnos de baja de cierto servicio de internet. En este sentido, están surgiendo proyectos como el de Just Delete que proporciona las direcciones URL exactas de al menos 520 plataformas para poder darse de baja directamente, así como un indicador de su dificultad e información que el usuario necesita conocer sobre dicho proceso. Según los servicios que tiene registrados, la categorización de todas ellas en función del indicador de dificultad para la eliminación de sus datos sería el siguiente:

Figura 7. Nivel de dificultad para darse de baja de las plataformas.


Hasta que llegue el 25 de mayo de 2018, que es cuando será obligatoria la aplicación de la GDPR en cada Estado miembro de la Unión Europea, esperemos que los aspectos relativos a la privacidad de los usuarios en los servicios que utilicemos en la red no sean tan costosos de leer como los Términos y Condiciones del Servicio Kindle de Amazon, porque... ¿quién tiene ocho horas para leerlos? Y, lo peor de todo, ¿de verdad somos capaces de comprender las implicaciones de lo que leemos?

Yaiza Rubio
Intelligence Analyst at ElevenPaths
@yrubiosec

No hay comentarios:

Publicar un comentario