Privacidad: errores y buenas intenciones

Published On 03/07/2013 | By Ignacio García Soblechero | Divulgación

Recientemente recibí un mensaje de correo de Facebook con el asunto “Mensaje importante de Facebook”. De primeras, lo que cualquier desconfiado se esperaría descubrir en el mensaje podría ser una nueva manera de encontrar a tus contactos perdidos del correo electrónico en la red social o la aplicación definitiva para terminar de echar a perder nuestras tardes socializándonos mediante nuestra pantalla y teclado. Lo bueno del tema es que en Facebook hace tiempo que decidieron que el tema de la publicidad y los constantes avisos al usuario tenían que ser lo menos incómodos posibles, y que para ello permite un alto grado de configuración. Lo malo es que por ello, recibir un correo con ese asunto da poco margen a algo que no sean malas noticias, y algo así fue lo que me contaron en él.

El contenido del correo era muy similar a lo que se explica aquí, aunque de forma más personalizada y llamándome por mi nombre y mis datos y esas cosas. Resulta que alguien pudo utilizar la herramienta “Descarga tu información” (DYI, por sus siglas en inglés: Download your information) de Facebook para acceder a mi información, cuando ese alguien no era contacto mío en Facebook, pero en cambio sí tenía mi número de teléfono. Y junto a esta explicación, muchas disculpas y declaraciones de intenciones acerca de lo importante que es mi privacidad como usuario de la red social para Facebook.

Resulta que tengo la suerte de haber recibido este correo en un momento en el que he estado cursando una asignatura sobre seguridad a nivel de aplicación en redes, con lo que el extenso correo que me enviaron podría haber sido mucho más breve para hacerme entender dónde estuvo su error. Sin embargo, y consciente de que estáis aquí para leer textos largos y explicativos, me la jugaré un poco y os hablaré del interesante mundo de la autorización para acceso a servicios en red, aplicado a este caso en particular.

UN ERROR DE AUTORIZACIÓN

A nadie se le escapa que en todo esto de las redes sociales, en una gran mayoría de casos debemos acceder a unos datos no públicos mediante un portal inicial en el que se nos pide un usuario y una contraseña. Esta es la fase de autenticación, previa a cualquier proceso de acceso a información. Con esta acción le indicamos al sitio quién somos, con lo que el sitio podrá determinar a qué información tenemos acceso. Así pues, cada vez que accedemos, por ejemplo, al perfil de un amigo en Facebook, se produce un proceso de autorización que permite determinar a qué elementos de perfil podemos acceder.

Los sistemas que almacenan toda la información sobre control de acceso son relativamente simples de enunciar aunque complejos de construir. Sin adentrarnos mucho en el tema (para los que quieran hacerlo, unas diapositivas introductorias), diré que en Facebook el control de acceso se hace por roles. Así pues, yo podré acceder a más o menos información tuya en función de si somos amigos o no. Podríamos decir que, inicialmente y de manera muy simple, los roles básicos son “es amigo” y “no es amigo”, con acceso o no a ciertos datos en función de dónde te encuentres respecto de alguien.

En Facebook decidieron rizar un poco el rizo e incluir una serie de complejos listados para gestionar tu privacidad a un nivel increíble de toma de control, pero también de dificultad de cara al usuario (hasta que simplificaron un poco el tema tomando prestada a Google+ la idea de los círculos, con excelentes resultados a mi parecer). Así pues, en Facebook puedes jugar a que dos amigos tuyos, clasificados en grupos diferenciados o de forma individual, puedan ver versiones más o menos amplias de tu perfil. Si recordáis el párrafo anterior sobre los roles, ahora tenemos que ampliarlo a “está en el grupo de mejores amigos”, “está en el grupo de gente que puede ver mis fotos de verano”… e incluso grupos personalizados por usuario, como “es Paqui la del 5º”, porque a él, y solo a él, le hemos dado acceso a que sepa cuándo es nuestro aniversario o cuál es el apellido de nuestros padres. Haceos una idea, pues, de cómo se complica el tema si consideramos no solo a nosotros mismos, sino al resto de nuestros amigos, y amigos de amigos, etc. Y en general todos los usuarios de Facebook: ingentes cantidades de listas de control de acceso y autorización que, además, van cambiando dinámica y constantemente según agregamos y eliminamos contactos y cambiamos sus configuraciones.

Pues aún hay más. Porque resulta que con la llegada de los móviles y la sincronización de datos en los mismos tenemos la posibilidad de acceder a datos de nuestros amigos en la agenda del móvil. Y de manera contraria, si tenemos el móvil de un amigo guardado, Facebook puede sugerirnos añadirlo como contacto en la red, ya que parece que lo conocemos. Fijaos cómo, sin que haya un contacto directo a través de la red social, Facebook puede dar la oportunidad a una persona de acceder a, al menos, la localización de nuestro perfil en Facebook solo con que disponga de nuestro número de teléfono. Pues ya nos vamos acercando al problema.

Resulta que la mencionada aplicación DYI de esta red social permite descargar información a la que tienes acceso a través de la red social, lo que incluye información de nuestros amigos. Pero por un error de autorización en todo ese complejo sistema de permisos, a través de DYI se pudo descargar también información de usuarios de la red de los que la única información de la que disponíamos era su teléfono. Recordemos que el rol de nuestros no-contactos es “no es mi amigo” y que, sin embargo, el control de acceso no se llevó a cabo respetando las reglas indicadas en ese rol, con lo que nuestra privacidad se ve comprometida. Y de todo esto, por supuesto, Facebook se arrepiente mucho e insiste que “no volverá a ocurrir”.

LA OBSESIÓN POR LA PRIVACIDAD, LA REALIDAD DE LOS ERRORES HUMANOS Y EL INTENTO DE BUENA FE DE FACEBOOK

Actualmente, y máxime considerando la gran repercusión mundial de la revelación de Edward Snowden sobre PRISM, los celos por la privacidad de nuestra información están a la orden del día. No en vano, estamos hablando de que volcamos gran parte de nuestras vidas en las redes sociales y otros sistemas propios de la web 2.0, con lo que toda esa información pasa a estar comprometida si la seguridad de estos servicios web o la configuración que tenemos de la misma no son los que creemos que son (en muchas ocasiones, por cierto, por dificultad de configuración, como pasaba en Facebook hace no mucho tiempo).

 email-privacy

Creo que no es necesario tratar en esta entrada el tema de las repercusiones de que organizaciones gubernamentales o supragubernamentales tengan acceso a información privada nuestra por motivos de seguridad o cualesquiera que sean los otros. Sin embargo, sí hay dos puntos interesantes que analizar al respecto.

En primer lugar, y sobre este tema también se ha redactado recientemente mucha literatura al respecto del DNI de la Infanta Cristina, los errores humanos existen. Que por cierto, estos casos mucha gente gusta de llamarlos errores informáticos, por aquello de que intervienen ordenadores, pero aprovecho para recalcar que son tan humanos como otros cualesquiera, ya que a fin de cuentas una máquina no hace lo que tú quieres que haga, sino lo que tú le indicas que haga. Hecho este inciso, sí, los errores humanos son una variable a considerar. Nos suelen vender que los sistemas no fallan, y realmente se trabaja porque no sea así; pero pretender que esto sea verdad es una bonita utopía.

Así las cosas, y enlazando con la segunda cuestión: ¿cómo debo, como usuario de Facebook, considerar ese generoso correo en el que reconocen su culpa y ponen a mi disposición sus mejores intenciones para subsanar los errores? Como usuario, al menos, me inquieta y tranquiliza a la vez. Es noble, hay que decir, que reconozcan el error y te lo comuniquen para que veas que se preocupan por ti. También hay que decir que este error no lo encontraron los informáticos de la empresa sino los propios usuarios, que colaboran en este tipo de cuestiones a través de la iniciativa White Hat de Facebook, por lo que realmente ya eran públicos esos datos para unos cuantos, y a Facebook no le deben interesar mucho las noticias virales en su contra sin ser ellos los que den el paso inicial. Y también podría sugerir al respecto, y con el tema de PRISM aún en liza, que es un poco hipócrita montar este tipo de dramas por una cuestión de privacidad que han podido detectar y en cambio no ser transparentes respecto de la información que ceden a según qué organismos, como sí hace, por ejemplo, Google.

De todas formas, y antes de volvernos locos y tomar decisiones acerca de si debemos abandonar todas las redes sociales para poder ser de nuevo anónimos, es bueno poner las cosas en perspectiva, y sobre privacidad hay mucho de exagerado y no tanto de pensar en tiempos pasados o en la privacidad del día a día “fuera de Internet”. En este sentido, y como bien señala Vinton Cerf en esta entrevista en Materia al hilo del follón montado con PRISM, la privacidad es, en la mayoría de los casos, un accidente de las ciudades. Una cuestión quizá más preocupante es todo lo relacionado con el derecho al olvido (del que además se habla también estos días por el reciente dictamen no vinculante del Abogado General del TJUE; aquí una noticia al respecto) en tanto al uso que informáticamente se puede hacer de todo un conjunto de datos sobre una persona y su almacenamiento y consulta a lo largo del tiempo.

Sin embargo, que hoy o mañana una persona pueda acceder a algo nuestro que está en la red realmente debe preocuparnos poco, al menos si ya hemos tomado la decisión de subir una información a un dominio web que no controlamos y que es accesible desde casi cualquier punto del planeta, aunque sea a través de múltiples barreras de autorización. No hay mejor privacidad para una información que no publicarla; solo así está a salvo de errores de autorización y de lo que digan los gobiernos, aunque quizá entonces las ansias sociales propias del ser humano se vean bastante frustradas. Qué hacer, pues, en esta situación, será una pregunta que solo puede resolver cada cual en consulta con su almohada.

Like this Article? Share it!

About The Author

Iñaki para los amigos. Murciano. Intento de Ingeniero en Informática. Defensor de la cultura libre. Amante del debate político. Empeñado en demostrar que siempre hay "otra forma" de ver y de hacer las cosas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *