Las compañías e instituciones conocidas como las más seguras del mundo tienen fallos, y más allá de que quienes pagan por estos terminan siendo ellas, el dinero no les supone tanto problema como a nosotros sí nos supone la pérdida de nuestra privacidad. Internet es un espacio complejo para la información sensible, y debido a las vulnerabilidades de la informática en manos del humano y sus intenciones, todo puede pasar. En este artículo acerca de 10 grandes escándalos sobre privacidad en internet repasaremos un poco de lo que puede pasarle a tu privacidad si cae en malas manos.
Contexto
Google acaba de anunciar un cambio de políticas de seguridad para el 2012 que está llegando a todos los correos de sus usuarios. Ahí explica cómo es que se combinan los datos de los usuarios a través de sus servicios, además de dar promesas de respeto y compromiso de no venta de información personal. Los cambios en las políticas de seguridad no son decisiones que surgen de la inspiración moral instantánea de las empresas, son consecuencias de las fallas y de los problemas que han venido teniendo. En este sentido vimos muchas compañías que durante el 2011 tuvieron que cambiar mucho de su rutina de protección debido a acontecimientos que tuvieron más de negligentes que de fortuitos. En términos de estadística, quienes se preguntan ¿Quién vigila al vigilador? son muy pocos, ya que en los trámites cotidianos, la confianza y la presunción de legitimidad es lo que impera en general. Como lo vimos en el artículo sobre ingeniería social. A la hora de sumarnos a servicios e instituciones introduciendo nuestros datos personales y nuestras credenciales digitales lo hacemos casi sin sopesar eventualidades, pero estas existen y algunas son como tan grandes como para convertirse en grandes escándalos sobre privacidad en internet.
10 grandes escándalos sobre la privacidad en internet
The Craigslist Experiment: Una chica expuesta expone a todos
Uno de los más divertidos (para los que no fueron afectados) fue la situación que se llevó a cabo en Febrero de 2006, cuando una falsa señorita recreada por el diseñador gráfico Jason Fortunye se presentó en Craiglist en un anuncio donde decía directamente que buscaba sexo. La idea de Jason era recolectar la mayor cantidad de respuestas en 24 horas, y si bien éstas fueron miles, 178 de ellas contenían información personal de todo tipo. Algunos hombres y mujeres le enviaron fotografías, nombres y apellidos, teléfonos, direcciones y correo. ¿Qué hizo Fortuny? Los publicó en un sitio llamado Encyclopedia Dramatica. Todos los datos personales expuestos, una cobertura mediática a la altura del asunto y una multa de 75 mil dólares para él. ¿Maximun trolling? No sé. Pero sin duda este asunto dejó calientes a varios.
AOL Search Leak: Términos de búsqueda que terminan con la privacidad
Que llegaran los CD-ROM a nuestras casas sin solicitarlos, ya nos parecía una violación de la privacidad, pero AOL nos demostraría que eso no era nada en comparación a soltar 20 millones de términos de búsqueda de sus usuarios y exponer públicamente a un buen lote de personas de manera accidental. ¿Cómo? Resulta que el archivo donde se listaban los términos de búsqueda debía respaldar el anonimato de quienes los introdujeron en sus navegadores, pero debido a que no hubo filtrado de la información, muchos términos tenían datos personales identificables. En 3 días AOL los borró, pero los datos ya se habían reproducido en varios sitios más. ¿Costo de la macana? 5 mil dólares a cada usuario afectado. ¡A-LOL!
Webcamgate: Laptops espías
Una preparatoria de Pennsylvania les dio a sus alumnos un ordenador portátil Apple para que lo pudieran utilizar en sus hogares para estudiar y hacer sus tareas. ¡Genial! Pero el regalo venía con sorpresa, y es que el portátil tenía un software que transmitía las imágenes capturadas por la webcam a una dirección especificada. Así es que la escuela secundaria se hizo con más 56.000 fotografías y capturas de pantallas de los adolescentes en todas las situaciones que te puedas imaginar frente a la cámara. Invasión a la privacidad, entre otras acusaciones dentro del caso hizo que el colegio tuviera que pagar más de 600 mil dólares. Lo barato sale caro, sobre todo para tu vergüenza.
Facebook: La red social para comerciantes
Si hay un sitio que es sinónimo de desprecio de la privacidad es una red social donde la idea pareciera ser la de no tener privacidad. A fines de 2010, Facebook mismo dijo que aplicaciones y juegos sociales como Farmville o Texas Hold’em compartían datos personales de los usuarios con agencias publicitarias. Días después, el Wall Street Journal hizo una investigación y encontró que Facebook tenía agujeros de seguridad que afectaban a millones, incluso a quienes tenían las más estrictas políticas de seguridad. Facebook no la pasó bien, ya que venía de ser denunciado por transmitir el ID de los usuarios a compañías de publicidad cada vez que se hacía clic en un anuncio. El departamento de recepción de demandas y tiene entidad física en Facebook, y con esto decimos todo: Facebook ha cambiado más veces sus políticas de seguridad que su interfaz.
HealthNet: 2 millones de números de seguridad social expuestos
Si los servicios sociales de entretenimiento son importantes para la vida de las personas, los de la salud y los datos muy íntimos que se mueven en ellos deberían ser intocables. Obviamente esto no es así, y se re confirmó cuando en Marzo de 2011, HealthNet anunció a sus 2 millones de sucriptores, que una brecha en la seguridad podría tener sus datos sensibles pululando en la red. Números de seguridad social, direcciones físicas y de correo, información financiera, nombres y mucho más se perdieron junto al disco duro encriptado en el que estaban guardados dentro de un data center de IBM. Lo peor es que esto ya les había sucedido en 2009, perdiendo 1.5 millones. Ambas empresas demandadas millonariamente, y 2 millones nuevos de pacientes por stress.
Sony CD Spyware: Un rootkit entre las canciones
Muchos se cayeron de sentaderas por el susto y la sorpresa cuando se descubrió que Sony incluía un sistema anti copia en sus CDs originales. Era 2005, y el mecanismo funcionaba con un tipo de archivo llamado XCP y un software llamado Mediamax CD-3. En forma de rootkit indetectable para los antivirus, este sistema transmitía información de la IP del usuario del ordenador cuando este lo reproducía en él (incluso sin intenciones de copiarlo). Como todo spyware, este sistema altamente intrusivo generaba vulnerabilidades en los ordenadores, haciendo las veces de backdoor para recibir otras infecciones con intenciones un poquito más diabólicas. El lío que se armó fue mayúsculo cuando lo descubrió un experto en seguridad independiente y las demandas le llovieron a Sony, además de los cuestionamientos morales y técnicos sobre el asunto. El CEO llegó a decir: “La mayoría de la gente no sabe lo que es un rootkit, así que por qué nos iba a preocupar” No perdió el trabajo, pero si el respeto y además Sony tuvo que pagar 150 dólares a cada usuario afectado por algún malware debido al sistema XCP. Sony debería ocuparse en tener un sistema anti copia de sus errores.
Hotmail: A cambiar la contraseña, nos hemos equivocado
La cantidad de gente afectada es lo que muchas veces da cuenta de la magnitud de un escándalo, y el que protagonizó Hotmail en Octubre de 2009 es un ejemplo. 10.000 usuarios se despertaron con un correo del equipo de Hotmail indicándoles que cambiaran sus contraseñas en los próximos días porque habían tenido un fallo de seguridad y sus datos estaban comprometidos. Resulta que estos habían sido captados (se supone mediante phishing), y luego compartidos en una lista a través del sitio Pastebin.com. No hubo grandes demandas, pero ese mes Gmail tuvo más nuevos usuarios de lo esperado.
Google Street View: No quiero mi rostro en un mapa
Mira esa es nuestra casa. Y ése es nuestro papá y está… ¿contratando a una prostituta? El servicio web que permite ver fotografías panorámicas de zonas urbanas en Google Earth ha sido la puerta de ingreso para las demandas a Google. Es que desde Mayo de 2007, cuando Google Street View salió a la calle, las quejas no han parado de llegar solicitándole a la compañía que borrase de sus mapas de uso global la fachada de las casas de las personas, o incluso de las personas mismas que justo transitaban cuando el coche o bicicleta de Google pasaban por la zona fotografiando todo. Y cuando decimos todo podemos mencionar casos donde hombres salían de cabarets, de tiendas de vídeos XXX, bares y hasta niñas tiradas en el piso haciéndose las muertas. Google lo solucionó con millones de dólares pagados a sus demandantes y desenfocando el rostro de los individuos o las fachadas de los hogares involucrados en las fotos. Street View, paparazzi de los ignotos.
Iphone e Ipad: Te siguen a donde vayas, y lo informan.
No es novedad que Steve Jobs tuvo que salir a pedir disculpas públicamente en Abril de 2011 cuando se supo que el sistema operativo de iPhone e iPads recopilaba los datos de los usuarios con detalles sobre la ubicación geográfica a determinados lapsos de tiempo. Los expertos en seguridad que descubrieron la falla en un archivo sin encriptar que tenía cacheados los lugares a los que fue el usuario en los últimos 12 meses a través de geolocalización, hicieron que Apple lanzara una nueva versión del sistema para reparar esto. Hecho esto, Google y Microsoft tuvieron que sincerarse y decir que Android y Windows Phone pecaban de lo mismo. Así que entre esto y Google Earth, tenías un satélite de rastreo personal a disposición de tu pareja celosa.
PlayStation Network: 77 millones de datos expuestos
Tratado en Neoteo de principio a fin, en Abril del año pasado Sony volvió a repetir errores garrafales en la seguridad que se encarga de los datos sensibles de los usuarios y ante una falla perdió los datos de 77 millones de suscriptores a la plataforma de entretenimiento online de PlayStation. Culpas y acusaciones se repartieron como si salieran de un dispersor de agua drogadicto, pero cuando se supo que Sony tenía sistemas de seguridad obsoletos y un personal que no cumplía con los méritos del puesto, las demandas se hicieron más fuertes. En general el robo de datos terminó como listados para comerciantes y spammers, pero también se reportaron casos de sustitución de identidad, tarjetas de crédito robadas y cuentas perdidas en PSN. Sony intentó redimirse repartiendo crédito gratis, contratando nuevo equipo de seguridad y prometiendo de rodillas que esto no iba a volver a sucederles. Especialmente porque, según sus estimaciones, perdieron 171 millones de dólares con el asuntito.
Conclusión
Estos ejemplos convertidos en grandes escándalos sobre privacidad en internet llevan a las preguntas de siempre: ¿Quién pone las manos en el fuego por un empleado encargado de la seguridad de un sitio web? ¿Qué nos garantiza que el banco no tenga una copia de la llave de nuestra caja de seguridad adquirida? ¿Qué tan infalibles son sus sistemas de seguridad? ¿Qué garantía hay de que no nos están espiando? ¿Quién vigila al vigilante? Estos cuestionamientos hacen pensar que la confianza a priori no es más que comodidad, ignorancia o resignación, y estos conceptos son los que luego nos hacen pasar momentos penosos cuando nuestra privacidad se pone en juego al sucederse estos ataques y fallas. ¿Pero qué hacer si este es el sistema que hay? Esa pregunta se las dejo a ustedes. Personalmente, informarse y reclamar cambios podría ser un buen comienzo; el historial negativo lo tienen ellos.