Los nuevos servicios en línea podrían hacerle a usted un blanco aun más atractivo de ataques a la privacidad. Aquí le explicamos cómo.
¿Cuáles son los peligros de almacenar en línea cada vez más correo electrónico, documentos, fotos, e información de cuentas financieras? Hablamos con los expertos y planteamos varias situaciones que reproducen lo que pudiera suceder en los próximos años si la innovación tecnológica y las tendencias en las políticas públicas en tres categorías técnicas importantes –el almacenamiento en línea, la localización del usuario y la biometría– siguen su curso actual.
El colapso del Web OS
La situación: Usted recibe una serie de notas de correo electrónico. La primera lleva adjunta una foto comprometedora de sus días en la universidad. La segunda tiene extractos de un mensaje de correo electrónico interno con detalles confidenciales de las negociaciones de fusión de su compañía. La tercera duplica una carta nostálgica que usted recientemente envió a un viejo amor que encontró en la reunión de ex alumnos de su escuela secundaria.
El cuarto correo electrónico exige que usted envíe US$50.000 a una cuenta en ultramar en menos de 48 horas o su cónyuge, sus hijos y su jefe recibirán copias de los otros tres mensajes. Usted no tiene idea de cómo le seleccionaron a usted, pero alguien que tiene todos los detalles de su vida en línea está tratando de jugar con su pasado.
Lo que comenzó en 2005 con los conjuntos de aplicaciones de Google y Microsoft Windows Live basadas en la Web luego siguieron evolucionando, hasta que hacia el final de la década se convirtieron en aplicaciones comerciales en línea que obvian la necesidad de algo más que un navegador de la Web en la estación de trabajo de la oficina. Poco después apareció un sistema operativo para varias plataformas que se sincronizaba con su televisor, su automóvil, su teléfono móvil y su grabadora de vídeo digital. Su facilidad de uso y acceso instantáneo pronto le animaron a usted a almacenar en servidores de terceros toda una vida en mensajes, medios, listas de compras, fotos, notas y libros.
Como muchos otros, usted confió la seguridad de sus datos a productores conocidos de nuevos SSOO y aplicaciones de la Web. Pero el volumen de información valiosa que ellos almacenan ha atraído a criminales organizados que se especializan en el robo de los datos en línea. Ellos siempre parecen encontrar la forma de evadir las últimas tecnologías de seguridad.
Usted puede comunicarle al funcionario principal encargado de la seguridad en su compañía acerca del correo electrónico donde se filtraba la noticia de la fusión y éste puede iniciar rápidamente una investigación encabezada por el FBI.
La buena noticia es que el FBI detendrá rápidamente a un miembro de bajo rango de la pandilla y el CTO de su compañía se dedicará inmediatamente a poner de nuevo dentro del cortafuego de la compañía los servicios de datos hospedados (el proveedor de software de colaboración Wiki JotSpot comenzó a ofrecer esta opción en 2006 para las firmas que no se confían en el hospedaje de terceros). La mala noticia es que las fotos de su fiesta universitaria pronto causarán sensación en el correo electrónico de la compañía.
Por qué podría suceder: “La mayor preocupación, que lo abarca todo desde el correo en la Web hasta búsquedas, hojas de cálculos y el Web OS, es qué porción de sus datos se encuentra en manos de otra persona y por tanto no es realmente suya”, dice Jon Callas, CTO de PGP Corporation. “Toda la información se encuentra en los servidores de otros. ¿Cómo sabe usted lo que está pasando? ¿Cuánto es suyo? ¿Cuánto puede usted copiar o borrar? Hay tantas cosas inseguras”.
Aun cuando una compañía como Google ofrezca una garantía férrea de que nunca va a mirar o vender sus datos, siempre existe el peligro de los piratas, de la curiosidad de los compañeros de trabajo o incluso las demandas civiles presentadas contra su compañía. Las leyes federales que cubren la privacidad ofrecen menos protección para los datos almacenados en un servidor de terceros que para los datos almacenados en una unidad de disco duro privada.
“Si [los investigadores del gobierno] necesitan una orden de registro para su casa pero no para su automóvil, entonces seguramente no la necesitan para revisar su correo de la Web”, dice Callas.
Conveniencia contra vigilancia
La situación: La policía ha llegado a la casa de usted en visita oficial, su bandeja de entrada está inundada de anuncios pornográficos y todo lo que usted hizo fue manejar hasta el centro comercial para comprar un regalo de aniversario. Bienvenido a la localización inalámbrica en el año 2020.
El sábado por la mañana, usted abordó su automóvil y enchufó su nuevo teléfono de Internet de alta velocidad. El teléfono bajó datos al mapa holográfico de tráfico en tiempo real del automóvil y le guió hasta el centro comercial por una ruta poco transitada. Para encontrar la joyería, usted bajó un mapa del centro comercial a su teléfono. Las instrucciones le hicieron pasar frente a una nueva tienda de lencería, así que decidió entrar durante unos segundos. Luego siguió hasta la joyería y en 15 minutos su compra estaba hecha.
Poco después, empezó a recibir mensajes de multimedios de tono casi obsceno que trataban de venderle juguetes sexuales. Ocurrió que mientras usted estaba en la tienda de lencería, el lector de datos de este comercio detectó su teléfono por medio de Bluetooth y compró automáticamente su información de contacto a unos agentes de datos comerciales. Ahora la afiliada de la tienda, que vende artículos para adultos, puede enviarle publicidad legalmente por medio del correo electrónico y alegar para ello una relación comercial ya establecida.
A continuación, dos agentes de la policía se presentan en su casa y explican que la ruta que siguió para llegar al centro comercial pasa por delante de una tienda de licores que fue asaltada aproximadamente en ese momento. El sospechoso se dio a la fuga en un automóvil blanco y los sensores de la carretera marcaron al suyo como uno de diez vehículos parecidos que transitaban por la zona.
Aunque la visita de los policías se limitó a preguntas de rutina y aunque usted podrá darse de baja fácilmente de la lista del vendedor de juguetes para adultos, sus dispositivos inalámbricos ahora parecen menos atractivos que antes. Ahora se da cuenta de que cuando los compró con sus servicios acompañantes, debería haber seleccionado las casillas de privacidad (requeridas por la que ley) que restringen o prohíben que sus datos confidenciales sean compartidos.
Por qué podría suceder: Su visita a la tienda de lencería pudiera permitir a los propietarios de la misma contactarle por correo electrónico. “Todas las leyes contra el correo indeseado, la propaganda por fax y las solicitudes de ventas por teléfóno tienen vías de escape para las relaciones comerciales ya establecidas”, dice Chris Hoofnagle, un experto en privacidad de la Escuela de Derecho de la Universidad de California–Berkeley. “Si usted simplemente conduce su automóvil por el estacionamiento de Sports Authority, la compañía podría argumentar que usted tiene una relación comercial con ellos”.
La tecnología para detectar la ubicación de un automóvil ya existe. Los sistemas de pago automático de peaje como E-ZPass equipan a los automóviles con emisores/receptores de RFID que pueden transmitir información sobre el vehículo, y en 2005 el Reino Unido comenzó a probar placas para vehículos equipadas con RFID. Por ahora, los sensores se limitan a recolectar datos anónimos, pero ¿qué sucederá si –siguiendo el espíritu de una ley como la de Amber Alert [contra el secuestro de menores en EE.UU.]– se permite que la policía acceda a los datos de un vehículo para investigar los crímenes violentos?
El lado oscuro de la biometría
La situación: Usted estaba tratando de hacer un buen negocio en la compra de una cámara de 20 megapíxeles. En vez de eso, terminó con su cuenta de banco vacía y un historial de crédito arruinado. La culpa fue de su tarjeta de débito biométrica, que aunque fue diseñada para impedir el robo de identidad permitió que un ladrón se hiciera pasar por usted.
Para el 2010, después de la desaparición de millones de números de tarjetas de crédito, las compañías financieras comenzaron a emitir tarjetas biometrías de crédito y de cheques, que requieren que la huella digital del usuario de la tarjeta (examinada por un lector de huellas digitales) concuerde con la huella digital del propietario de la cuenta (almacenada en la tarjeta). La tecnología aparentemente infalible tuvo una aceptación inmediata y en pocos años aparecieron nuevas PC equipadas con lectores de huellas digitales que permitían a los usuarios autorizar transacciones financieras en la Internet.
Cuando usted usó su tarjeta de cheques biométrica para comprar la cámara, envió su dirección IP, su número de tarjeta y su huella digital por la Internet al servidor de tarjetas de crédito. Pero su información fue interceptada y vendida en un boletín de mensajes. Ahora alguien ha limpiado su cuenta de cheques y usted no puede demostrar que no fue usted porque su huella digital está en todas las transacciones.
Tarde o temprano, el problema será resuelto a su favor. Pero, por ahora, tendrá que confiar en una forma de pago casi extinta: el efectivo.
Por qué podría suceder: “Es la situación clásica de “La computadora no puede equivocarse”, dice Callas de PGP. “Las oportunidades de que se inmiscuya un criminal son muy altas y el riesgo para la persona que tiene la tarjeta es enorme porque la gente tiende a creer lo que dice la biometría”.
-Ryan Singel es un escritor independiente radicado en San Francisco.