Técnicas del cibercrimen como modelo de negocio en la industria

De una parte hasta aquí estoy viendo cómo los límites entre lo que podemos considerar ético y legal y lo que claramente se salta esta barrera, cada vez están más difusos.

Es algo, de hecho, de lo que ya hemos hablado. Los tiempos cambian, y lo que antes considerábamos inaceptable, pasa a serlo.

Lo he vivido en mis propias carnes. Si al Pablo de hace unos ¿cinco años? le hubiéramos dicho que tendría subidos a un servicio online pseudo-privado todas las fotos que saca desde su móvil (Google Photos), seguramente nos hubiera mandado a la mierda. Máxime a sabiendas de  lo que podría llegar a suponer en el futuro  un escenario semejante.

Si a ese mismo Pablo le hubiésemos dicho que en la actualidad, y por la conveniencia de poder trabajar desde cualquier lugar, tendría la amplia mayoría de documentos de trabajo subidos a un servicio de almacenamiento en la nube (Dropbox, Google Drive…), hubiera pasado  más de lo mismo .

Pero esa es la realidad del día a día. Los límites se difuminan, y con ellos, unido a la esperable evolución en materia de privacidad y seguridad de todo el ecosistema tecnológico (aunque haya aún mucho trabajo que hacer, lo cierto es que el panorama de seguridad digital actual está a años luz de lo que teníamos apenas hace unos años), la ideosincrasia de la comunidad. Esa terna usabilidad/seguridad/privacidad de la que ya hemos hablado en más de una ocasión, y que tiende con el tiempo, y como cabría esperar, a posicionarse de parte del usuario en el primero de los criterios, en detrimento del resto.

Ahora bien, una cosa es esa y otra es aceptar cualquier medida de la industria. Algo que a todas luces están intentando llevar a cabo con el tratamiento masivo de datos con fines puramente comerciales.

Del checkbox al spyware

Lo vemos siempre que utilizamos un nuevo producto o servicio. Si navegamos hasta el menú de Ajustes, lo normal es que por algún lado encontremos una opción para aceptar que X compañía pueda utilizar la información obtenida de las acciones del usuario para sus propios intereses.

Cada una a su manera, y generalmente tirando hacia a la anonimización de los datos. Lo que de verdad interesa actualmente no es saber que Pablo ha hecho esto, sino que un usuario de 31 años, con un nivel adquisitivo medio, y un historial de acciones X, lo ha hecho.

El nombre, ergo, la identificación individual del usuario, carece cada vez más de valor en favor del profiling. A mejor profiling, mejor segmentación, y por ende, mejores campañas podremos hacer.

Una funcionalidad que de base suele venir activa, y que la GDPR europea está obligando a desmarcar por defecto.

Algo que, nuevamente, entiendo que es asumible. Cada usuario tiene la potestad de elegir si prefiere, por ejemplo, que la publicidad que la va a mostrar X servicio esté o no enfocada a sus intereses. Si dice que si, está permitiendo que se haga un profiling más intensivo de sus acciones, pero a cambio debería recibir impactos publicitarios acordes a sus intereses, lo que en la práctica debería ofrecerle una mejor experiencia de usuario.

Y lo mismo compete con el resto de servicios digitales:

No podemos esperar que Assistant de Google nos alerte media hora antes de que tenemos que salir de casa para coger ese vuelo ya que hay atasco en la M-30, si en efecto no aceptamos que pueda leer los metadatos del email de Ryanair donde está la información de vuelo, saber dónde vivimos y consultar el resto de información en tiempo real que están ofreciendo los millones de usuarios de Google Maps para darse cuenta del atasco y alertarnos.

¿Que preferimos que estos servicios sigan sin explotar nuestra información? No hay ningún problema, pero hay que ser conscientes de que, por dicha decisión, perderemos parte del atractivo que tienen a nivel de usabilidad.

El problema, no obstante, surge cuando pasamos de algo que en mayor o menor medida está informado dentro del propio servicio, a algo que se hace a escondidas, rezando para que nadie se de cuenta.

Y lamentablemente cada vez me encuentro más con situaciones de este tipo. Hace un par de añitos fue muy sonado el caso de AVG, este popular antivirus gratuito, que decidió un buen día incluir dentro de una suite de seguridad un servicio que les permitía tracear todo lo que el usuario hacía.

Y el mes pasado vivimos una situación semejante con Red Shell (EN), una herramienta disponible en cerca de una veintena de videojuegos de Steam, unos cuantos de ellos grandes títulos del año, y que ofrece a los desarrolladores una suerte de tracking de usuarios fuera de la propia plataforma.

En ambos casos la idea era hasta cierto punto loable: Saber cómo se comportaban los usuarios con el fin de optimizar el servicio y/o las campañas publicitarias. Y para ello se encarga de seguir sistemáticamente al usuario en base al historial de búsquedas, intentando conocer qué impactos (vídeos vistos en Youtube, publicidad in-web, artículos patrocinados y/o reviews) le llevaron a hacer la compra de dicho título.

El problema está, como decía, en que esto se ha estado haciendo sin pedir permiso al usuario. Al instalar el juego, con él venía la herramienta. Y también, por supuesto, que a fin de cuentas, y aunque le quieran poner el nombre que quieran, Red Shell o el propio AVG no eran más que un spyware que curiosamente no era reconocido como tal por el resto de suites de seguridad.

Seguir leyendo...