Así te espían las apps desde tu móvil

Hoy, Día Internacional de la Seguridad en Internet, analizamos hasta qué punto el micrófono de tu teléfono móvil o la inmensa huella que deja tras de sí tu actividad digital se han convertido en el aliado perfecto para rastrear cada uno de tus movimientosmartes, 11 de febrero de 2020

Por Cristina Crespo Garay, National Geographic

Imagina salir un día a caminar por la calle y tropezar de repente con uno de esos vendedores ambulantes que, de pronto, está vendiendo una fotografía de tu hijo enmarcada en un precioso tallado de madera. Sin dar crédito, sentirías tu privacidad gravemente vulnerada y pensarías, desconcertado: “¿Quién va a comprar esto?”.

Esta situación, digitalmente hablando, ocurre en realidad a diario. ¿Te suena haber comentado recientemente con algún amigo cómo tras esa conversación sobre las nuevas zapatillas que ibas a comprarte, decenas de anuncios copaban de pronto tus redes sociales? ¿Te has preguntado por qué cada vez más aplicaciones o teléfonos móviles permiten activar el patrón oscuro en la configuración de sus diseños?

Hoy, Día Internacional de la Seguridad en Internet, este continúa siendo uno de los temas más candentes de la intromisión de la tecnología en todos los ámbitos de nuestras vidas. Conocer quién eres, dónde estás, lo que te gusta o quiénes son tus amigos y familiares es el objetivo de cualquier aplicación móvil que rastree tus datos para su posterior análisis y utilización en el mercado del marketing y la publicidad.

Más allá de tu nombre, dirección, contactos o email, estas empresas conocen muy de cerca tu perfil, las palabras que más utilizas al expresarte, tu consumo en internet, los lugares a los que vas, las rutas por las que te mueves, tu forma de transporte o tus métodos de pago. Incluso, esa fotografía selfie que te hiciste y posteriormente borraste, sin siquiera subirla a ninguna red social, queda grabada en la gran retina digital como parte del perfil con el que te definen.

La inmensa huella que tu actividad digital deja tras de sí sobre tus preferencias - ya sean políticas, sexuales, laborales, de ocio, etc.- es continuamente almacenada y rastreada por los gigantes del marketing, que a día de hoy han convertido esta estrategia en el centro de su poder, aprovechando el vacío legal que a veces deja la vertiginosa velocidad de los cambios tecnológicos.

No solo clasifican tus anuncios o escuchan tus conversaciones para conocer tus intereses, los gigantes digitales también leen, escuchan y analizan tu actividad para conocer el momento en el que estarás más receptivo o vulnerable a sus impactos.

El estudio Engañados por el diseño: Cómo las compañías tecnológicas usan ‘patrones oscuros’ para desalentarnos de ejercer nuestros derechos a la privacidad, del Consejo de Consumidores de Noruega, alertó en 2018 que las apps incluyen también funciones de seguimiento de las ubicaciones GPS, las direcciones IP o incluso datos como el periodo del ciclo menstrual, y los compartían con hasta 135 empresas relacionadas con la publicidad.

En el filo de la legalidad, “este intercambio de datos se describe en las políticas de las apps, aunque jugando con la ventaja de que los complejos textos y el diseño hacen poco probable que nadie las lea”, afirma el estudio.

Un espejismo digital

La startup Lyrebird, ave lira en español, ha desarrollado un sistema que es capaz de imitar y reproducir la voz de una persona con gran precisión. El escándalo llegó cuando subió a la red una conversación totalmente falsa entre Barack Obama y Donald Trump. Por su parte, otras aplicaciones como Fake Chat permiten crear una conversación con otra persona completamente inventada por ti mismo, provocando la ilusión de estar hablando con alguien a tiempo real.

Las posibilidades potenciales de internet para crear una realidad paralela son infinitas e incluso inimaginables a día de hoy. La capacidad punitiva de la ley frente a los excesos no está suficientemente desarrollada para protegernos, por lo que la utilización de nuestros datos depende de la autorregulación de las grandes plataformas, o de nuestra elección de salir de ellas. Sin embargo, que tu huella escape de Google a día de hoy es prácticamente imposible.

Muchos usuarios tratan de borrar esta huella utilizando el modo incógnito de sus dispositivos. Sin embargo, este modo está muy lejos de la privacidad o el anonimato: tan solo evitará que tú mismo tengas tus propios datos. “El modo incógnito no oculta la navegación a su jefe, a su proveedor de servicios de Internet o a los sites que visita”, afirmó Google sobre Chrome. Es decir, ese navegador oscuro con sombrerito y gafas evita que el historial y otros datos de la búsqueda se guarden en tu propio dispositivo, pero continúan siendo un libro abierto para nuestro proveedor de servicios o la compañía del navegador.

Escándalos digitales

El pasado 4 de febrero, la Agencia de Protección de Datos de Irlanda anunció que están iniciando una investigación sobre cómo Google está rastreando a sus usuarios, más de dos millones según las cifras que anunció en 2018. Mientras, el gigante digital de Zuckerberg acumula más de 2.200 millones de usuarios entre las aplicaciones de Facebook, Whatsapp e Instagram.

Lejos de estar debidamente controlado por la legislación, a menudo son las investigaciones periodísticas las que colocan la presión del foco de la opinión pública para tratar de poner límites éticos al poder y la capacidad de estas empresas.

Así sucedió en el escándalo de Cambridge Analytica, en el que las acciones de Facebook cayeron un 7% tras la publicación de que la consultora adquirió información de 50 millones de usuarios de la red social en Estados Unidos. Según publicó el New York Times, estos datos fueron posteriormente utilizados para manipular psicológicamente a los votantes en las elecciones de Estados Unidos de 2016, en las que ganó Donald Trump.

Por primera vez en la historia de la Unión Europea, cuando el gigante de Zuckerberg compró la app de mensajería instantánea WhatsApp, tuvo que hacer frente a una multa de más de 120 millones de dólares por presentar información engañosa ante la Comisión Europea durante el proceso de fusión.

En este sentido, la responsabilidad de estas tecnologías masivas no radica únicamente en su utilización de los datos que acumula sobre los usuarios, sino también – quizá incluso en mayor medida - sobre lo que provoca el agregado de los cientos de miles de datos que se publican en sus plataformas, donde entran en juego los más de 50 millones de bots que existen, es decir, cuentas falsas cuyo objetivo es lograr una difusión masiva automatizada y que interfieren en gran medida en el comportamiento general de los usuarios dentro y fuera de las redes sociales.

¿Privacidad por defecto?

Muchas de las aplicaciones que utilizamos en nuestro día a día cruzan la línea de lo que, fuera del mundo internauta, consideraríamos una grave vulneración de nuestro derecho a la privacidad y la protección de datos. Sin embargo, la gran mayoría de usuarios jamás miran, y mucho menos cambian, las configuraciones que vienen por defecto en las aplicaciones o las webs que visitan, ventaja con la que ya de por sí se desmarcan las empresas desde antes de pisar la casilla de salida.

En este escenario entra en juego además la falta de conocimiento del nivel de exposición al que nos enfrentamos y lo que esto puede llegar a acarrear. El costo real de lo que implica la cesión de datos personales es difícil de comprender cuando se pide a un usuario que lo intercambie, por ejemplo, por un beneficio financiero a corto plazo, como un descuento. Aún más cuando se desconoce para qué van a ser utilizados esos datos.

Un estudio de la UIE registró con un experimento que el 95% de los usuarios no modifica nunca las opciones que vienen por defecto. Del 5% de encuestados restantes, curiosamente aquellas personas etiquetados como programadores y diseñadores habían llegado a cambiar hasta un 80% de las preferencias.

Llevado al extremo, el estudio ¿Los valores predeterminados salvan vidas? demostró cómo las políticas de donantes de órganos que hacen que los ciudadanos sean donantes de órganos por defecto – es decir, cuando estas hacen que la persona deba optar específicamente por no participar, en lugar de marcar la casilla de participar-, aumentó considerablemente el número de donantes de órganos.

“Todos los servicios empujan a los usuarios a aceptar la recopilación de datos mediante una combinación de posicionamiento y señales visuales”, afirma el Consejo de Consumidores de Noruega. “Sin embargo, Facebook y Google van más allá al requerir una cantidad significativamente mayor de pasos para limitar la recopilación de datos”.

Las opciones, por tanto, están diseñadas y redactadas para dirigir o incluso obligar a los usuarios a tomar ciertas decisiones, omitiendo o minimizando la información clave. “Además, Facebook y Google amenazan a los usuarios con la pérdida de funcionalidad o la eliminación de la cuenta de usuario si el usuario no elige la opción intrusiva de privacidad”, denuncia el estudio.

Diseñando para manipular

Entre otros intentos poco éticos de empujar al consumidor hacia elecciones que benefician a la empresa proveedora del servicio, empresas como Facebook o Google utilizan el diseño de la interfaz de las aplicaciones para crear confusión y que aceptes términos que de otra manera no pasarían desapercibidos.

En esta línea, el informe del Consejo de Consumidores de Noruega analiza cómo “las configuraciones predeterminadas y los patrones oscuros, las técnicas y las características del diseño de interfaz destinadas a manipular a los usuarios, se utilizan para empujar a los usuarios hacia opciones intrusivas de privacidad”, utilizando los datos obtenidos de un análisis de las configuraciones de Google, Facebook y Windows 10.

“Los hallazgos incluyen configuraciones predeterminadas intrusivas de privacidad, redacción engañosa, dar a los usuarios una ilusión de control, ocultar opciones amigables con la privacidad, opciones tómalo o déjalo y arquitecturas de elección donde elegir la opción amigable con la privacidad requiere más esfuerzo para usuarios”, explican los autores del estudio.

“Cuando los servicios digitales emplean patrones oscuros para empujar a los usuarios a compartir más datos personales, el incentivo financiero tiene prioridad sobre el respeto del derecho a elegir de los usuarios”, denuncian.

Cuanto más compartes

Otra de las conclusiones del estudio fue que, al mismo tiempo, son numerosas las tácticas que estas empresas utilizan para empujar a los consumidores a compartir la mayor cantidad de datos posible. En la era de Internet, muchos de los servicios digitales que nos rodean son a menudo la acumulación, el análisis y la utilización de los valiosos datos de perfil y comportamiento que ofrecemos como usuarios, es decir, la monetización de nuestros datos más personales.

Por tanto, el éxito de estos servicios depende en gran medida de que los usuarios compartan la mayor cantidad de datos posible sobre sí mismos, tanto para generar beneficios a través de la publicidad dirigida, como para personalizar los servicios.

Casi sin saberlo, hemos creado un modelo de negocio en el que los usuarios pagamos con nuestros datos personales, aunque no tengamos siquiera conocimiento sobre cómo son utilizados o las consecuencias que esta recopilación podrá tener pasado el tiempo.

Por ejemplo, cuando salió a la luz la famosa aplicación de citas Tinder, sus términos y condiciones incluían el derecho a obtener cientos de fotografías y datos de la cuenta de Facebook del usuario. Sin siquiera sospecharlo, miles y miles de usuarios compartieron con Tinder decenas de fotografías de sus amigos y familiares. En marzo de 2017, debido a la presión del Consejo de Consumidores de Noruega, la app de citas anunció cambios exhaustivos en sus términos.

La ilusión del control

“El concepto de ‘empuje’ proviene de los campos de la economía del comportamiento y la psicología, y describe cómo los usuarios pueden ser guiados a tomar ciertas decisiones apelando a sesgos psicológicos”, explica el estudio. “En lugar de tomar decisiones basadas en la racionalidad, los individuos tienden a verse influenciados por una variedad de sesgos cognitivos, a menudo sin darse cuenta de ello”.

Entre estos sesgos, por ejemplo, se sabe que las personas tenemos tendencia a escoger recompensas más pequeñas a corto plazo aunque sea en detrimento de mayores ganancias a largo plazo, así como preferimos opciones e información que confirmen nuestras creencias preexistentes.

Se trata de las técnicas publicitarias elevadas al máximo exponente al conocer detalles de la persona de los que no es siquiera consciente. Por tanto, los diseñadores de interfaces que conocen estos sesgos utilizan este conocimiento para hacer que  los usuarios se inclinen a tomar decisiones concretas.

Más allá de datos  como la ubicación, el color de las interfaces o de cómo esté redactado el texto, existen intervenciones más directas, como presionar a los usuarios al afirmar que el producto o servicio que están buscando está a punto de agotarse o subir los precios de una búsqueda que has realizado en numerosas ocasiones.

Como parte de estos sesgos, Facebook le da al usuario una impresión de control sobre el uso de sus datos a la hora de mostrar anuncios, “mientras que el control es mucho más limitado de lo que parece inicialmente”, alerta el informe. En esta línea, el Washington Post publicó un artículo titulado No, Mark Zuckerberg, no tenemos realmente el control de nuestros datos, donde denunciaban que el CEO nunca ha explicado qué datos recopila ni qué hace con ellos.

En este sentido, el panel de privacidad de Google promete permitir que se eliminen fácilmente los datos de usuario, pero el panel resulta ser un auténtico laberinto que trata de determinar la acción del usuario.

¿Qué hay de la ley?

El Convenio Europeo de Derechos Humanos y el Reglamento General Europeo de Protección de Datos (RGPD), reforzado en mayo del 2018, forman el marco legal que debería proteger a los usuarios. Los autores del estudio se preguntan si este modus operandi “está de acuerdo con los principios de protección de datos por defecto y la protección de datos por diseño, y si el consentimiento otorgado en estas circunstancias puede decirse que es explícito, informado y otorgado libremente”.

El principio de limitación del propósito implica que los datos personales deben recopilarse con un propósito claro y no usarse para más fines, así como eliminarse cuando ya esté cumplido el objetivo. El principio de minimización establece también que estos datos deben contemplarse en la cantidad mínima necesaria. Además, el principio de transparencia se traduce en que los usuarios deben recibir una explicación, de manera clara y comprensible, de qué datos están recopilando y con qué fin.

La RGPD plantea además que el diseño de los servicios debe ir acorde a estos principios, por lo que la protección de datos debe ir de la mano del diseño de la configuración por defecto. Por ejemplo, “el reconocimiento facial implica el procesamiento de datos biométricos, que se considera una categoría especial de datos personales bajo el RGPD, y requiere un consentimiento explícito y separado para ser procesados”, aseguran los autores del informe.

La costumbre ha amortiguado el impacto que en realidad tiene el hecho de que, al utilizar aplicaciones, necesitemos renunciar a la privacidad, aceptar que la aplicación te rastree y vigile tu comportamiento, incluso a través de otras apps cuando no está en uso, así como que tus datos puedan revenderse o que estos términos puedan cambiar sin previo aviso.

A las puertas de que internet continúe revolucionando nuestras vidas a un ritmo vertiginoso y de que salgan a la luz proyectos como el que Facebook está desarrollando sobre la criptomoneda digital Calibra, el uso de nuestros datos se vuelve cada día una amenaza en más y más ámbitos.  

A día de hoy, los expertos afirman que tan solo puedes paliar mínimamente el seguimiento con pequeñas acciones como limpiar el historial, no aceptar cookies de terceros o desactivar el acceso a la ubicación de tu navegador. Mientras los proveedores de servicios empleen “tácticas de diseño para empujar o manipular a los consumidores para que den su consentimiento para compartir datos personales”, explica el informe, esto será incompatible “con la noción de consentimiento ‘otorgado libremente’".

Seguir leyendo