Hay un mantra de la nueva economía: “si algo es gratis, el producto eres tú”. Pero, ¿hasta qué punto estamos dispuestos a ceder nuestra privacidad por conveniencia? Y más importante aún, ¿cómo podemos navegar el ecosistema digital sin comprometer nuestra seguridad?
Los proveedores de servicios digitales. Ya sean gigantes tecnológicos o tres amigos en un coworking. Recolectan toda la información personal que pueden de sus usuarios en dispositivos digitales por medio de las “cookies”.
Lo hacen con el propósito de mejorar la experiencia del usuario. De este modo, las webs o apps inteligentes “saben” quién es el usuario que está navegando en ellas. Para así generar contenidos orgánicos o publicidad completamente personalizada en cada momento del día de cada persona. Estas inofensivas “galletitas” son minúsculos fragmentos de información. Las webs o las apps la almacenan en la memoria de los dispositivos tecnológicos durante un tiempo determinado que suele ser de tres meses.
A priori, son inofensivas y son fantásticas porque nos deberían ahorrar, entre otras muchas cosas, la clásica llamada a la hora de la siesta en agosto para convencernos de que cambiemos de operadora telefónica.
Sin embargo, la industria tecnológica ha decidido eliminarlas gradualmente porque las empresas y otra amalgama de actores, entre los que se encuentran los ciberdelincuentes, pueden acceder a una información extremadamente detallada sobre los hábitos de cualquier persona. Esto puede suponer una invasión de la privacidad o incluso un ciberriesgo importante.
El debate sobre la eliminación de las cookies comenzó cuando Google anunció que las eliminaría de su navegador, Chrome, para finales de 2022. A día de hoy, el gigante tecnológico no las ha eliminado y estipula que las cookies de terceros se eliminarán a finales de 2024.
Aun así, este cambio en la industria no afecta sólo Chrome, que es el navegador más utilizado del mundo. Otros como Safari de Apple y Firefox de Mozilla, ya han implementado restricciones estrictas para las cookies de terceros desde hace algún tiempo.
Motivos de ciberseguridad para eliminar las cookies
Lo que está claro es que las principales empresas de Internet llegaron a la conclusión de que las cookies entrañan ciertos riesgos. No sólo para la privacidad, sino también para la ciberseguridad de las personas. Si una empresa puede utilizarlas para rastrear la actividad de una persona en múltiples sitios web. Cualquiera que acceda a esa información detallada para explotarla con fines maliciosos.
Además, las cookies pueden usarse para colar malware en los dispositivos y llevar a cabo ataques como el secuestro de sesión. De este modo, si un ciberdelincuente accede a las cookies de sesión, puede usurpar la identidad del usuario y acceder a sus cuentas digitales como el correo electrónico o las redes sociales.
En tercer lugar, las cookies generan tanta información sobre las personas que, aunque es muy útil, el hecho de almacenarla ya supone un riesgo en sí mismo. Las conocidas “brechas de seguridad”, de las que tanto se suele hablar en los medios. No son más que la filtración de todos los datos personales de miles de usuarios. Aunque no están asignadas a personas en concreto, los hackers pueden capturar las cookies de sesión en redes no seguras y acceder a cuentas de redes sociales, como ocurrió en 2010, en el incidente conocido como “Firesheep“.
Nuevas tecnologías para eliminar las cookies. Mismos riesgos de seguridad
Por todo ello, la industria tecnológica no deja de explorar nuevas tecnologías. Para seguir personalizando la navegación web sin comprometer la privacidad y la ciberseguridad de las personas.
El sistema más conocido para ello es el método de aprendizaje federado de cohortes (FLoC) de Google y otras soluciones de “privacidad por diseño” que permiten la personalización y la publicidad dirigida sin necesidad de rastrear a los individuos a través de cookies.
Aprendizaje en el ‘edge’ y Fingerprinting
Sin embargo, este tipo de soluciones generan dudas en la industria porque, aunque, permiten que los anunciantes sirvan anuncios sin saber a quién se los están mostrando, el que sí almacena la información de cada usuario es el propio navegador de sus dispositivos.
A esta forma de tratar los datos se la conoce como “modelos de aprendizaje en el edge”. Por medio de inteligencia artificial, se puede entrenar a los los dispositivos de los usuarios sin que tengan que enviar sus datos personales a un servidor central o a una nube.
Sin embargo, desde hace algún tiempo hay que hacer “login” con la cuenta personal en todos los navegadores de todos nuestros dispositivos. Con lo que, finalmente, serían los navegadores quienes compartirían en cada sesión toda la información sobre la navegación de una persona. Parece evidente que las empresas dueñas de los navegadores controlarán demasiada información.
Este exceso de conocimiento sobre cómo navega cada individuo genera cierta preocupación en lo que respecta a la ciberseguridad, ya que esta forma de tratar los datos de las personas podría permitir nuevas formas más sofisticadas de fingerprinting.
Este término se refiere a la técnica que utilizan los hackers para aprovechar una combinación única de características y configuraciones de los dispositivos de los usuarios. Como la versión del sistema operativo, el tipo y versión del navegador, la resolución de pantalla, o las extensiones del navegador. Al recopilar y analizar toda esta información, es relativamente fácil crear “perfiles digitales” o cohortes para cada usuario o dispositivo.
La solución de la industria publicitaria tampoco parece segura
Otra de las principales propuestas de la industria para resolver el fin de las cookies es la iniciativa Unified ID 2.0. Liderada por la industria publicitaria, pretende crear un identificador abierto con los datos de los usuarios que han compartido explícitamente con los anunciantes. Así, pretenden crear un sistema transparente e interoperable que no dependa de un único proveedor.
Pero claro, esta solución también es susceptible de errores o abusos. Lo que podría llevar a violaciones de la privacidad igual de preocupantes que en los demás escenarios. Al estandarizar y centralizar todas las identificaciones digitales, se crearía un sistema extremadamente “goloso” para cualquier organización de cibercriminales que harían lo imposible por interceptar los identificadores unificados de todos los usuarios de internet.
Por tanto, si no se consigue una solución estándar para toda la industria, caeríamos en el riesgo de que cada proveedor desarrolle su propio sistema. Esto provocaría una falta de coherencia que haría aún más difícil supervisar y garantizar la seguridad de los datos personales.
La IA entreabre ‘puertas imposibles’ a los hackers
Y, sobre todo, hay que tener en cuenta que, a medida que se crean nuevas tecnologías, surge la necesidad de garantizar que estas herramientas sean seguras contra los ciberataques.
Uno de los principales problemas del Internet actual es que prácticamente todos los usuarios aceptamos la política de privacidad de las páginas web y apps que visitamos a diario. Esto hace que seamos realmente vulnerables a aceptar tratamientos indebidos de nuestros datos, ya que casi a diario recibimos actualizaciones de servicio que volvemos a aceptar sin, siquiera, mirarlas. En todos esos avances e innovaciones entran nuevas características tecnológicas como el reconocimiento facial, la voz y otras tecnologías biométricas que agregan otra capa de complejidad al debate sobre la privacidad.
Por lo general, prometen una mayor seguridad, pero el potencial para abusos y violaciones de la privacidad es enorme. “Sin ir más lejos, es realmente fácil activar un asistente de voz desde fuera de una casa para subir o bajar las persianas o para interferir en algún aparato electrónico que esté conectado a un enchufe inteligente”, destaca Hervé Lambert, Global Consumer operations Manager de Panda Security.
En este contexto, la inteligencia artificial es una moneda de doble cara. Por un lado, ofrece oportunidades para proporcionar una seguridad reforzada y experiencias de usuario personalizadas. Pero, por otro, es una herramienta casi ilimitada para que los ciberdelincuentes perfeccionen sus técnicas de ataque. Es decir, la IA es la “gasolina” que necesitan los hackers para colarse en nuestras vidas e incendiarlas.
En definitiva, mientras navegamos por este mundo digital interconectado, la clave reside en encontrar un equilibrio entre aprovechar las ventajas de la tecnología y proteger nuestra privacidad y seguridad. La tarea no es sencilla, pero es esencial para preservar nuestra integridad en el ciberespacio.
Un “gran hermano” que lo puede saber todo de sus ciudadanos
Por último, y aunque poco probable en el mundo occidental, está el riesgo de que gobiernos o entidades privadas para la vigilancia y el seguimiento de individuos le den un uso que pueda erosionar las libertades civiles. Sólo imaginemos si durante la pandemia, nos hubieran monitorizado facialmente en las ciudades para evitar que saliésemos de ellas. El fin sería bueno, evitar la propagación de una pandemia, pero la fórmula hubiera sido un atentado contra las Libertades básicas del ser humano.
Y, además, existe el riesgo de que los datos se utilicen de manera discriminatoria o para perfiles indebidos, especialmente si los sistemas no son precisos o justos para todos los grupos demográficos. Es decir, empresas o gobiernos que limitan el acceso o la comunicación con determinadas etnias o grupos sociales en función de su vestimenta o su “look”.
Por todo ello, la idea de un futuro al estilo de “Minority Report”, donde la publicidad personalizada se sirve basada en el reconocimiento facial, no es descabellada.
Publicidad a medida: coming soon
Ya existen tecnologías capaces de identificar individuos en espacios públicos y personalizar anuncios en tiempo real. Sin embargo, la implementación a gran escala de esos sistemas todavía no es posible, porque todavía no tenemos tanta capacidad de computación ni en la nube ni en el edge computing.
“En definitiva, el fin de las cookies no parece la solución definitiva a la privacidad de las personas. Tampoco parece una medida con la que todos los actores que forman parte del universo digital estén cómodos. Para que realmente haya un tratamiento correcto de la información de los usuarios es imprescindible un debate sosegado entre todos los agentes que formamos parte de la industria tecnológica, comenzando por las empresas, pasando por los usuarios y, sobre todo, con un acuerdo entre todos los reguladores públicos del mundo”, apostilla Hervé Lambert.