¿Su regalo de Navidad le está espiando? Cómo evaluar los riesgos de privacidad

Comprar un regalo navideño es un poco arriesgado, y no solo porque pueda ser inadecuado o no deseado. Gracias a la llegada de productos y servicios interconectados e “inteligentes”, su regalo puede representar una amenaza para la privacidad de un amigo o un ser querido.

Los juguetes y dispositivos interactivos suelen recopilar una gran cantidad de datos sobre sus usuarios y su entorno. Los fabricantes de dispositivos pueden convertir la información en dólares vendiéndola a los anunciantes o a los corredores de datos. E incluso los fabricantes que se comprometen a no compartir nunca lo que recopilan no pueden garantizar que los piratas informáticos no se apropien de los datos de todos modos.

Se podría pensar que los residentes de California no tenemos que preocuparnos por esto, ya que en 2020 votamos para adoptar las protecciones de datos más amplias del país. Pero esas protecciones solo se aplican a los sitios web, no a los dispositivos de su hogar, su automóvil o su bolso.

Jen Caltrider, autora principal de la guía Privacy Not Included de la Fundación Mozilla, afirma que los problemas de privacidad que plantean los dispositivos inteligentes van desde la molestia de los anuncios dirigidos que lo siguen en la web hasta la amenaza física de que alguien lo acose con la ayuda de un etiquetador Bluetooth mal diseñado. También existe la posibilidad de que una débil seguridad de datos por parte del fabricante permita a los delincuentes robar su información personal o piratear el flujo de información que se envía desde y hacia el dispositivo.

Al señalar que incluso las compañías más grandes tienen un historial de filtraciones de datos, Caltrider dijo: “Es inevitable que los datos se filtren... Cualquier cosa que esté junto a Internet no es segura”.

Por supuesto, esa es la perspectiva de alguien que se pasa los días de trabajo leyendo políticas de privacidad y reflexionando sobre los peores escenarios en aras de una guía anual de riesgos para la privacidad. Otros pueden pensar que la comodidad que ofrecen los productos inteligentes compensa la posible pérdida de privacidad si las cosas salen mal. Cada uno encuentra su propio equilibrio.

Aun así, conviene tener en cuenta aspectos como las conexiones Wi-Fi, las prácticas de recopilación de datos y las capacidades de grabación de los artículos que incluya en sus listas de compras navideñas. Aquí hay algunas preguntas que debe hacerse, basadas en las sugerencias de Caltrider y otros expertos en privacidad de la Electronic Frontier Foundation (EFF, por sus siglas en inglés) y Consumer Reports.

¿El dispositivo se conecta a Internet?

Un buen punto de partida es preguntar si el regalo que está considerando tiene la capacidad de conectarse a Internet o a una red doméstica. Si no lo hace, eso elimina un gran número de posibles problemas de privacidad, dijo Jason Kelley, director asociado de estrategia digital en el equipo de activismo de la EFF.

Sin embargo, si se convierte un dispositivo inteligente en uno tonto, se pueden perder funciones cruciales. Así que la siguiente pregunta que debe hacerse es: ¿Son esenciales las funciones habilitadas para la web? Su respuesta podría ser diferente a la que le ofrezca su hermana, su tío, su sobrina o quien sea que tenga en mente para este regalo.

Pensemos en el caso de una cerradura inteligente para la puerta de casa. Se podría pensar que una cerradura para la puerta principal que se pueda abrir desde lejos con una aplicación, para permitir que los paquetes se entreguen dentro de la casa en lugar de dejarlos en el porche, o para que un vecino pueda regar las plantas de la casa mientras usted está en el Gran Cañón, es un gran avance. Su hermana podría pensar que es una flexión tecnológica inútil y arriesgada. Puede que le guste la idea de un cerrojo que se pueda desbloquear sin una llave, pero solo si se basa en una huella dactilar o en una aplicación Bluetooth, no en un portal web al que se pueda acceder a un continente de distancia.

La regla general de Kelley: no compre algo con la palabra “inteligente” en el nombre a menos que ese sea el objetivo.

¿El dispositivo tiene una cámara, un micrófono u otros sensores?

Los dispositivos conectados a Internet que pueden ver y oír conllevan el riesgo de que puedan espiar a sus propietarios. Esa amenaza fue una de las razones por las que Mattel descontinuó su muñeca interactiva “Hello Barbie” poco después de su lanzamiento en 2015, a raíz de las protestas de los investigadores de seguridad y los defensores de los consumidores.

No obstante, los equipos de grabación de audio, video y biometría pueden ser esenciales para el funcionamiento del dispositivo. Un robot aspirador, por ejemplo, no sería de gran ayuda si no pudiera orientarse en una habitación. (Aunque eso no justifica necesariamente una conexión Wi-Fi). Lo mismo ocurre con un rastreador de actividad física que no puede detectar su ritmo cardíaco y su ubicación.

Otra razón por la que un dispositivo puede tener ojos y oídos digitales es para facilitar su uso, como en el caso de los televisores, equipos de música y asistentes personales digitales controlados por voz (piense en Alexa de Amazon). Estos aparatos escuchan todo lo que dice, a la espera de una orden que han sido programados para reconocer. Y una vez que la mayoría de estos dispositivos escuchan una orden, envían una grabación de su voz a Internet para ser analizada (a veces por terceros), lo que plantea una serie de problemas de privacidad.

Por eso conviene que el dispositivo tenga un indicador que muestre cuándo está grabando, dijo Yael Grauer, periodista de investigación de Consumer Reports. Porque a veces un dispositivo cree que escucha una orden y empieza a grabar, potencialmente capturando información personal confidencial a escondidas (y, en un incidente notorio, compartiendo la grabación con otra familia).

Otras características en las que hay que fijarse, según los expertos en privacidad, son si el dispositivo almacena sus grabaciones internamente en lugar de enviarlas a la nube, donde existe un mayor riesgo de filtración de datos y uso indebido; si las grabaciones almacenadas en la nube pueden ser eliminadas fácilmente por el usuario en cualquier momento, y si se eliminan automáticamente después de un determinado período; y si la empresa aumenta la seguridad encriptando las grabaciones y los datos que almacena.

¿Cuánta información se recopila?

Lamentablemente, las respuestas a muchas preguntas clave sobre un posible regalo no se encuentran en el embalaje. En su lugar, tendrá que leer la política de privacidad de la compañía.

Una vez allí, hay que comprobar cuántos datos personales recopila el dispositivo, en particular, si recopila más información de la necesaria para respaldar el uso previsto del dispositivo, y si esos datos se comparten con terceros.

Caltrider señaló algunas señales de alarma: si la política de privacidad es “muy larga”, dijo, busque un producto diferente. Si dice que “pueden vender sus datos a terceros”, busque un producto diferente. Y si dice que “comparten su información con muchos otros”, busque un producto diferente.

Las empresas también recopilan datos personales con el pretexto de registrar los productos. “Es muy probable que algunas compañías también vendan esa información”, expuso Kelley, y señaló la frecuencia con la que los formularios de registro preguntan sobre su ocupación y nivel de ingresos. El registro puede ayudarlo a estar al tanto de las actualizaciones de software, pero en California no es necesario registrar un producto para activar la garantía.

¿Qué ocurre con los datos?

El sector de la electrónica de consumo suele tener unos márgenes muy estrechos, una competencia feroz y unos precios que bajan rápidamente. Eso puede explicar por qué algunos fabricantes de dispositivos recopilan información sobre los usuarios solo para poder venderla.

Así que antes de que le regale a su tía un dispositivo Roku para que conecte su televisor a una gran cantidad de programación en línea, considere que Roku se ha declarado una compañía de publicidad dirigida, no solo un fabricante de dispositivos. Recopila registros detallados de lo que sus clientes ven y hacen en sus televisores, y luego vende esa información a los especialistas en mercadotecnia para que puedan orientar sus propuestas con mayor precisión, pudiendo mostrar a su tía ofertas diferentes de las que le muestran a usted. Mozilla denominó al dispositivo Roku “el vecino entrometido y chismoso de los dispositivos conectados”.

Roku es solo una de las muchas empresas del ámbito del video en streaming que están obteniendo ganancias con la información personal de sus clientes. Un informe realizado este año por Common Sense Media examinó cinco dispositivos de streaming y diez servicios de streaming; todos, excepto los de Apple, permitían a terceros rastrear los hábitos de visualización de los usuarios (algunos también lo hacían ellos mismos) y monetizaban los datos mediante anuncios dirigidos.

Una vez más, la mejor manera de conocer las ventas de datos de un fabricante de dispositivos es leer su política de privacidad, e incluso eso puede ofrecer solo una vaga imagen de adónde irán a parar los datos de un usuario. Una alternativa más sencilla sería buscar en línea artículos de noticias sobre el modelo comercial de la empresa y las quejas de privacidad. Los fabricantes que cotizan en bolsa, como Roku, dicen a los analistas cuáles son exactamente sus planes para obtener ganancias de la información personal de sus clientes.

¿Quién podría utilizar este regalo?

Al igual que el destinatario de su regalo puede estar más o menos preocupado que usted por la privacidad, también puede ser notablemente más o menos experto en tecnología que usted.

Muchos dispositivos permiten a los usuarios ajustar la configuración para reducir la cantidad de información personal recopilada, cambiar el lugar de almacenamiento de las grabaciones y optar por no recibir un flujo interminable de correos electrónicos o anuncios de mercadotecnia no solicitados. Con los dispositivos que utilizan la tecnología del asistente personal Alexa de Amazon, por ejemplo, se puede reducir la cantidad de información que se envía a los servidores de Amazon. Pero Grauer dijo que hay que preguntarse si la persona a la que se le va a comprar el regalo tiene el tiempo, la inclinación y la capacidad de hacer esos ajustes.

Otra cuestión es si el regalo podría compartirse con niños, exponiéndolos inadvertidamente a riesgos de privacidad. Un dispositivo inteligente, un videojuego o una aplicación con una red social incorporada para chatear y compartir contenidos generados por el usuario puede estar perfectamente bien para los adultos, pero plantea todo tipo de problemas cuando se trata de niños. Véase, por ejemplo, el acuerdo alcanzado este año por la Comisión Federal de Comercio con los creadores de Recolor, un libro de colorear en línea para dispositivos móviles que le permite compartir sus creaciones, junto con fotos suyas y otras imágenes, con la comunidad Recolor.

Más recursos para juzgar los riesgos de privacidad

Si desea profundizar en cómo saber si un posible regalo viene con riesgos de privacidad ocultos, aquí tiene tres fuentes que vale la pena consultar:

• The Digital Standard es un esfuerzo abierto, basado en la comunidad, para definir las mejores prácticas de la industria en materia de privacidad, seguridad y otros aspectos fundamentales de los dispositivos y servicios conectados. Su sitio web incluye un marco para evaluar las amenazas a la privacidad.
  
• El sitio web de la Fundación Mozilla expone las métricas que utiliza para juzgar los dispositivos y servicios cada año para su guía Privacy Not Included.
  
• YourThings, un sitio web que califica los dispositivos conectados según sus puntos fuertes y débiles en materia de ciberseguridad, publica también su metodología en su sitio web. Existe una estrecha relación entre la seguridad y la privacidad; cuando se trata de información personal almacenada en un dispositivo, su privacidad depende de la capacidad del dispositivo para mantener sus secretos a salvo de los intrusos.

Si quiere leer este artículo en inglés, haga clic aquí