La privacidad es, o debería ser, un derecho humano fundamental. En la actualidad, lo que los usuarios finales entienden por el término se asocia hacia privacidad de los datos o la información. Esta desviación hace cada vez más compleja la posición de mantener la deseable neutralidad de la información. Por un lado, hay entusiastas de la privacidad que se basan en la tecnología y que apuntan a no dejar ningún tipo de huella digital en ninguna parte, y por el otro lado, en la vida real la gran mayoría de los usuarios deja una huella en todos lados, dándole a los cibercriminales un panorama repleto de información sensible.

La información está llevando adelante la siguiente revolución en tecnología y está alimetando a la mayoría de los sistemas de inteligencia artificial (IA) que se están construyendo. Las cuestiones son: cuando información sensible ingresa en uno de estos sistemas, ¿cuántos procesos de decisiones ejecutados por máquinas serán capaces de asegurar el derecho a borrar y a olvidar? y ¿las compañías que recolectan estos datos serán capaces de entender dónde y cómo está siendo utilizada por estos sistemas de AI?

Mientras que la gran mayoría de los usuarios entiende que le está dando su información a las redes sociales o a compañías a través de formularos y aplicaciones, existen muchos otros proveedores y servicios cuya recolección de información no es tan transparente.

Software y servicios gratuitos

Mientras que los consumidores esperan poder disfrutar de software sin costo alguno, o a uno muy bajo, algunos vendors han tomado la decisión de ingresar al negocio de la recolección de información. Los proveedores de software gratuito solo tienen unos pocos métodos por los cuales monetizar sus productos y el menos intrusivo, al menos desde la perspectiva de lo que el usuario puede ver, puede ser la recolección y venta de información a terceros.

El año pasado hemos visto cómo vendors de seguridad conocidos han decidido ofrecer productos antivirus gratuitos. Mientras que no han declarado abiertamente sus intenciones sobre cómo la monetización de sus ahora productos gratuitos funcionará, esperamos que a futuro habrán algunos métodos de monetización indirectos como la recolección de datos.

EL SOFTWARE GRATUITO O DE BAJO COSTO SEGUIRÁ SIENDO UNA TENDENCIA DURANTE 2018

La tendencia a ofrecer productos antimalware gratuitos y la probable monetización de los mismos a través de medios indirectos parece haberse acelerado luego de que Microsoft comenzara a ofrecer Windows Defender Antivirus como una opción gratuita por defecto. Naturalmente, como un porcentaje de los usuarios cambiaron a la opción por defecto de Microsoft, existen menos oportunidades para los vendors existentes para vender su software, y de aquí el apetito por monetización alternativa a través de la oferta del propio software de manera gratuita en lugar de la competencia directa.

El software de ciberseguridad gratuito o de bajo costo continuará como tendencia durante este año. Esto incrementará los riesgos asociados a la privacidad de los datos, ya que el software gratuito carece usualmente de métodos de monetización tradicionales, y en su lugar, introducen complejos términos y condiciones que en parte están diseñadas como un oscuro intento de ocultar qué información está siendo recolectada y su posibilidad de ser vendida. Esto se evidencia por la gran cantidad de compañías que ofrecen extensas políticas de privacidad que son solo comprensibles por abogados.

Por lo tanto, con cualquier producto gratuito es importante que el usuario entienda cómo la compañía está haciendo dinero: por ejemplo un juego móvil podría mostrar publicidad o vender mejoras para pasar de nivel. Si no es tan obvio cómo la compañía genera dinero entonces es bastante probable que tu información y privacidad sean el método de monetización.

Internet de las Cosas

Mientras los productos y aplicaciones gratuitas saben todo sobre nuestros habitos online, la adopción de dispositivos de Internet de las Cosas (IoT por sus siglas en inglés) significa que más información sensible está disponible para recolección y explotación.

Mientras manejas de vuelta a tu casa desde el trabajo, tu teléfono está transmitiendo condiciones del tráfico para ser compartidas con otros conductores, con la esperanza de permitirte hacer desvíos inteligentes o para poder tomar decisiones que te permitan llegar más temprano. El termostato conectado de tu hogar se comunica con tu teléfono, buscando información sobre tu ubicación y el momento del día. Mientras estás volviendo, al llegar a la calle en donde vives, la puerta de tu garage se abre automáticamente, usando la proximidad para tomar la decisión. Las luces se encienden y la música que escuchabas en el auto ahora se reproduce automáticamente en tu casa. Los dispositivos IoT están diseñados para trabajar en conjunto, simplificando nuestra existencia.

Y cualquier dispositivo puede contar una historia a través de la información que recolecta. Combinando esas fuentes diversas de información, cualquier atacante puede ser capaz de pintar una imagen completa de la vida: dónde trabajamos, dónde comemos, cuándo vamos al gimnasio, qué cine visitamos, dónde compramos y mucho más. La combinación de esta información y los avances en machine learning e inteligencia artificial podría significar que comencemos a convertirnos en títeres de la tecnología y que cada vez tomarán más decisiones por nosotros.

Analistas de Gartner predicen que en 2018 habrán 11.2 billones de dispositivos conectados a nivel mundial, llegando a 20.4 billones en 2020. El alzamiento de las máquinas está viniendo, ¡cuidado! Cada vez que un dispositivo pide ser conectado, necesitamos educar al usuario final para que lea la política de privacidad y que tome decisiones informadas sobre aceptar o no los términos de recolección de información propuestos.

Legislación

A partir de mayo de 2018 entrará en efecto la General Data Protection Regulation de la Comisión Europea, una directiva que le da a los ciudadanos más poder sobre cómo su información es procesada y utilizada. La legislación afecta a cualquier compañía que procese o recolecte información de un ciudadano de la Unión Europea, sin importar dónde la compañía esté basada.

LOS PERFILES DE USUARIOS PODRÍAN CONVERTIRSE EN EL OBJETIVO DE LOS CIBERCRIMINALES Y YA HEMOS VISTO FUGAS DE INFORMACIÓN PERSONAL

El no cumplimiento podría resultar en grandes multas pero no hay una respuesta clara sobre cómo estas sanciones serán aplicadas a compañías que se encuentren fuera de la UE. La Comisión debe sentir que necesitar dar un ejemplo con una compañía alocada por fuera de los límites de su territorio y, potencialmente, esto podría ocurrir poco despúes de la implementación del 25 de mayo. Sin dicho ejemplo de poder, muchas compañías internacionales podrían tomar el riesgo de no cumplimentar, así que es probable que veamos a la Comisión Europea tomando acciones durante 2018.

La privacidad en los Estados Unidos dio un paso atrás en 2017 cuando la nueva administración repelió una legislación pendiente que restringía a los proveedores de internet (ISPs por sus siglas en inglés) en la recolección de información de usuarios sin su permiso. Mientras que algunos ISPs han hecho una promesa voluntaria para no compartir la información con terceros, esto no significa que no vayan a utilizarla para sus propios intereses.

La profundidad de la información recolectada sobre nuestros hábitos online podría facilitar la construcción de perfiles, mostrando lo que podría ser considerado como intereses extremadamente personales, aprovechando informacion que no nos damos cuenta que alguien está recolectando.

Los perfiles de usuarios podrían convertirse en el objetivo de ciberdelincuentes y ya hemos visto fugas de información de sitios y tiendas. Robar información que es generada a partir de la observación de todo lo que hacemos en línea podría ser el máximo premio para un cibercriminal, ofreciendo la oportunidad de chantajear a los usuarios en base a sus habitos online.

La habilidad de manipular grandes cantidades de información como la antes mencionada, para luego ser usada para algo realmente significativo es una opción relativamente nueva para muchos proveedores de software y servicios, y los costos asociados de almacenamiento y procesamiento han disminuido notablemente. El ecosistema “big data” de la actualidad significa que muchas más compañías tienen la habilidad de recolectar, vincular y vender su información.

La facilidad con la cual las compañías pueden recolectar información y venderla, nuestra complacencia para aceptar las características por defecto, y nuestra negación a leer las políticas de privacidad significan que nuestra identidad, modo de vida e información personal se están convirtiendo en un activo para las empresas.

Espero que 2018 traiga una mayor conciencia para los usuarios, pero sospecho que veremos una mayor cantidad de información recolectada con poca consciencia de parte de los usuarios. Con cada dispositivo que se conecta sin una decisión informada o elección, nuestra privacidad es aún más erosionada, hasta llegar a un punto en el que la privacidad será algo que nuestro antecesores alguna vez disfrutaron.