Hace unos días empecé a ver una serie producida por Steven Spielberg llamada “Bull”, muy recomendable. La serie narra como el Dr. Jason Bull, director de una consultoría de ciencia jurídica, a través de la psicología, datos demográficos, reconocimiento facial, neurolingüística, data, análisis predictivo, biometría y un pionero sistema de machine learning, logra controlar y dominar el comportamiento de jurados, abogados, testigos y acusados, predecir como se comportarán, y de esta forma ayudar a desarrollar sus estrategias de defensa.
El equipo de Bull tiene a su disposición un algoritmo de análisis predictivo que utilizan en los juicios con una doble función.
En primer lugar, a partir de toda la información pública que existe sobre un determinado individuo, la mayoría obtenida gracias a las descargas de apps y los permisos otorgados a éstas (imágenes, micrófono, acceso a mails, publicaciones, datos demográficos y de movimiento), son capaces de conocer perfectamente como piensa, pudiendo predecir así su comportamiento ante diferentes situaciones.
En segundo lugar, en cada caso que acepta, el algoritmo identifica a personas increíblemente parecidas a los individuos que componen el jurado creando así el denominado “jurado espejo”. A los componentes de este jurado alternativo, que a la postre serán con los que ensaye sus estrategias de defensa, los monitoriza biométricamente (venas, huellas, frecuencia cardíaca para poder analizar su comunicación no verbal, así como sus reacciones ante ciertos datos, alegatos…etc.
Me recordó mucho al escándalo de Cambridge Analytica. Según los datos revelados tras el escándalo, más de 50 millones de perfiles de Facebook fueron recolectados para acabar configurando perfiles psicológicos que luego serían vitales para orquestar campañas políticas: mensajes específicamente diseñados para ciertas audiencias que acabarían influyendo en el voto final. De hecho, esta fue la herramienta que con toda probabilidad ayudó a que Trump acabara ganando las elecciones de 2016.
Según Christopher Wylie, ex empleado de Cambridge Analytica y persona que filtró el escándalo, “una docena de likes en Facebook. Eso es lo que necesita un algoritmo para saber con bastante probabilidad si eres hombre o mujer, si tus padres acabaron divorciándose cuando eras joven o incluso si eres más o menos afín a ciertas ideas políticas”. Si únicamente con una docena de likes pueden saber eso sobre mí, no me puedo ni imaginar lo que harán con los miles de datos que compartimos diariamente a través de las aplicaciones de nuestros smartphones.
Mientras seguía viendo al Dr. Bull mi cabeza entraba en plena ebullición, no paraba de hacerse preguntas, pero una sonaba más fuerte que el resto: ¿Puede alguien predecir mi comportamiento a través de los datos que existen sobre mí? Obviamente la respuesta es SI.
En nuestras empresas gastamos auténticas fortunas en ciberseguridad con el objetivo de proteger los denominados “datos sensibles”. Pese a nuestros esfuerzos, según Sophos, a nivel global en 2020, el 51% de las empresas fueron víctimas de ransomware, siendo el 59% de esos ataques dirigidos contra los datos almacenados en la nube. Todo ello me hizo recordar grandes escándalos en lo relativo a robos de datos personales en los últimos años. Ejemplo de ello son empresas como Facebook, Dropbox, Yahoo, Equifax, Telefónica, Sony, Ashley Madison, Tesco Bank o Linkedin entre muchas otras.
Si somos tan conscientes del peligro en que incurren nuestros datos personales, ¿por qué no aplicamos la misma seguridad a nuestra vida diaria? Esa fue la razón por la que me propuse llevar a cabo un experimento. Consistía en analizar qué tipo de datos utilizaban mis apps en un día cualquiera de mi vida. Mi propósito era saber cuántas aplicaciones, ya sea en primer o en segundo plano, utilizaban mis datos, coordenadas, datos biométricos…
Según datos de GMSA Intelligence y Ericson, en 2019, en todo el mundo se descargaron unos 204 billones de aplicaciones en todas las plataformas. Un dato brutal teniendo en cuenta que únicamente el 0,3% de las personas lee la política de privacidad.
Por su parte, según el estudio de Symantec, un usuario medio de teléfonos inteligentes instala entre 60 y 90 aplicaciones, que, en su mayoría, solicitan acceso a datos personales. Estos datos son aún más sorprendentes si nos fijamos en el número de descargas: diariamente se descargan en España más de 3,8 millones de aplicaciones, lo que equivale a que cada usuario de Smartphone tiene una media de 39 aplicaciones instaladas en su dispositivo.
Estaba claro que encajaba en el perfil, pero ¿era de verdad consciente de los permisos que otorgaba a terceros para acceder a mi vida? La respuesta es NO.
En este sentido, entre los principales permisos que identifiqué en las aplicaciones de mi móvil, el 90% de las ellas me solicitaba autorización para alguna de estas funcionalidades:
- Conocer cuál es mi ubicación (en primer o segundo plano).
- Identificar el dispositivo desde el que se accede.
- Acceder a mis otras cuentas (Gmail, Facebook, Apple, Twitter, etc.)
- Acceder a la cámara de fotos.
- Acceder a los contactos del teléfono.
- Acceder al micrófono del teléfono.
- Acceder a nuestra galería de imágenes.
Al leer semejantes datos, se me erizó la piel. ¿Cómo es posible que de manera casi inconsciente comparta datos cada segundo desde mi móvil?, ¿cuántas veces he leído los términos y condiciones de una app?, ¿es este el precio que debo pagar por obtener ciertos servicios?
En ese momento recordé que hace unos años asistí a una conferencia de Chema Alonso, hacker ético y a la postre CDO (Chief Data Officer) en Telefónica. En la charla explicaba como bajo su opinión y experiencia, la única aplicación a la que otorgaba permisos era la suite de Google. Aclaraba que, pese a parecerle excesivo la cantidad de datos que debía compartir con la empresa de Mountain View, los beneficios eran mayores que los riesgos.
Posiblemente, en la actualidad, y después de acceder a la pestaña de privacidad de Google, y averiguar todos los datos que tienen sobre mí, Alonso ya no estaría tan seguro…
Pero todo podía ir a peor…”App gremlin”. El concepto acuñado por Chema Alonso golpeó fuertemente mi cabeza. Se refiere a apps que podemos tener en nuestros teléfonos, donde el malware está latente, esperando a activarse y secuestrar billones de datos de millones de móviles alrededor del planeta, igual que los gremlins se reproducían con el agua.
El año pasado se viralizó FaceApp, app que, a través de una fotografía nuestra, a la que accedía desde la biblioteca de nuestro smartphone, nos envejecía varios años. Ejemplo claro de app gremlin a la que solo por divertirnos, otorgamos todo tipo de permisos.
Al poco tiempo supimos lo que rezaban sus términos y condiciones: “licencia perpetua, irrevocable, no exclusiva, sin royalties, totalmente pagada y con licencia transferible” para “usar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, realizar públicamente y mostrar” los resultados obtenidos. “Cuando publicas o compartes contenido de usuario en nuestros servicios, cualquier información asociada como el nombre de usuario, ubicación o foto de perfil serán visibles al público”.
Esta aplicación, amén de acceder a cámara e imágenes, tenía para su uso el perfil biométrico de los usuarios. En malas manos, todas esas fotografías de las personas, podrían utilizarse para hackear los sistemas de reconocimiento facial de miles de teléfonos.
Da vértigo, ¿verdad? Piénsatelo dos veces antes de realizar tu próxima búsqueda en Google, subir tu próxima fotografía a Instagram, escribir tu próximo mensaje en Wahtsapp o actualizar tu perfil en Facebook… Al otro lado hay alguien que sabe exactamente lo que piensas, y cual será tu próximo movimiento.
