La privacidad de los consumidores

woman in white hijab using laptop computer

Un 99% de los usuarios dice que la privacidad es importante y la mitad no confía en la seguridad de sus datos online. Sin embargo el 66% dice que haría clic en un anuncio personalizado. Estos son algunos de los datos interesantes que hay en este estudio de IAS y YouGov.

Los consumidores están más dispuestos a compartir sus datos con sitios de compras (34%) que con redes sociales (10 puntos de diferencia, 24%) o que con sitios de noticias (sólo un 16%)

Los usuarios se responsabilizan a sí mismos de la seguridad de sus datos personales en un 52%. El 40% pone este deber en las plataformas y sólo un 7% en el Gobierno.

La encuesta recoge respuestas de 1.131 consumidores y 346 expertos en medios digitales en Estados Unidos. 55% dijeron no conocer legislación relativa a la privacidad que regulase la recolección y el uso de datos personales. EE.UU. no tiene una ley federal como el RGPD, aunque algo así, la American Data Privacy Protection Act (ADPPA) está en proceso. Algunos estados como California tienen una ley que protege los datos de los usuarios online.

Lo que más les preocupa es la posibilidad de que puedan hackear su email. El 24% teme el uso indebido de sus datos por parte de entidades financieras, y un 15% está preocupado por su uso en conflictos políticos.

El 62% de los expertos de publicidad y medios reconocen que les falta familiarizarse con conceptos como estas leyes, o al nivel de dispositivos (como IdFA de Apple) o el fin de las cookies. Toda la info está en este artículo que escribí para Newtral.

[Archivo]

Cómo hacer un deepfake nivel engañar a 5 alcaldes

Deepfake Felipe González

Cuando leí sobre el caso del impostor que había mantenido una llamada con el alcalde de Madrid me pregunté si estábamos ya al nivel en deepfakes como para engañar a 5 alcaldes europeos en tiempo real.

Como muchas veces, parece que el entusiasmo por la tecnología nos hace olvidar que la ingeniería social y la psicología son muy efectivas. Hablé con la alcaldía de Madrid para entender qué ha pasado, y con mi experto favorito en deepfakes para saber cómo se podría haber hecho. El momentazo fue cuando en vez de él, apareció el expresidente Felipe González en la videollamada. Evidentemente era una prueba para mostrarme en la práctica cómo funciona la tecnología. Lo he contado todo aquí para Newtral.

[Archivo]

Radar COVID, sancionada por incumplir protección de datos

Radar COVID, sancionada

¿Recuerdas Radar COVID? El caso de la app española basada en el protocolo más respetuoso con la privacidad terminó en un expediente de la Agencia de Protección de Datos por violar 8 artículos del RGPD. Una vulnerabilidad de la app permitía desanonimizar los datos e identificar a los contagiados. Afectaba a datos como localización, contactos, registros de llamadas, SMS y chats, historial de navegación, credenciales de autenticación, fotos y vídeos y datos biométricos. Esa vulnerabilidad fue reconocida por la misma SEDIA, en las alegaciones, que se incorporan a las 112 páginas del expediente. Afectó a 3.059 códigos a nivel nacional, durante el período que fue desde el 19 de agosto hasta el 8 de octubre de 2020.

El proyecto de Radar COVID había nacido con buenos presagios. Adoptó el protocolo DPT3, el más garante de los derechos de los usuarios. Pero el desarrollo e implementación de la app española careció de la transparencia necesaria. No hubo evaluación de impacto, un análisis obligatorio según la normativa europea cuando se realiza el tratamiento a gran escala de datos sensibles, como son los datos de salud. Sin ella resulta imposible cumplir con principios como la privacidad por diseño, como explica Sergio Carrasco, abogado representante de Rights International Spain.

Radar COVID detectó apenas el 1% de los positivos, y costó 4,2 millones de euros. De esa cantidad, la partida más cuantiosa, 2,1 millones, fueron destinados a una publicidad que evidentemente no funcionó.

No habrá multa, ya que las administraciones públicas están eximidas de sanciones económicas. Si el responsable de Radar COVID hubiese sido una empresa podría haber tenido que pagar entre 40.000 y 300.000 en multas sólo por la falta de la evaluación de impacto. El análisis de lo que sucedió y más detalles de la resolución en este reportaje para Newtral.

[Archivo]

Crear criptomonedas

A día de hoy hay casi 20.000 criptomonedas. Cuando te preguntas por qué tantas, la siguiente duda es cómo se crean. Y las dos preguntas están relacionadas: hay muchas porque es fácil crearlas. Pero parece que lo complicado es lo siguiente, listarlas.

Los mejores exchanges cobran por eso, y estas tarifas pueden ir de 100.000 hasta 1 o 2 millones de euros. Estas tarifas no están publicadas y los acuerdos suelen estar bajo acuerdos de confidencialidad. He hablado con dos directores ejecutivos de empresas que han creado criptomonedas que hoy están a la venta en exchanges: Koh Onozawa, de Bit2Me y Fran Villalba Segarra, de Internxt. Lo hemos publicado todo hoy en Newtral.

Cómo se crean las criptomonedas [Archivo]

Escaneo masivo con la justificación del abuso infantil

Escaneo masivo y vigilancia | Burst

La Comisión Europea ha presentado una propuesta que obligará a las plataformas al escaneo masivo de todos los mensajes interpersonales en internet. La razón es una a la que nadie puede oponerse: el abuso infantil. ¿Es necesario y proporcionado? ¿Y sobre todo, útil?

Decenas de organizaciones de la sociedad civil y expertos están preocupadas, entre ellas la EFF y EDRi. Algunos lo consideran el fin del cifrado en la UE y el mayor mecanismo de vigilancia colectiva establecido fuera de China.

La Agencia de Protección de Datos alemana ya ha dicho que la propuesta es incompatible con la Carta de Derechos Fundamentales. Este es su comisario:

Traducción: El «control de chat» planificado por la Comisión desde el punto de vista de la protección de datos: un hilo después de un primer examen: el borrador de la Comisión no es compatible con nuestros valores europeos y choca con la ley de protección de datos aplicable.

El hashing tiene varios problemas. Por un lado, los falsos positivos. La CE dice que son pocos, pero tanto PhotoDNA como el de Facebook han mostrado porcentajes altos de errores, con impacto en inocentes.

Por otro lado está el problema de la ciberseguridad: los atacantes podrían, por ejemplo, inyectar imágenes o documentos marcados como abuso infantil en los dispositivos de las personas a las que quieren desacreditar

Y luego está la cuestión del cifrado. No existe técnicamente la posibilidad de escanear algo que está cifrado. El escaneo del lado del cliente es un mensaje a los usuarios: aunque cifres, revisaremos todo. Lo que es básicamente una puerta trasera, una backdoor en relación al cifrado.

¿Te acuerdas de Chatcontrol? Ya existía una excepción a la privacidad de las comunicaciones privadas en tierras europeas. Una resolución de la UE permite actualmente a las compañías tecnológicas escanear comunicaciones electrónicas privadas de los usuarios, en busca de contenidos pedófilos.

Facebook, Google, y otras plataformas ya realizan voluntariamente este escaneo y reportan los resultados a las autoridades. Chatcontrol tiene una fecha límite: el 31/12/2022. La Comisión parece tener prisa para cerrar una cobertura legal para las plataformas

Otra directiva, la de la conservación de datos en relación con prestación de servicios electrónicos, ya intentó poner por delante la seguridad sobre la intimidad de las personas. Terminó siendo anulada por el TJUE por ser contraria a los derechos fundamentales de la UE. Habrá que seguir atentos.

El reportaje completo está en Newtral: La Comisión Europea propone obligar a las plataformas al escaneo masivo de mensajes privados en busca de abuso infantil

[Archivo]

Las nuevas leyes europeas de internet ya están aquí

Periodistas trabajando en la sala de prensa en Estrasburgo

Europa ha logrado ponerse de acuerdo y sacar adelante en poco más de un año dos grandes leyes que cambiarán mucho la forma en que usamos internet: la Digital Services Act (DSA) y la Digital Market Act (DMA). El movimiento es histórico y pionero: son las normativas más avanzadas que pueden poner un límite al poder hasta ahora casi ilimitado que tenían las grandes tecnológicas, como Amazon, Facebook, Google, Apple.

Una pandemia, el gran salto de digitalización que eso provocó, una infodemia mundial, y una guerra han sido el contexto que ha acelerado el consenso en torno a la necesidad que tenemos de garantizar los derechos fundamentales de quienes usamos internet.

Estuve en el Parlamento Europeo en Estrasburgo para el Pleno pasado, junto con un pequeño grupo de periodistas que se dedican a temas de desinformación, donde pudimos conversar y preguntar a varios eurodiputados involucrados en la negociación de estas leyes. Dos artículos que escribí donde cuento las claves de estas normativas:

DSA y DMA: Las grandes leyes que regularán las plataformas digitales en Europa echan a andar [Archivo]

Digital Services Act: claves de la gran ley europea para las plataformas de internet [Archivo]

Foto: Periodistas trabajando en la sala de prensa del Parlamento Europeo en Estrasburgo.

Siete servidores españoles con trazas de Pegasus

Pedro Sánchez, mandatario espiado por Pegasus, mira su móvil | PSOE

En 2018 Amnistía publicó una lista de dominios maliciosos que estaban relacionados con Pegasus. Siete de ellos se localizaban en servidores en España. Se podría haber seguido la pista, claro. Pero nadie lo investigó. He preguntado a la Audiencia Nacional, al Consejo General del Poder Judicial, al Ministerio del Interior.

Amnistía también nos dice que ninguna institución española les ha contactado con respecto a eso. Los dominios tenían indicadores de compromiso de Pegasus, como determinó la investigación de Amnistía. Cuatro años después, las únicas investigaciones son las de cargos del gobierno y del ámbito catalán. ¿Quién investiga el resto esos 1.483 prefijos españoles infectados? Esta semana hemos publicado esta historia. Por cierto, me ha parecido que no hay muchas fotos de Pedro Sánchez hablando en su móvil.

[Archivo]

Blog Widget by LinkWithin