Lisandro Pardo
En noviembre del año pasado, un informe publicado por el programa de noticias alemán Panorama 3 reveló que varias extensiones estaban vendiendo los historiales de sus usuarios al mejor postor. Lo que tenemos ahora aquí es una especie de continuación para ese informe, presentada por la periodista Svea Eckert y el investigador Andreas Dewes en la última conferencia DEF CON de Las Vegas. En términos sencillos, lograron acumular tres mil millones de direcciones URL pertenecientes a tres millones de usuarios alemanes, y todo lo que hicieron fue crear una compañía falsa dedicada a la mercadotecnia.
«Si no pagas por un servicio, tú eres el producto». Esta frase se ha repetido millones de veces y fue traducida a docenas de idiomas. No son pocos los que salieron a criticarla, pero a medida que vamos conociendo mejor las prácticas de ciertas compañías, redescubrimos su validez. Ya lo hemos dicho en ocasiones previas: El Big Data no se alimenta solo. La recolección de datos, el análisis de patrones en la navegación, la telemetría… todo va en la misma dirección. Y el volumen es verdaderamente escalofriante. Imaginemos por un momento a tres mil millones de direcciones URL. Vidas enteras pasan por esos enlaces, y si alguien ejecuta las maniobras correctas, puede obtenerlos sin pagar un centavo.
Eso es lo que demostraron la periodista Svea Eckert y el investigador Andreas Dewes en la última edición de la convención DEF CON. El primer paso fue crear una compañía falsa, que en teoría se dedicaba a la mercadotecnia. Muchas imágenes, un impecable perfil en LinkedIn de su «CEO», y un «portal de carreras» para sumarse al equipo, tan convincente que incluso recibieron algunas aplicaciones. El último proyecto de la compañía era un algoritmo basado en aprendizaje profundo que podía mejorar la colocación de productos, siempre y cuando entrenara con un amplio paquete de datos. El proceso resultó ser un poco más largo de lo esperado porque la «compañía» sólo estaba interesada en información de usuarios alemanes, pero finalmente la obtuvieron sin cargo, cortesía de un broker interesado en evaluar al algoritmo.
La peor parte es que Dewes logró «desanonimizar» a una buena parte de los usuarios. Un ejemplo contundente llega a través de quienes visitan la sección analítica de Twitter: La dirección contiene el nombre de cuenta, y se supone que sólo el usuario puede verla, por lo que queda vinculado automáticamente. En el peor de los casos, apenas diez direcciones serían suficientes para identificar a alguien, y a decir verdad ya lo han hecho. No olvidemos que Netflix fue demandado por una situación similar en 2009, y debió llegar a un acuerdo privado.
