La semana pasada abrí mi cuenta de Facebook y encontré algo que llamó mucho mi atención. Cual epidemia, muchos de mis contactos habían instalado una aplicación denominada «Mis Observadores». Aparentemente la famosa aplicación permitía visualizar quienes de tus contactos habían visitado recientemente tu perfil (algo así como el popular programa que te permitía saber quien te había bloqueado en Hotmail MSN ). Claramente algo extraño había en esta famosa aplicación ya que de pronto aparecía como «observador» de muchos perfiles de amigos que no había visitado en mucho tiempo. Todo ello me generó una reflexión mayor.
No es novedad hablar de los enormes riesgos que en términos de privacidad genera Facebook e Internet en general. Sin embargo con el transcurso del tiempo la empresa (Facebook) ha ido brindado distintas opciones para que los propios usuarios bloqueen o restringan el acceso a su perfil y, por ende, resguarden su privacidad. Sin embargo una cosa es Facebook y otra las aplicaciones desarolladas para Facebook por terceros, sobre las que la Facebook no tiene ningún control. Tal es el caso de conocidas aplicaciones como Crazy Combi, Farmville entre otras muy populares que fluyen a través de la referida red social.
Decidí investigar un poco más y me percaté de un detalle que probablemente, dada la ansiedad de los internautas en llenar su perfil de aplicaciones, puede pasar desapercibida y que me pareció pertinente compartir con ustedes. Cuando uno decide utilizar una aplicación en Facebook visualiza una imagen muy parecida a esta:
Nótese claramente la advertencia «al continuar, estás permitiendo que Birthday Calendar obtenga acceso a tu información y estás aceptando las Condiciones de Uso de Facebook«.
Por su parte los términos y condiciones de uso de Facebook indican lo siguiente:
«When you add an application and use Platform, your content and information is shared with the application. We require applications to respect your privacy settings, but your agreement with that application will control how the application can use the content and information you share».
Si bien luego, los términos y condiciones presentan una serie de obligaciones que deberán cumplir los desarrolladores de aplicaciones, lo cierto es que una vez que accedieron a información privada cualquier medida de control es bastante limitada. Lo que en buena cuenta estamos haciendo cuando aceptamos e instalamos una aplicación en nuestro perfil es dando acceso y autorizando a ese tercero extraño a nuestra información personal.
Al parecer «Mis observadores» resultó siendo un bluff que lo único que buscaba era lograr acceso a información personal probablemente con la finalidad de comercializar luego esta información y armar bases de datos para el envío de publicidad. Quizás podría ser parte de una red de secuestradores que estaban interesados en los datos personales de algunas personas en especial para perpetrar un delito. El abanico de posibilidades es enorme y por ahora nos movemos en el terreno de la especulación. No obstante ello, es importante advertir sobre el valor de nuestros datos personales en la sociedad de la información y la facilidad con la que, sin reparar en ello, la entregamos a terceros de manera irrestricta para su posterior tratamiento y explotación.
En otros países el tema genera mucha preocupación (ver aquí y aquí). Sin embargo en nuestro país estos temas vinculados al Internet y la privacidad parecen no ser de mucho interés salvo contada excepciones. Por ejemplo, en Europa hace varios años se viene hablando del derecho a la protección de los datos personales como un nuevo derecho fundamental que regula la recogida y tratamiento de los datos personales sin consentimiento de sus titulares. Es más existe amplia regulación y jurisprudencia al respecto.
Tal como señalamos en una entrega anterior, en nuestro país el proyecto de ley de protección de datos personales que promocionó allá por el año 2004 el Ministerio de Justicia nunca vio la luz. Más aún, en todo el debate sobre el Código de Consumo, tampoco aparece ninguna mención a la protección de los datos personales, aspecto que sí se encuentra recogido en la legislación comparada. Lo paradójico es que contamos con una prometedora iniciativa denominada Registro «Gracias No Insista» y con una innovadora legislación antispam que claramente pretenden atacar la publicidad comercial invasiva y no solicitada, sin embargo nos hemos olvidado de los insumos que sirven para que dicha publicidad se consume, es decir, de nuestros queridos datos personales.
Por el momento los dejamos con estas reflexiones y con algunas sugerencias del jefe de la División de Investigación de Delitos de Alta Tecnología, Óscar Gonzáles, quien, entre otras cosas, aporta una valiosa recomendación con la que coincidimos: hay que «tener más cuidado con la información personal que se proporciona a través de las redes como Facebook, Twiter y Hi5″.
Oscar, tienes mucha razón. Es más este tipo de aplicaciones se usaba años antes en HI5 (no sé si lo recuerdas) cuando te llegaba a tu bandeja de entrada un mail con las fotos y los nombres de los que visitaron tu HI5 recientemente. Acabo de entrar a mi HI5 (abandonado desde hace más de un año) y me doy con la sorpresa que aún existe esta aplicación. Y aquí no pidieron permiso alguno para entrar a tu info, ni mucho menos compartirla. Puede ser un buen caso.
Es un tema recontra interesante y está muy bien abordardo.
1. Habría que confirmar si la arquitectura de código de Facebook permite que, efectivamente, pueda hacer un disclosure de las personas que visitan mi perfil. Esta información ni siquiera está disponible para mí, ¿cómo así una aplicación generada por un tercero puede tener acceso a ella? ¿Es un hueco de seguridad? ¿Es esta información verdadera? A mí me huele a que no.
2. Ojo que Facebook no tiene un control ex ante sobre las aplicaciones que montan terceros sobre su red, pero sí ex post. Así, por ejemplo, si se descubre que esta aplicación es una farsa, o está crackeando el código de la red y mucha gente la denuncia a través del mecanismo propio de la página, podría ser retirada discrecionalmente por la compañía.
Otro hueco de código que me parece una vulnerabilidad es que, si bien para ver las fotos a través de la web tienes que estar logeado, si haces un hotlink de la imagen sola cualquiera lo puede ver. Es decir, los archivos mismos son públicos, lo que es privado es la forma de acceder ordenadamente a ellos. Esto quita bastante privacidad a la red.
Buena entrada Oscar. No es la primera vez que Facebook genera dudas con relación a sus políticas de privacidad. Recordemos que hace unos meses la Comisaria de Privacidad del gobierno canadiense advirtió que la red social tenía importantes agujeros de privacidad. Finalmente se llegó a un acuerdo.
Sin embargo, creo que existen todavía importantes dudas con relación a las aplicaciones que corren en la red social. si bien éstas le han dado gran popularidad, ignoramos cuál es el grado de responsabilidad que asumen.
Buen artículo Oscar. Otra duda que me asalta: si me canso de Facebook, ¿puedo darme de baja? Seguro que sí, aunque imagino que no tan fácil…en todo caso, ¿mis datos, fotos, contactos y demás se eliminan definitivamente? ¿o comparto la propiedad de esa información con ellos?
Finalmente, con tanto jueguito, tréboles de la suerte, galleta de la fortuna y ahora examen sobre capitales de países, copio un link muy simpático por si alguna vez deciden descansar en paz: http://www.videojug.com/film/how-to-commit-facebook-suicide
De acuerdo con las condiciones de servicio de Facebook, si uno se da de baja, le retira la autorización a Facebook para utilizar y replicar sus contenidos. Sin embargo, si estos contenidos han sido a su vez compartidos por otros usuarios, se mantendrán en tanto éstos continúen siendo parte de la red social.
Además, señalan que los contenidos podrían quedarse almacenados hasta seis meses más en sus servidores pero no los utilizarán.
«Observadores» es (o era) una aplicación sin descripción alguna. Fuera del título no había nada que dijera de qué se trataba ni lo que hacía. Yo la reporté a FB porque bajo ese título ponía contactos al azar.
Mi paranoia no fue hacia el robo de información, sino hacia los conflictos interpersonales que podrían ocurrir. Por ejemplo si una persona aparecía entre los primeros «observadores» de su ex: ¿Cómo se lo explicaba a el/la ex y a su pareja actual? ¿Y si alguien se noiquea respecto de una persona con la que tiene poco contacto y aparece primero entre sus observadores?
Lo que tenía el Hi5 no era una aplicación fraudulenta y hecha por terceros sino una característica del mismo Hi5. Y no publicaba la lista de «visitantes» al mundo entero sino sólo a la persona dueña del perfil visitado. De todas maneras, me parecía un mal negocio para Hi5 porque con esa perspectiva sé que mucha gente se cuidaba de visitar con frecuencia a conocidos para evitar conflictos.
De hecho , desde que vi que el link a la lista aparecia como una direccion IP y no un link normal de facebok, lo mas probable es que esten tratando de hacerse de una base de datos importante, ya que con un poco de estudio al fql (o Facebook Query Language) se pueden obtener justo los datos necesarios para una campania de marketing.
Buen articulo
como puedo ver quienes son mis observadores
c9 o fim de uma se9rie que ficare1 para sempre. Nenhuma fice7e3o foi te3o fice7e3o qtunao Fringe, nos levou a lugares que ne3o imaginamos e nos deparamos com coisas e acontecimentos que nunca vimos ou imaginamos. c9 tudo fice7e3o? sei le1, sf3 sei que e9 FRINGE.Parabe9ns a todos, inclusive a nf3s que choramos, nos divertimos,duvidamos, brigamos.SOMOS FRINGE.