Datos personales en Internet: ¿una cuestión de privacidad o de seguridad?

Joaquín Gómez Gonzalo    1 julio, 2014

Google nos conoce mejor que nuestra propia madre”. Éste es el comentario generalizado que todo el mundo hace cuando se habla del gigante americano. Y creo que literalmente es así.

Y no sólo Google tiene una cantidad ingente de información sobre cada uno de nosotros, sino también empresas como Facebook, LinkedIn, Whatsapp, Microsoft, etc. a las que cedemos gratuitamente nuestros datos personales a cambio de utilizar su servicio. Pero… ¿cuál es el precio de nuestros datos personales? Shawn Buckles se hizo exactamente la misma pregunta a principios de año y puso a la venta los suyos. Tras una subasta de varias semanas, obtuvo 350 euros, lo que nos da una idea del negocio que generamos para las grandes compañías de Internet. Sólo hay que hacer la multiplicación.

Otro claro ejemplo del valor de los datos personales se ha puesto de manifiesto con la compra de Whatsapp por parte de Facebook. Pero, ¿qué datos de nuestra identidad digital tienen las diferentes compañías que ofrecen servicios en Internet? He intentado hacer el ejercicio con alguna de ellas.

Por ejemplo, Linkedin conoce nuestra dirección de correo, la IP y geolocalización desde la que nos conectamos, la empresa en la que trabajamos y posiblemente la universidad en la que estudiamos. Whatsapp nuestro número de teléfono móvil, la IP y geolocalización desde la que nos conectamos y, en determinadas ocasiones. puede conocer nuestra posición GPS.

Pero dado que no estamos solos en el mundo, las grandes compañías de Internet no sólo tienen información de las diferentes identidades digitales que utilizan sus servicios, sino también de las relaciones existentes entre todas ellas:

Compañeros de trabajo:

  • Al pertener a la misma empresa, comparten localización, posición e IP durante el horario laboral.
  • Están habitualmente conectados entre sí en redes profesionales
  • Pueden hablar frecuentemente entre sí por teléfono durante el horario laboral, pero no fuera de ese horario ni durante el fin de semana.
  • Se envían correos y whatsapps frecuentemente dentro del horario laboral, pero no fuera de ese horario ni durante el fin de semana.

Compañeros de universidad/instituto:

  • Al compartir universidad/instituto comparten también localización, posición e IP durante el horario lectivo.
  • Comparten universidad/instituto
  • Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluídos fines de semana.
  • Tienen grupos comunes
  • Son amigos en redes sociales
  • Se envían correos y whatsapss frecuentemente y a cualquier hora del día.

Familiares:

  • Desde las 22:00 a las 7:00 horas aproximadamente comparten localización, posición e IP
  • Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluídos fines de semana.
  • Tienen grupos comunes y son amigos y/o familiares en redes sociales
  • Se envían correos y whatsapps frecuentemente y a cualquier hora del día

Amigos:

  • Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluidos fines de semana.
  • Tienen grupos comunes y son amigos en redes sociales
  • Comparten posición durante los fines de semana.
  • Se envían correos y whatsapps frecuentemente y a cualquier hora del día.

A partir de esta taxonomía, podríamos conectar gráficamente entre sí las diferentes identidades digitales utilizando las siguientes reglas:

  • Conector grueso para comunicaciones muy frecuentes
  • Conector azul: relación de compañeros de trabajo
  • Conector morado: relación de amistad
  • Conector rojo: relación familiar
  • Conector verde: relación de compañeros de universidad/instituto

Y obtendríamos un gráfico con el siguiente aspecto:

graf1

Si hiciéramos zoom en alguna parte del mismo, podríamos obtener algo similar al siguiente grafo, en el que los números representan las identidades digitales y las líneas, las interrelaciones entre ellas:

grafic2

Si tenemos en cuenta que la Universidad de Milán ha realizado un estudio en el que asegura que la distancia entre dos personas cualesquiera del mundo se reduce a 4,74 pasos (3 si son del mismo país), ¿qué ocurriría si esta información cayera en manos de una persona u organización con fines “oscuros”? La respuesta es bien sencilla: en 4,74 pasos podría llegar a comprometer -hipotéticamente- a cualquier persona del planeta.

Si nos pusiéramos en el lugar del potencial atacante y tuviésemos en cuenta los diferentes tipos de relación, si quisiéramos realizar un ataque sobre la identidad digital 10 y ésta estuviera fuertemente protegida, lo más plausible sería atacar a 2, 11 o 16 y desde allí lanzar un ataque dirigido a 10. Y si estas tres identidades tampoco fueran vulnerables, podría probar el siguiente nivel (3, 15, 18, 21) y así sucesivamente ir bajando de nivel hasta encontrar un eslabón vulnerable que le permitiera progresar en el ataque. Esta metodología se puede observar gráficamente en la siguiente figura:

grafico3

Aunque esta metodología de ataque es real, parece poco probable que un tercero se haga con toda esta información tan bien custodiada por las grandes compañías de Internet (o que éstas se la cedan voluntariamente a un tercero). Supongo que tan improbable como que alguien robe 110 millones de tarjetas de crédito a través de un simple TPV  o como que las comunicaciones cifradas de medio mundo puedan ser espiadas por culpa de unas cuantas líneas de código mal tiradas.

Imagen apertura: stockmonkeys y primer gráfico:  Jurvetson

Comentarios

  1. Don Joaquín! Interesante y didáctico tu artículo. Confirma nuestras sospechas de que tanto dato entregado a las distintas redes sociales si se agrupa y relaciona, multiplica la vulnerabilidad de nuestra privacidad ante ciberataques. Enhorabuena.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *