A finales del año pasado el New York Times publicó un par de notas periodísticas en las que reportó que Facebook permitió el acceso a datos personales de sus usuarios a diversas compañías de la industria de la tecnología. Naturalmente la situación provocó un gran debate sobre la protección de los datos personales de los usuarios de Internet y de las redes sociales especialmente.
Para hacer un correcto análisis del tema, primero debemos entender qué es Facebook y cómo funciona. Facebook es una red social que permite a sus usuarios conectarse y compartir todo tipo de contenido en línea.
Si bien Facebook tiene herramientas de privacidad para ayudar a limitar lo que se puede ver y compartir, es importante comprender que se trata de una red social diseñada para ser más abierta que las herramientas de comunicación tradicionales. Como es tan popular, otros sitios web han trabajado para integrarse con ella. Esto significa que en muchos casos se puede usar la cuenta de Facebook para iniciar sesión en diferentes servicios de Internet.
Es ahí en donde comienzan los problemas. Las cuentas de Facebook se extienden a través de toda la Web, lo que le permite a otros sitios conectarse y ver la información pública de los usuarios.
El problema
Debido a la cantidad de información (estados de ánimo, ubicación, comentarios, imágenes, videos, etc…) que los usuarios publican en la plataforma, Facebook puede conocer todo lo que ellos hacen. De igual manera puede saber qué les gusta y que no. Este es su modelo de negocio.
Facebook ha diseñado un sistema tan inteligente para rastrear las preferencias de los usuarios que puede vender esa información a los mercadólogos y a empresas que desean captar la atención de los usuarios a través de la publicidad. Pero eso no se detiene ahí, Facebook y otras redes sociales también tienen información personal identificable de sus usuarios como sexo, raza, situación civil, edad y más.
Esa información personal junto con las preferencias de consumo de los usuarios aumenta sustancialmente el valor de los datos para las empresas que quieren la atención de dichos usuarios.
La situación se agrava cuando escuchamos noticias como el escándalo que involucró a Facebook y la empresa Cambridge Analytica, el cual reveló que esta última había recopilado los datos personales de millones de personas en Facebook sin su consentimiento y los había utilizado con fines políticos.
Facebook envió un mensaje a aquellos usuarios que se creían afectados diciendo que la información probablemente incluía el “perfil público, las páginas con sus likes, el cumpleaños y la ciudad actual”. Algunos de los usuarios dieron permiso para acceder a su fuente de noticias, línea de tiempo, mensajes y su ubicación.
Dichos datos fueron lo suficientemente detallados para que Cambridge Analytica creara perfiles psicográficos de los usuarios.
Varias organizaciones políticas utilizaron información obtenida de Cambridge Analytica para intentar influir en la opinión pública durante diversos eventos políticos, como las campañas presidenciales de Estado Unidos de 2016 y de México en 2018, así como del voto por el Brexit en 2016.
Aunque existen diversas regulaciones nacionales, como la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares) y la LGPDPPSO (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados); e internacionales, como la GDPR (General Data Protection Regulation) y la Privacy Act of 1974 respecto al tratamiento y protección de datos personales, pero que lamentablemente no son suficientes para que los datos de los usuarios estén protegidos adecuadamente.
Facebook no es la única red social de intercambio de datos. Las principales plataformas móviles, como iOS y Android, permiten a los desarrolladores recopilar las listas de contactos con permiso de los usuarios. Twitter tiene una función de inicio de sesión similar a la de Facebook, Google y LinkedIn.
¿Qué podemos hacer?
La crisis de Facebook ha enseñado al mundo una gran lección: no debemos ser irresponsables sobre los datos que publicamos en línea porque aún no existe seguridad total en el tratamiento de este tipo de información. Es muy importante que los usuarios estén conscientes de que su información puede hacerse pública y compartirse cuando están en línea. Basta con dar permiso para que las aplicaciones accedan sus perfiles. Es indispensable tener cuidado antes de publicar información, sobre todo aquella de carácter personal y privada.
Respecto a las empresas, también es muy importante que mantengan seguros los datos de sus clientes. Empresas de comercio electrónico en línea, firmas de abogados o instituciones médicas, todas deben mantener esos datos de manera segura. Una vez que los almacenan deben asegurarse de que su base de datos, cualquiera que esta sea, mantenga los debidos controles de confidencialidad, integridad y disponibilidad.
Aun con todo lo anterior presente, la seguridad no debe centrarse únicamente en los datos, si bien son importantes, no debemos dejar de lado que la seguridad debe comenzar y terminar con las personas. La clave es ganar visibilidad en el usuario y las aplicaciones que interactúan con los datos. Una vez que se logra esto, se
puede aplicar un nivel de control basado en “el riesgo y la sensibilidad”, o también llamado “valor de los datos”.
Un programa de protección de datos de una organización debe considerar el punto humano: la intersección entre los usuarios, los datos y las redes. Además, la empresa debe permanecer atenta a los datos a medida que se mueven a través de la compañía y resaltar a las personas que los crean, modifican y mueven.
En Forcepoint, nos dedicamos a resolver los desafíos fundamentales de las organizaciones para proteger su información y, de manera más efectiva, la información sensible del negocio, incluidas las fuentes de datos regulados y la información personal identificable. Forcepoint tiene la única solución de este tipo en el mercado, con la cual puede automatizar el cumplimiento de políticas para responder dinámicamente a los cambios en el riesgo de los usuarios y datos dentro de una organización. Con un análisis inteligente, una política unificada y la orquestación en su núcleo, solo Forcepoint puede proporcionar la arquitectura de seguridad punto a punto, centrada en el ser humano y requerida para los desafíos de seguridad de hoy y mañana.
Por Ramón Castillo, Ingeniero de Preventa Senior en Forcepoint para México y Centroamérica