Los empleados deciden en qué idioma publican sus entradas.
Puedes encontrar más contenidos seleccionando el idioma inglés en el enlace superior.

Rastreadores de usuarios: jugar al gato y al ratón

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Autor: Carlos Plaza

El juego del gato y el ratón entre los rastreadores –cuyo objetivo es identificar usuarios constantemente cuando realizan acciones en la red-y  defensores de la privacidad –quienes luchan por un rastreo transparente, informado y consentido- ha escrito un nuevo capítulo esta semana.

Al principio, las cookies del navegador eran el mecanismo encargado de rastrear a los usuarios.

Cuando los usuarios fueron conscientes y los navegadores incluyeron controles más fáciles para establecer cuando aceptar o rechazar cookies, los rastreadores aprovecharon la opción de Flash technology para almacenar información local, y pasaron a Flash cookies-  las cuales no fueron eliminadas por las opciones del navegador.

Se crearon complementos para eliminar estas cookies y la idea se popularizó: conocidos medios de comunicación (ABC, ESPN, Fox , Hulu,  MTV, MySpace, NBC,  Walt Disney, Warner ) fueron llevados a juicio ya que sus páginas web hacían uso de rastreadores de terceros basados en Flash (en Junio llegaron a un acuerdo  afirmando que ya no utilizarían Flash Cookies.) Las compañías afirmaron que desconocían las actividades de los rastreadores, hecho que puede ser verídico en algunos casos.

Además, Adobe ha colaborado con los principales navegadores para introducir un mecanismo que borra la memoria local  del navegador; de modo que la eliminación de Flash cookies puede ser incorporada en los controles de privacidad de los navegadores.

Sin embargo los mecanismos para manejar un único identificador para un usuario van más allá de las Flash cookies, tal y como nos muestra la Evercookie

Así que el presente capitulo trata de uno de los mecanismos explicados en Evercookie: http Etags. Los Etags se diseñaron para comprobar si un recurso concreto o una URL ya están en un caché local (por ejemplo, una imagen con la versión más actualizada) de manera que se evita la petición y se ahorra tiempo y ancho de banda. Pero el Etag se puede utilizar para almacenar localmente un único identificador, burlando los ajustes de las cookies. Ashkan Soltani (quien ha colaborado con el periódico Wall Street en sus entradas acerca de Privacidad) explica en detalle cómo funciona.

De modo que encontramos los mismos modelos que en el escenario de las Flash Cookies: un rastreador que incluye una manera dudosa de rastrear a los usuarios, y medios de comunicación populares (Hulu, Spotify) que utilizan el rastreador. Lo vergonzoso es que una de las empresas implicadas es Hulu, el servicio de video en streaming de NBC y News Corporation, que también se vio afectada por la demanda de las cookies. Al menos esta vez han reaccionado rápidamente y tanto Hulu como el rastreador ( KissMetric) han eliminado la cookie Etag.

Probablemente continuaremos viendo nuevos capítulos de este juego: nuevos métodos de rastreo, mayor conciencia e indignación, desarrollo de los navegadores para frenar la amenaza…

Sé dónde has estado…

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Autor: Carlos Plaza

En Internet muchos de los dispositivos diseñados para hacer el “bien” se utilizan para hacer el “mal” cuando hablamos de seguridad y privacidad.

Por ejemplo, el hecho de que la petición http incluya información sobre el tamaño de pantalla,  versión e idioma del navegador o las fuentes disponibles, etc., se realizaba para que los sitios web pudieran personalizar la distribución y localización del contenido ofrecido.

Sin embargo, esta información también se utiliza para obtener la huella digital de dispositivos con el fin de rastrear a los usuarios.

De la misma manera, la característica que se suele utilizar, mostrando mediante distintos colores un enlace visitado y no visitado ha sido empleado para “robar historiales”, por ejemplo una página web sospechosa contiene una lista de enlaces, y con JavaScript se revisa el color de los enlaces para saber si has visitado una de esas webs.

De esta manera, esa web puede aprender “cosas interesantes” como bancos (de datos)  visitados para identificar ataques “phising”

 Existen incluso empresas que venden productos o servicios que son utilizados por programadores de la Web para “robar historiales” o empresas que quieren saber si un usuario que visita su web ha visitado antes otras webs con información acerca de la empresa (Tealium).

Este dispositivo se ha extendido por comprometer la privacidad del usuario de una forma sofisticada, según han publicado   investigadores de la Universidad de Stanford  recientemente: un profundo estudio de una empresa rastreadora online la cual comprueba si el usuario ha visitado alguna página web de una lista de más de 15000 enlaces, divididos cuidadosamente en categorías como compras de grupo, aplicaciones para casa ,coches, o incluso información delicada como la salud o asuntos financieros…

¿Cuál es la protección de usuario disponible?

Navegadores como Firefox incorporan en sus últimas versiones un seguro para protegerse del “robo de historiales”, aunque nunca se garantiza al 100%  que los asaltantes no sean capaces de burlar la seguridad( por ejemplo, en vez de utilizar JavaScript utilizan máscaras de pantalla para los enlaces visitados)… De hecho, en la comunidad Mozilla han tardado unos años en elegir un mecanismo, ya que no había una opción clara para eliminar el ataque sin afectar a otras funcionalidades.

Así que no es una mala idea utilizar algunos complementos gratis- como Ghostery  u otras herramientas que previenen el rastreamiento y evitan la ejecución de comandos por parte de rastreadores bloqueados- o NoScript para bloquear /permitir comandos de forma selectiva. Y por supuesto, configurar tu navegador para eliminar el historial una vez terminado.

Consecuencias del creciente valor económico del grafo social

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 3. Media: 5,00/5)
Loading ... Loading ...

Artículo escrito por Paulo Villegas

Conociendo el grafo a nuestro alrededor

En el contexto actual en el que la publicidad personalizada parece ser el único (o el principal) modelo de negocio que sostiene los servicios de Internet, los datos de personalización que pueden extraerse de grafos sociales (es decir, las conexiones entre usuarios) y su información asociada se han convertido en un elemento con un valor económico considerable.

Los elementos de alto valor atraen la atención inmediata de negocios, tanto legales como ilegales. Por eso hemos visto ya la aparición de empresas dedicadas al negocio de vender (legalmente) datos recolectados de fuentes públicas. Internamente, las organizaciones con la suerte de tener acceso a interacciones sociales ricas han empezado ya también a hacer uso de ellas, dentro de los límites impuestos por el marco legal correspondiente

Es por tanto una cuestión de tiempo que el cosechado de datos sociales pase a ser también un asunto de los "malos" de Internet (por ejemplo, sería información valiosísima para los generadores de correo basura). Software maligno especialmente dedicado a esa tarea podría estar ya propagándose subrepticiamente [1]. Más aún, se ha argumentado que este tipo de datos no sólo tiene gran valor económico ahora, sino también larga duración, ya que al modelar patrones de interacción entre personas en la vida real está poco sujeto a cambios (es rápido cambiar de nombre de usuario, o incluso de tarjeta de crédito, pero los amigos cambian más despacio). La gran sensibilidad de estos datos debería por tanto llevar a mayor preocupación (su comercio ilegal ha sido denominado como "robo de realidad" [2]).

¿Privacidad? ¿Qué privacidad?

Durante un tiempo esto ha parecido no ser un problema: la opinión general era que a los usuarios de las redes sociales (especialmente a las generaciones de “nativos digitales”) no les preocupaba la privacidad. Pero la realidad empieza a mostrar lo contrario. Espoleada en parte por casos publicados de mala gestión de datos, la preocupación en la opinión pública ha crecido y (probablemente como consecuencia) también en las autoridades [3, 4]. Y las compañías han empezado a tomar nota. Facebook, previamente conocida por ignorar cualquier preocupación con respecto a la privacidad e insistir en que todos los datos deben ser públicos, ha experimentado un cambio recientemente. Ha reconocido públicamente no haber prestado suficiente atención a este aspecto, y durante el último año desplegó nuevas opciones de seguridad, que aunque todavía son complicadas de entender y gestionar, permiten un control mucho mayor de la información publicada [5]. Foursquare también ha sido muy firme en su política sobre control de la privacidad y las medidas que están tomando al respecto [6]. Y Google accedió (en Alemania) a borrar bajo demanda las casas capturadas por su sistema Street View [7] (y prometió destruir todos los datos WiFi recogidos de forma “involuntaria” en el proceso de captura).

Puede que por esta razón, o puede que como un medio para abordar la excesiva oferta de información, parece existir una (todavía naciente) tendencia hacia una mayor fragmentación del grafo social. Podemos observar un incremento de los grupos privados (también Facebook los ha activado hace no demasiado tiempo [8]), al igual que en la vida real la gente tiene distintos círculos de relaciones y no los mezcla necesariamente.

En resumen, habrá siempre gente a la que no le preocupe en absoluto la privacidad. Pero el hecho de que la mayoría de los usuarios actualmente no la considere podría deberse más bien a que no se han parado a pensar sobre el tema [9]. Si algunos empiezan a alarmarse, y se crea una masa crítica que comience a propagar esa inquietud, entonces la situación podría darse la vuelta.

La búsqueda del anonimato

Existe una buena tradición de investigación en el área de seguridad y privacidad sobre procedimientos para controlar los efectos de la publicación de bases de datos de gran tamaño. Es una tarea difícil, como han demostrado acontecimientos como la ruptura del anonimato del conjunto de datos del Netflix prize [10]: como parte de una competición abierta para mejorar su motor de recomendación de películas, Netflix publicó una tabla con datos de alquileres de películas y puntuaciones de un conjunto de sus usuarios. Era completamente anónimo, pero investigadores la cruzaron con otras tablas de datos públicas para demostrar la capacidad de revelar identidades de los usuarios.

Principios tales como k-anonymity [11] buscan asegurar que la identificación permanece imposible mientras al mismo tiempo se permiten servicios que dependen de la disponibilidad de datos personales. El k-anonimato estudia garantizar que en cualquier base de datos pública de múltiples registros, cualquier combinación de información podrá acotar la identidad de los usuarios a no menos de k individuos. Las mismas ideas subyacentes han producido un número de términos y técnicas relacionadas: l-diversity, t-closeness. Tratan de trabajar a través de procedimientos tales como limitaciones estrictas de qué puede hacerse público y perturbaciones de las tablas (añadiendo ruido) previamente a su publicación. En la misma línea, la privacidad diferencial [12] es un concepto que trata de definir las reglas formales a través de las cuales es posible asegurar la preservación de la privacidad.

Pero los datos contenidos en grafos sociales hacen este objetivo especialmente difícil, porque anonimizar grafos de verdad sin destruirlos es un desafío. Además, la minería de grafos y el aprovechamiento de mecanismos conocidos de cohesión social hacen posible descubrir información sobre nodos privados simplemente inspeccionando nodos conectados a ellos que no son tan privados. No es suficiente mantener tus datos personales privados, debes convencer a todos tus amigos que lo hagan también: se pueden inferir hechos sobre personas (algunos de ellos realmente sensibles [13]) simplemente mirando a sus amigos.

Algunos resultados publicados a nivel de investigación muestran la dificultad de lograr anonimato en redes sociales de gran dimensión [14]. Ataques pasivos permiten, simplemente por inspección, usar las conexiones entre unos pocos nodos conocidos de antemano para identificarlos dentro en un grafo con un millón de nodos teóricamente anónimos, y desde ahí descubrir conexiones de nodos adicionales. Con sólo 5 nodos que colaboren puede valer para empezar a comprometer la privacidad del grafo social. Los ataques activos, en los cuales se permite al adversario crear nuevos nodos y conexiones en la red (algo fácil en la mayoría de redes sociales) son incluso más poderosos, ya que pueden dirigirse directamente a voluntad contra los objetivos deseados. Esto hace realmente complicado llegar a un buen compromiso entre privacidad y rendimiento para los algoritmos que explotan información social.

Recompensas potenciales

El beneficio de conseguir este anonimato, sin embargo, puede ser formidable. No solamente para mitigar la preocupación sobre el mal uso de los datos sociales, sino también para permitir nuevos servicios. La recomendación social está creciendo como la siguiente gran alternativa a las recomendaciones basadas en uso de algoritmos masivos, y para que pueda funcionar se necesita que los datos sociales estén disponibles. Métodos para compartir grafos sociales de forma anónima podrían tener enorme valor, y podrían permitir la clase de acuerdos entre propietarios de los datos sociales y proveedores de servicios de terceros que ahora no son posibles debido a restricciones legales.

La teoría de utilidad esperada afirma que la gente usará un servicio (como los que posibilitan los datos de redes sociales), si la utilidad total que obtienen es superior cuando se usa que cuando se descarta. Esta utilidad global debe considerar la pérdida de utilidad generada por los inconvenientes del servicio, modulada por la probabilidad de que ocurran estos inconvenientes. Dado que las personas, en general, tenemos aversión al riesgo, el peso de esa pérdida de utilidad en la decisión final es grande.

Podemos mencionar aquí dos inconvenientes principales:

  • La sobrecarga de información ofrecida por aplicaciones sociales (hay tantos ítems pidiendo nuestra atención que nos desbordan), y
  • las consecuencias percibidas de la amenaza a la privacidad.

La sobrecarga de información podría ser aliviada mediante cierta disminución de la exposición social (como se ha comentado arriba); la pérdida de utilidad debida a amenazas de privacidad ha sido descartada tradicionalmente, en parte porque las probabilidades estimadas de que ocurra son bajas. Pero esto podría cambiar si los fallos de seguridad empiezan a ser explotados (y la teoría económica básica nos dice que si es posible y rentable hacerlo, se hará). Lo que significa que deberíamos estar preparados y tener soluciones listas.

¿Qué hacer?

Cualquier empresa que posea información de grafos sociales y desee explotarla debería empezar a buscar cuanto antes maneras de permitir una explotación apropiada sin impacto en la privacidad. Así, cuando se materialicen las oportunidades de explotación (como se menciona arriba, directamente o mediante acuerdos con terceros), estas no serán bloqueadas por organismos regulatorios o protestas de opinión pública. Durante todo este proceso, es esencial respetar la premisa fundamental de que las personas deberían ser informadas de lo que se está haciendo con sus datos, y mantener la capacidad de rechazar ese tratamiento (tanto mediante consentimiento activo como pasivo, dependiendo del entorno).

En términos prácticos, esto podría resolverse buscando soluciones, tecnologías y algoritmos que puedan al mismo tiempo explotar el grafo para extraer información útil y preservar la privacidad al nivel requerido. Haciendo esto en secuencia (las técnicas de minería de datos son implementadas primero, y sólo entonces buscamos maneras de usarlas sin comprometer la privacidad) puede permitir inicialmente tiempos de desarrollo, pruebas y despliegue más cortos, pero a largo plazo no será óptimo. Ya que el proceso posterior de anonimizar empeorará el rendimiento de la minería de datos más que si estuviera integrado en la solución (y podría incluso hacer el cumplimiento de la privacidad más difícil).

La conclusión es que las restricciones esperadas de privacidad deberían integrase en el diseño tan pronto como sea posible

Un experimento conceptual con pistachos

Supongamos que, tras un gran esfuerzo de investigación, hemos desarrollado un algoritmo capaz de identificar con gran precisión a cualquier persona adicta a los pistachos simplemente por el grado de preferencia por los pistachos de un número de sus contactos (es bien conocido en círculos de investigación que la adicción a los pistachos crea fuertes lazos). Esto son buenas noticias para las heladerías, ya que podrán hacer ahora ofertas especiales a los clientes potenciales basados en sus gustos auténticos (y los pistacho-adictos constituyen una base de clientes especialmente leales). Son también buenas noticias para los adictos a los pistachos, ya que ahora conseguirán ofertas especiales que les ayuden a paliar su adicción a precios ventajosos.

Pero cuando tratamos de desplegar nuestro servicio en Sylvania (como todo el mundo sabe, uno de los mercados de pistachos más grandes del mundo), nos encontramos con un problema: las estrictas políticas sobre la preservación de la privacidad en Sylvania prohíben la identificación de preferencias al nivel de frutos secos específicos. Así que no seremos capaces de distinguir entre las preferencias por pistachos, almendras o avellanas. Lo que echa por tierra la precisión de nuestro gran algoritmo.

Si lo hubiéramos tenido en cuenta desde el principio, podríamos haber desarrollado una técnica alternativa que, trabajando solamente al nivel agregado de frutos secos, pudiera ofrecer un comportamiento mucho mejor que nuestro algoritmo, muy específico pero altamente sensible a la precisión de los datos.

Todo este razonamiento no implica olvidarse acerca de las técnicas actuales de minería de grafos (las cuales funcionan bien, y se pueden mantener cuando la privacidad no es un problema), pero deben seguir buscándose también procedimientos que funcionen mejor cuando existan directivas de cumplimiento de la privacidad más estrictas. Y existirán.

Nota: mi agradecimiento a José Enrique López por sus comentarios al borrador inicial de este texto.

Referencias

  1. Darlene Storm, Malware Aimed at Social Networks May Steal Your Reality, Computerworld, Oct 13, 2010
  2. Y. Altshuler, N. Aharony, Y. Elovici, A. Pentland, and M. Cebrian, Stealing Reality, arXiv:1010.1028v1, Oct 2010
  3. Justyna Pawlak, Google and Facebook to face tougher EU privacy rules, Reuters, Nov 4, 2010
  4. Wyatt Buchanan, Social-networking sites face new privacy battle, San Francisco Chronicle, May 15th, 2011
  5. Derek Thomson, Facebook’s New Privacy Rules Are Simple and Smart, The Atlantic, May 26 2010
  6. Foursquare blog, On foursquare, location & privacy…, Feb 19th, 2010
  7. BBC News, German Street View goes live with enhanced privacy, Nov 2nd, 2010
  8. Mark Zuckerberg, Giving You More Control, Facebook blog, October 6th, 2010
  9. Robert W. Lucky, Zero Privacy, IEEE Spectrum, July 2008
  10. Arvind Narayanan and Vitaly Shmatikov, "Robust De-anonymization of Large Datasets" (How to Break Anonymity of the Netflix Prize Dataset), Feb 5th, arXiv:cs/0610105v2
  11. L. Sweeney, "k-anonymity: a model for protecting privacy," Int. J. Uncertain. Fuzziness Knowl.-Based Syst., vol. 10, no. 5, pp. 557-570, October 2002.
  12. Cynthia Dwork, A Firm Foundation for Private Data Analysis, Communications of the ACM, January 2011
  13. Carter Jernigan, Behram F.T. Mistree, “Gaydar: Facebook friendships expose sexual orientation”, First Monday, Volume 14, Number 10, 5 October 2009
  14. L. Backstrom, C. Dwork, and J. Kleinberg, "Wherefore art thou r3579x?: anonymized social networks, hidden patterns, and structural steganography&quot, in WWW ’07: Proceedings of the 16th international conference on World Wide Web. New York, NY, USA: ACM, 2007, pp. 181-190.

Do Not Track Me

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 4. Media: 4,25/5)
Loading ... Loading ...

Autor: Carlos Plaza

Existe una creciente debate sobre las prácticas poco transparentes de seguimiento que se hace de los usuarios en Internet para conocer sus gustos y perfil demográfico, y así poder mostrar en las páginas web unos anuncios basados en el comportamiento de los usuarios. Para ello, se emplean cookies, web bugs (imágenes invisibles que envían diversos parámetros sobre el equipo del usuario en la petición), perfilado de equipos de usuario…

Por ejemplo, la siguiente imagen muestra cómo en el popular sitio de noticias tecnológicas TechCrunch aparecen 19 rastreadores o “trackers” de terceras empresas (redes de anuncios, herramientas analíticas, redes sociales…).

Esta situación ha llevado a que:

* Se estén desarrollando modificaciones legislativas -nueva propuesta de ley de privacidad en EE.UU presentada en abril de 2011, trasposición de la directiva de privacidad del 2009 en la UE y próxima modificación de la directiva de Protección de Datos- para que los usuarios dispongan de información más clara y puedan ejercer el derecho a no ser monitorizados por las empresas de marketing y publicidad online.

* Estas empresas hayan presentado prácticas y mecanismos de autorregulación para convencer a los legisladores de que no hacen falta imponer métodos que llevarían probablemente a que más usuarios optasen por no ser rastreados.

* Los navegadores estén introduciendo mecanismos para que los usuarios puedan gestionar su privacidad para adaptarse a la legislación que viene.

Dado que los usuarios no tienen asignada permanentemente una dirección IP, a diferencia del número de teléfono, no puede usarse un mecanismo de listas de exclusión como en el caso del telemárketing.

Así, se han propuesto diversas soluciones; a continuación se repasan las iniciativas más importantes.

Los mecanismos propuestos se pueden agrupar en:

* Unos, en la línea de la propuesta DoNotTrack de la Comisión Federal de Comercio de EE.UU (FTC – Federal Trade Commission encargada de velar por los derechos de los consumidores y la competencia): el usuario elige en su navegador si quiere o no ser rastreado, y esta decisión se comunica a los sitios web que visita.

* Otros, se basan en listas de empresas en las que el usuario puede elegir a qué sitios permite el seguimiento.

Navegadores

Internet Explorer (Microsoft)

En la versión IE9, Microsoft introduce un mecanismo basado en listas: Tracking Protection List (TPL). Una lista contiene direcciones web “do not call” y “OK to call”; a las primeras, el navegador solo accederá si el usuario pincha explícitamente en un enlace a dicha dirección o la teclea (por tanto, si vienen como un “rastreador” insertado en la página visitada, se bloquean). A las segundas, se podrá acceder en cualquier caso –esto es, tanto si lo pide el usuario explícitamente como si se invocan desde otro dominio-.

El usuario debe activar el mecanismo, y puede habilitar varias listas simultáneamente; en caso de conflicto, la regla “OK” predomina. Las TPL pueden ser creadas por cualquiera, y Microsoft no asume ninguna responsabilidad sobre su uso, aunque ofrece información sobre listas recomendadas.

Y aquí comienza la polémica: entre las primeras listas publicadas, se observa una enorme disparidad entre los sitios que bloquean y los que permiten, según la lista haya sido elaborada por grupos activistas de la privacidad o empresas comerciales.

Firefox (Mozilla)

Como organización sin ánimo de lucro que desarrolla el navegador Firefox con voluntarios, Mozilla sí ha incorporado en Firefox 4 el mecanismo DoNotTrack; cuando el usuario habilita la opción, se incluye una cabecera HTTP (DNT=1 ) indicando al sitio web visitado que el usuario no desea recibir publicidad basada en su comportamiento.

No existe obligación legal actualmente de implementar este mecanismo por parte de los sitios web.

Adicionalmente, existen numerosos complementos para Firefox que permiten conocer qué rastreadores actúan en un sitio web y bloquearlos, bloquear anuncios, cookies, scripts..

Chrome (Google)

Google facilita una extensión para su navegador Chrome “Keep my opt-outs” que permite escoger al usuario la opción de no recibir publicidad basada en su comportamiento. Esta opción se guarda permanentemente –no le afecta el borrado de cookies- y funciona con las empresas que adoptan las prácticas del programa de autorregulación de la publicidad online basada en el comportamiento, que se describe seguidamente.

Hay que destacar que Google, cuyos ingresos provienen casi exclusivamente de la publicidad, se opone fuertemente al mecanismo Do Not Track. Así, si bien la propuesta de  la nueva ley de privacidad que acaba de ser presentado en abril de 2011 en el Senado de EE.UU para su tramitación (“Commercial Privacy Bill of Rights Act”) no recoge explícitamente este mecanismo  ( sí nombra la obligación de proporcionar a los consumidores una forma “clara y visible” para elegir no ser monitorizados por terceros con propósitos de marketing), el Estado de California sí está considerando su introducción, y Google apoya al lobby contrario a esta medida.

Anunciantes y empresas de marketing

Self-Regulatory Program for Online Behavioral Advertising

Es un programa de autorregulación en el que participan varias asociaciones estadounidenses de publicidad online y marketing directo.

Ofrece una web (actualmente en fase beta) por el que un usuario pueda elegir a qué compañías permite trazar su comportamiento para mostrarle publicidad personalizada.

Se requiere que el usuario permita las cookies de terceros en su navegador, ya que consiste en borrar las cookies que las empresas del programa hubiesen guardado en el ordenador del usuario y fijar una única cookie indicando el deseo del usuario, que será consultada en el futuro por esas empresas.

Evidentemente, si se borran posteriormente las cookies, el opt-out desaparece (salvo que se use Chrome con el complemento descrito anteriormente).

Actualmente, son 70 las compañías acogidas a este programa.

NAI –Network Advertisement Initiative

Es una iniciativa de redes de anunciantes que emplea los mismos principios y mecanismos que el programa descrito anteriormente –de hecho, se ha unido a él-.

European IAB

La European Interactive Advertising Bureau es la asociación que engloba a las asociaciones nacionales de publicidad y marketing interactivo de distintos países europeos.

En abril de 2011 ha presentado una propuesta similar a la de sus equivalentes de EE.UU para que los usuarios puedan elegir sus preferencias sobre publicidad personalizada.

Conclusiones

Por un lado, resulta positivo que tanto los legisladores como la industria estén moviéndose para ofrecer a los usuarios mecanismos de información y control de la privacidad .

Pero el hecho de que el método para el usuario de manifestar su elección sea diferente según el navegador o compañía de marketing y publicidad, o de que no existan métodos claros para aplicaciones de smartphones o televisión – que son un mercado creciente-, hacen pensar que aún queda un largo camino que recorrer para resolver el dilema de un equilibrio justo entre privacidad-negocio online.

Impacto de la nueva Directiva de privacidad en las cookies

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 4. Media: 5,00/5)
Loading ... Loading ...

Autor: Carlos Plaza

El próximo 25 de mayo de 2011 se cumple el plazo concedido a los miembros de la Unión Europea para trasponer a su legislación la Directiva de Privacidad Electrónica (ePrivacy Directive) aprobada en 2009, que modifica varios aspectos de directivas y reglamentos anteriores, principalmente de la antigua directiva de privacidad de 2002.

Existe bastante preocupación e incertidumbre entre las empresas que prestan servicios online –ya sean sitios web o aplicaciones móviles- por la modificación que se ha efectuado en el artículo que marca las condiciones en las que se puede guardar información en los dispositivos de usuario –básicamente, por cómo puede afectar a las cookies, que se han convertido en el mecanismo más usual para poder seguir la actividad de los usuarios, con fines de estudio de audiencias, gestionar las inserciones publicitarias, personalización, optimización…-.

En la Directiva del 2002, el artículo 5(3) señalaba que: “únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos

Esto hace que sea suficiente con que los sitios web incluyan información sobre su política de privacidad y uso de cookies en una página, habitualmente  enlazada desde el pie de las distintas páginas de su sitio web.

.

movistar_tratamiento.JPG

En la nueva directiva, el artículo 5( 3) se sustituye por el texto siguiente:

únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos”,

Esto es,  la modificación radica en que se exige que el usuario dé su consentimiento explícito para que se puedan guardar cookies en su ordenador o su Smartphone, por ejemplo.

¿Y cómo se obtiene este consentimiento?

Unos –los más cercanos al negocio de la publicidad online- abogan por que se considere que, si el navegador del usuario permite las cookies, entonces se considere que da su consentimiento. Con ello, no habría que modificar ningún sitio web en la práctica. De hecho, la propia Directiva enuncia la posibilidad de que las opciones del navegador pudiera ser el mecanismo de otorgamiento del consentimiento.

Esta posibilidad ha sido analizada por un órgano consultivo constituido en la Unión Europea y con gran influencia en el desarrollo legislativo, el “Article 29 Working Party”, en su estudio sobre publicidad basada en comportamiento , donde señalan que, para admitir que las opciones del navegador cumplen con el consentimiento exigido en la nueva directiva, deben cumplir una serie de condiciones:

-Traer por defecto desactivadas las opciones de admitir cookies, de tal manera que deba ser el usuario el que expresamente las cambie.

-Informar de forma clara de lo que supone admitir una cookie; ello llevaría a implementar en el navegador algún mecanismo (en forma de icono que lleve a una información clara, por ejemplo) que informase  de qué va a hacer el sitio visitado con la información que recoja.

La incertidumbre se ve agravada por el hecho de que la mayoría de los países aún no han traspuesto la directiva, como se muestra en esta tabla,  por lo que no se sabe cuál va a ser la opción elegida en cada país.

Con el fin de lograr una opción favorable, la industria de la publicidad online europea ha presentado un sistema de autorregulación para facilitar a los usuarios la gestión de sus preferencias sobre el seguimiento y recepción de publicidad online.

¿Cuál puede ser el impacto en el ecosistema online y de aplicaciones móviles?

Dado que es frecuente que cada país haga una interpretación diferente de las Directivas, probablemente la obtención del consentimiento que requiere la Directiva de Privacidad se plasme en distintos requisitos en cada país: unos aceptarán las opciones generales de cookies si han sido fijadas explícitamente por el usuario, otros tal vez requieren un consentimiento específico para cada sitio…

Así, al igual que hoy en día una empresa que presta servicio en distintos países tiene que particularizar su web o su aplicación al lenguaje del país, a los impuestos, etc, probablemente tenga que adaptar localmente la obtención del consentimiento del usuario. Por ejemplo, un posible escenario sería:

-Si en un país no se admiten las opciones generales sobre cookies, tendrá que pedir consentimiento explícitamente la primera vez que el usuario acceda.

-Si en un país se da validez a las opciones sobre cookies del navegador – siempre que hayan sido fijadas explícitamente por el usuario- habrá que comprobar cuál es la versión del navegador.  Si éste admitía las cookies por defecto, entonces tendrá que recurrir a la petición explícita de consentimiento.

En definitiva, sería bueno que los marcos normativos comunes que se crean en la Unión Europea detallasen cuáles son los procedimientos válidos, para evitar la fragmentación regulatoria y los costes asociados que supone para las empresas.

SMART GRID Y LA PRIVACIDAD: ¿SMART GRID=BIG BROTHER?

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 3. Media: 5,00/5)
Loading ... Loading ...

Autor: Carlos Plaza

La preocupación por la incidencia en el medio ambiente del continuo aumento de energía, el previsible agotamiento de las fuentes de energía no renovables y la dependencia energética de los países más desarrollados ha llevado ya hace tiempo a situar el concepto de “smart grid” –red eléctrica inteligente- como uno de las soluciones para mitigar o revertir la situación, gracias a una gestión más eficiente del consumo energético.
Como parte del “smart grid”, las compañías eléctricas sustituyen los viejos contadores de lectura mensual o bimensual por modernos contadores (smart meters) que comunican en tiempo casi real el consumo (por ejemplo, cada 15 minutos). Así, se pueden ajustar las tarifas a la demanda, incentivando al usuario a desplazar su consumo hacia horas valle. Si además se añaden equipos (lavadoras, lavavajillas, frigoríficos,etc) inteligentes, capaces de enviar información sobre cuándo están funcionando y de aceptar órdenes, se puede proporcionar una completa gestión energética.
En prácticamente todos los países desarrollados hay pilotos en marcha, y en muchos, plazos fijados para sustituir el parque actual de contadores.
Sin embargo, a medida que estos proyectos van haciéndose reales, van surgiendo voces que piden cautela –e incluso se oponen- a la implantación de los contadores inteligentes.
Por ejemplo, en los Países Bajos el plan del Gobierno era que para el año 2013 todos los hogares estuviesen equipados con contadores inteligentes; finalmente, dicha “obligatoriedad” se ha convertido en “voluntariedad”.
Un debate similar ha surgido en el Reino Unido.
¿La razón? La preocupación sobre la PRIVACIDAD.
Efectivamente, el tomar medidas frecuentes sobre el consumo en un hogar puede llevar a determinar:
-Qué equipamiento existe en un hogar y cuándo se usa. El gráfico mostrado más abajo, tomado del NIST (National Institute of Standards and Technologies de EE.UU) –bastante famoso cuando se habla de este asunto- muestra un ejemplo: hay aparatos que muestran un patrón típico de consumo energético (“firma eléctrica”), lo que permite detectar su presencia y su uso.
-Cuántas personas viven en un hogar, cuáles son sus costumbres -horario de levantarse, acostarse, comidas, en qué estancias de la vivienda pasan más tiempo- (Esto es lo que afirman desde Siemens)
-Como caso particular, podría llegar a determinarse la presencia de aparatos médicos que permitirían inferir problemas de salud en los habitantes del hogar, con lo que estaríamos hablando de información clasificada con el máximo grado de confidencialidad, de acuerdo a las leyes de Protección de Datos.

Y si trasladamos el escenario a los edificios de oficinas y negocios, podría valorarse el tipo de actividad económica y su volumen, la presencia de ciertos procesos industriales….
¿A quién interesaría toda esta información, además del uso primigenio de gestión energética?
Pues se puede elaborar una lista bastante extensa, si dejamos trabajar un poco nuestra imaginación:
-Marketing: Profiling de usuarios.
-Investigaciones judiciales y policiales: por ejemplo, si había alguien en una vivienda en un momento determinado, o cuánta gente, o qué tipo de actividades se estaban realizando…
-Delincuentes: evidentemente, para conocer las costumbres de sus potenciales víctimas.
-Aseguradoras: conocer la salud de un asegurado.
-Financieras: valorar la situación laboral de una persona: determinar si trabaja según sus hábitos en el hogar, o si los varía bruscamente, lo que puede ser debido a una situación de stress ante un posible despido.
Así, estos posibles usos no deseados pueden añadir más debate a la cuestión de la privacidad en la sociedad actual, tema de bastante actualidad por el uso de Internet, donde, al fin y al cabo, nadie sabe cuándo nos levantamos, comemos, etc, -salvo que lo “twiteemos” o tengamos una webcam conectada permanentemente-, pero sí existen una legión de empresas tratando de trazar la actividad de los usuario mediante técnicas tales como las cookies o el “fingerprinting” de dispositivos (huella única que se puede conseguir de, por ejemplo, un portátil, analizando información que se envía al visitar una página web: tamaño de la pantalla, versión del navegador y complementos que tiene instalados, tipos de letra disponibles, e incluso parámetros del protocolo TCP/IP ; el Wall Street Journal ha publicado una serie de artículos bastantes instructivos: “What they know-digital privacy“).
Ello hará que la privacidad en las redes eléctricas se sitúe probablemente a un nivel parecido al de la privacidad en Internet y sea objeto de especial atención por los reguladores.

¿Qué se puede hacer para lograr que el Smart Grid se desarrolle y cumpla la promesa de lograr una mayor eficiencia energética?
Pues básicamente, que los actores implicados tengan en cuenta una serie de principios sobre Privacidad – cuyas primeras piedras fueron puestas por la OCDE hace ya 30 años, con sus recomendaciones sobre Privacidad-, y que cada vez son más adoptados en el mundo de Internet y las Telecomunicaciones (por ejemplo, la GSMA, asociación que agrupa a los principales operadores móviles, acaba de anunciar la publicación de unas recomendaciones para la privacidad en aplicaciones móviles).
Como resumen de los principios comúnmente adoptados, se puede citar:
• Recoger solo aquellos datos de usuario que son necesarios para prestar un servicio y mantenerlos únicamente el tiempo necesario.
• Informar de manera clara y obtener el consentimiento del usuario para el tratamiento de sus datos, tanto inicialmente como cada vez que haya un cambio de uso o de tratamiento.
• Asegurar la confidencialidad e integridad de los datos, aplicando las técnicas de seguridad necesarias: encriptación en la transmisión y almacenamiento o control de acceso, por ejemplo.
Así, se logrará unos servicios en los que los usuarios confíen y que aporten a toda la sociedad beneficios.
Por ejemplo, agencias como el NIST citado anteriormente ha publicado un volumen con recomendaciones sobre privacidad como parte de un estudio de ciberseguridad en el SmartGrid donde se recomienda seguir prácticas similares a las enumeradas, que se van haciendo cada vez más frecuentes en los servicios en Internet.

Panopticlick y la huella 2.0: nuestro navegador va dejando nuestra firma por ahí

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

Por Jose Enrique López

Sin ánimo de tratar de redefinir el término “huella 2.0″, podemos entenderlo como la serie de pistas que, sobre nosotros mismos, vamos dejando en Internet bajo la forma de cuentas en sites, contenidos que subimos, búsquedas lanzadas, etc. A estas habría que añadir otras menos obvias como las citadas en el post “¿Cómo de anónimos somos realmente?“, que hacen referencia a nuestro historial de navegación y las posibilidades de consulta por parte de terceros que tiene. Esta huella 2.0, recopilada convenientemente, podría llegar a identificarnos, o al menos, podría llegar a ser utilizada para dar respuesta a preguntas sobre nuestra condición, nuestros gustos o nuestra pertenencia a grupos, por poner algunos ejemplos realmente inquietantes. Es decir, un tremendo dolor de cabeza para los que se preocupan de la privacidad en Internet.

Pues bien, hoy presentamos una nueva de estas “pistas”: la “firma única” que se puede extraer de nuestro navegador cuando surfeamos por ahí.

Ciertamente, se podría pensar que el navegador de uno es prácticamente idéntico al de miles y miles de otros usuarios, pero por lo visto no es así cuando nos ponemos a echar un vistazo en la información del sistema operativo que es accesible a través de él, en los plug-ins que lleva instalados, en ciertos datos de configuración públicos y otros datos aparentemente inofensivos, desde el punto de vista de la privacidad, como el tamaño de la pantalla. EFF (una asociación independiente para la protección de los derechos de los usuarios en Internet), tiene un servicio web llamado Panopticlick, que pone de manifiesto que la información que se puede extraer de nuestro navegador, sin necesidad de comprometerlo, ya es suficiente como para que actúe como una firma única allá donde se navegue con él (de ahí a hacer un compendio de nuestros hábitos de navegación hay un paso).

El resultado del test de Panopticlick invita a la reflexión, pues aplicado sobre el navegador del autor de este post ha arrojado la siguiente información:

“Your browser fingerprint appears to be unique among the 597,411 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 19.19 bits of identifying information.”

Es decir, que esta gente asegura que la firma de mi navegador ¡es única! entre casi 600.000 que han cotejado, y que mi navegador ofrece alegremente casi 20 bits de información que permiten identificarlo unívocamente.

Esto no es ciencia ficción, pues técnicas similares ya son usadas por empresas de publicidad… ¡y todo eso sin que nuestro navegador esté comprometido! Parece evidente que desabilitar cookies hace mucho tiempo que dejó de ser una medida suficiente, por lo que los navegadores debería empezar a diseñarse para que fueran menos “chivatos”: Da miedo pensar que estos mismos navegadores van a convertirse en verdaderos sistemas operativos cuando empiecen a trabajar en serio sobre aplicaciones Cloud…

Web 2.0 Expo 2009

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

webexsf2009_logo

La exposición sobre la Web 2.0 se ha caracterizado por la gran cantidad de charlas entre las que ha destacado la Keynote de Tim O’Reilly.

El futuro de la web y los terminales móviles fue uno de los temas más recurrentes ya que todos los especialistas coinciden que el futuro de ambos confluye en un mismo punto y se hizo mucho hinca pié en que debemos estar preparados para ello. La antigua tendencia de adaptar la web a este tipo de terminales ha quedado obsoleta ya que los últimos modelos de teléfonos móviles consiguen manejar con total facilidad las páginas web estandar.

Por otro lado Microsoft, mediante Stephen Elop Diapositiva 2, anunció que estan preparando una serie de productos basados en los servicios que a dia de hoy ofrece la Web 2.0.  Todos estos servicios serian similares a los Blogs o Mashups pero orientados a las empresas. Reconocen que este tipo de negocios son económicamente muy interesantes y pretenden sacar partido de ello. Elop también hizo una reflexión sobre cómo se desarrolla la tecnología en la red y afirmó que “el desarrollo de la tecnologia debe ser igual a ambos lados del firewall”. Obviamente , este paralelismo no puede ser completo ya que se deben hacer pequeñas adaptaciones a cada lado , pero si se puede crear el mismo tipo de aplicaciones en ambos contextos.

Sin duda la presentación de Tim O’Reilly fue una de las más seguidas y que más comentarios ha creado tras de si. Para conocer mejor todo lo que el famoso editor comentó la mejor manera es leer esta entrada en lacofa.

Empresas y productos presentados en Web 2.0 Expo:

80legs

  • 80legs :Esta empresa propone un servicio de rastreo  y búsqueda en millones de páginas web con un muy bajo coste. De hecho aseguran poder rastrear más de dos mil millones de páginas al día.  El reducido coste del rastreo ( 2 USD por millón de páginas o 0.03 USD por hora de uso de un procesador) hace de esta empresa un interesante servicio para otras que necesitan recorrer y buscar por la web.
    zealog_peque
  • zeaLOG : Permite visualizar gráficamente el seguimiento de losacontecimientos y periodos personales de cada usuario pudiendo compartirlos con amigos y conocidos para mantenerlos informados y que colaboren en su desarrollo. Es considerada como una herramienta para aumentar el rendimiento personalmente ya que se puede tener un control cuantitativo y de rápida interpretación de mucha información personal. Su mayor problema es lo cerca que esta aplicación se encuentra de problemas de privacidad , ya que se comparten rasgos muy personales.
    phone_gap_peque
  • PhoneGap : Es una plataforma para conseguir aplicaciones multiplataforma para teléfonos móviles.Esta plataforma consigue traducir código escrito en Javascript y HTML en lenguaje interpretado por móviles Symbian, Palm, Android, Windows Mobile, etc. De este modo no es necesario desarrollar una misma aplicación para cada plataforma diferente.
    bantam_peque
  • Bantam : Es una red social para compañeros de trabajo, algunos la consideran demasiado similar a Yammer pero con muchas más aplicaciones y servicios. Entre los más destacados está la posibilidad de subir a la web ficheros y compartirlos con el resto de los trabajadores o la posibilidad de crear eventos y controlar la asistencia.
    dub_logo
  • dubmenow : Dub propone una solución para eliminar el problema de las tarjetas de visita incluyendo en ellas (mediante una aplicación para móviles basada en SMS) no sólo los datos del nuevo conocido si no también la hora, la localización y qué se estaba haciendo en ese momento. De este modo aún habiendo pasado meses será posible recordar al propietario de cada una de esas tarjetas.

WWW2009: 20 años de Web por Sir Tim Berners Lee

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 4,00/5)
Loading ... Loading ...

Estos días estamos en el WWW2009, el Congreso mundial sobre la WWW que se celebra este año en Madrid. Ayer fue la inauguración oficial, a pesar de que empezaron las actividades el lunes, y el plato fuerte era la keynote de Sir Tim Berners-Lee (TBLL) sobre estos 20 años desde que presentó su propuesta en el CERN para un sistema de intercambio de información, lo que se considera el inicio oficial de la WWW, y lo que nos espera en el futuro.

No fue un discurso muy distinto del que viene manteniendo en los últimos años, pero creo que merece la pena reseñar su contenido.

Arrancó su charla con un “cómo pasa el tiempo”, y cómo tras 20 años estamos ahora ante algo maduro, con un enorme peso económico y que ha evolucionado hasta tal punto que áreas como la búsqueda o la publicidad pueden considerarse verdaderas ciencias.

¿Cuáles son los grandes cambios de estos últimos años? Señala una mayor profesionalización de la web, que se manifiesta que ese proceso que está convirtiendo en ciencias áreas antes informales, como ha cambiado la percepción del tiempo, el desplazamiento hacia la movilidad, que las aplicaciones Web se han convertido en verdaderas plataformas, y el movimiento “Linked Open Data“. Sin embargo hay cosas que no cambian: seguimos teniendo documentos estáticos, permanece la necesidad de una web en la que se pueda escribir y no sólo leer, y la unificación por medio de estándares.

Al hablar de las Web Apps, o aplicaciones web, desctaca que son plataformas “serias” de verdad, aunque precisan de un esquema de confianza igualmente serio. En su opinión precisan  una instalación descentralizada y modular, abordar el problema de la privacidad, de la cual la geolocalización es sólo su aspecto más superficial.

Hizo una defensa encendida de la modularidad, como elemento esencial para garantizar la extensibilidad de las aplicaciones, pero donde insistió más fue en la necesidad de no repetir en las redes sociales el esquema de “wallet garden” que se ha vivido en el pasado con AOL y otros servicios cerrados no interoperables. Los usuarios deberían tener control sobre la información que dejan en las redes sociales, lo que incluye poder moverla a su antojo y no dependiendo de servicios de terceros. Es necesario contar con APIs abiertas, y permitir un enlace efectivo de la información. Confrontaba los “Social silos” con un “Open Social Networking”.

Otro punto en el que insistió es el de la Identidad. Aunque OpenID empieza a ser conocido, habló de otras posibilidades como FOAF+SSL, y advirtió de las implicaciones de las “pseudonymity” que ser considerada también en cualquier esquema de identidad futuro.

El entorno está cambiando dramáticamente: los “pixels” sustituyen al papel, sobre todo en carteles, anuncios, avisos en espacios públicos; los móviles se popularizan en países en desarrollo, y el volumen de información disponible crece exponencialmente.

La defensa del Linked Open Data Movement es otro de los puntos habituales en las recientes presentaciones de TBL. Se trata de promover la apertura de fuentes de información de todo tipo de organizaciones, empresas y, sobre todo, gobiernos, para facilitar su acceso, indexación y enlace. Un reto al que se han unido ya bastantes instituciones, no obstante.

Tra revisar las consideraciones sociales de todos estos movimientos, pasó a hablar del futuro que esperaba de la Web:

  • Modularidad a todas las escalas, y un modelo para facilitar la extendesión de la funcionalidad a través de módulos
  • Datos y documentos entrelazados sin distinción, e indexados por mecanismos capaces de responder a preguntas
  • Una mayor integración del interface de usuario y de la gestión de datos en los lenguajes de programación (habría que señalar que frente al modelo de separación vigente)
  • Un nuevo modelo de seguridad para las aplicaciones Web

La presentación de TBL está disponible en la Web del W3C, organismo que preside y en el que se mantiene muy activo promoviendo su visión de web semántica, comunicaciones sin personas, apertura, … Al contrario que otros personajes destacados en la historia de Internet, sigue en la brecha. TBL creó todo el armazon de la WWW, y sigue empujando su desarrollo. Todo un ejemplo de espíritu emprendedor e innovador.