Privacidad diferencial: Apple presume de ella, Microsoft la creó y Google la usa
Privacidad diferencial: Apple presume de ella, Microsoft la creó y Google la usa
Estos días se celebra la conferencia para desarrolladores de Apple, y durante la charla inaugural de esa WWDC 2016 hubo un apartado específico reservado a un tema del que Apple se siente especialmente orgullosa: la protección de la privacidad.
Al hablar de sus nuevos esfuerzos en este ámbito, en Apple mencionaron el uso de una disciplina de la que pocos habíamos oído hablar: se trata de la "privacidad diferencial", un sistema estadístico que permite recolectar datos y analizarlos sin que ello comprometa la identidad y privacidad de quienes los proporcionan consciente o inconscientemente. ¿Sabéis quién creó el concepto? Microsoft, entre otras. Recolectar datos sin violar la privacidad es (matemáticamente) posible
La privacidad diferencial es desde luego un concepto singular, sobre todo ahora que todas las grandes empresas basan buena parte de su actividad en estudiar nuestra actividad. Google, Facebook, Microsoft o Amazon no paran de recolectar nuestros datos para luego reutilizarlos en sus motores de inteligencia artificial, o sus sistemas publicitarios, o la forma en la que nos recomiendan productos y contenidos.
Todas esas empresas juran y perjuran que nuestros datos están a salvo con ellos, que tienen la privacidad por bandera y que ese tipo de recolección va "vestida" con una capa que permite "anonimizar" esos datos para proteger las identidades de los usuarios. Pues bien, la "privacidad diferencial" es en realidad una disciplina que precisamente trata de lograr ese mismo objetivo de forma específica. La recolección de datos no es el objetivo final: lo es el recolectarlos sin que la identidad de los que los propocionan quede revelada.
Para ello se aprovechan técnicas como el hashing de los datos (que los cifra), el subsampling -que solo toma parte de esos datos- y la inyección de ruido, que hace que a los datos reales se les añadan otros aleatorios que ocultan y "encapotan" los datos sensibles o personales.
Microsoft ayudó a crear el concepto, Google lo usa en Chrome
Aunque Apple ha sido la que ha puesto de moda el término gracias al impacto mediático que causa cualquiera de sus novedades en el mercado, el concepto de privacidad diferencial tiene su origen en un estudio realizado por Microsoft Research, la división de investigación y desarrollo de la empresa de Redmond
En 2006 Cynthia Dwork, Frank McSherry, Kobbi Nissim y Adam Smith publicaron el estudio "Calibrating Noise to Sensitivity in Private Data Analysis" (aquí en PDF) como un esfuerzo para continuar "la línea de investigación iniciada en bases de datos estadísticas en las que se preserva la privacidad".
Ese documento está plagado de fórmulas matemáticas en las que analiza la sensibilidad y privacidad de los datos para aplicar esa "ofuscación" de los mismos durante el análisis estadístico de aquello que es útil para la empresa que aprovecha esta aproximación. Algunos expertos como Moritz Hardt ya indicaron que aunque la idea es especialmente interesante, su aplicación práctica podría ser compleja.
Este investigador de Google está especializado en aprendizaje automático y en su segundo análisis sobre el tema el año paso dejaba claro que "la privacidad diferencial es una forma rigurosa de hacer aprendizaje automático, no de prevenir que esta técnica se utilice". Y es precisamente en ese ámbito en el que esta técnica puede tener sentido, aunque hay otros en las que también puede ser muy relevante.
Lo demuestra Google, que hace tiempo lanzó el proyecto Open Source -el código está disponible en GitHub- llamado RAPPOR (Randomized Aggregatable Privacy-Preserving Ordinal Response). Como explicaban los propios ingenieros de Google en su blog sobre seguridad, este sistema "permite conocer estadísticas sobre el comportamiento del software de los usuarios mientras se mantiene la privacidad del cliente".....LEER NOTICIA COMPLETA.
Dónde irán tus datos si cierra las grandes compañías tecnológicas
Dónde irán tus datos si cierra las grandes compañías tecnológicas
¿Qué ocurriría si se declarasen en quiebra e intentasen vender los datos personales al mejor postor? Un estudio plantea cómo se vería afectada nuestra privacidad
Llega la debacle. Las sobrevaloradas ‘startups’ se declaran en quiebra. Los unicornios dejan de trotar. La fiebre emprendedora se congela. Los ingenieros migran de Silicon Valley a Pekín. Los datos personales que almacenan las tecnológicas son vendidos, subastados, comprados por los gobiernos o robados. Comienza la guerra de los datos.
Este apocalíptico futuro es el que han dibujado un grupo de investigadores del Center for Long-Term Cibersecurity de la Universidad de California en Berkeley en el estudio ‘Futuros de la ciberseguridad 2020’. Los autores han imaginado cinco escenarios tecnológicos nada prometedores, entre ellos el estallido de la burbuja tecnológica 2.0, para analizar dónde quedaría nuestra privacidad si se cumplieran los peores temores.
Aunque el propio informe reconoce que no se puede predecir el futuro, la posibilidad de que se repita una situación similar a la que sufrieron las ‘puntocom’ en el 2000 preocupa a no pocos expertos.
Al fin y al cabo, la manada de unicornios (las ‘startups’ valoradas en más de 1.000 millones de dólares) se ha duplicado. A principios del año pasado eran 80; ahora son 166 y alcanzan una valoración conjunta de 598.000 millones de dólares (526.000 millones de euros). A la cabeza se sitúa Uber, valorada en 62.500 millones de dólares (55.000 millones de euros) pese a perder 1.000 millones de dólares (880 millones de euros) al año en China.
Tampoco a algunas tecnológicas cotizadas les va especialmente bien, Twitter entre ellas. Tras una preocupante caída de su número de usuarios, la red social del pájaro azul ha anunciado una ligera recuperación. Los ingresos no son los augurados por los analistas ni por la compañía, ya que los beneficios por publicidad han sido menores de lo que esperaban.
Si el pinchazo se produjera, los investigadores del Center for Long-Term Cibersecurity sugieren que Twitter sería una de las que echaría el cierre. La caída de los beneficios por publicidad provocaría no solo que esa empresa se fuera a pique, sino también que lo hicieran otras muchas tecnológicas.
Los datos, lo único que seguiría teniendo valor
En esa delicada situación, el estudio sugiere que las ‘startups’ en bancarrota intentarían vender a precio de ganga lo único que seguiría teniendo valor: los datos personales de los usuarios. Los afectados comenzaríamos a preocuparnos por nuestra privacidad, un aspecto al que no habíamos prestado mucha atención al aceptar términos y condiciones sin ni siquiera haberlos leído con tal de disfrutar de aplicaciones gratuitas que podrían dejar de serlo.
Los consumidores sentirían que sus datos “son robados bajo falsas excusas” y los litigios legales derivados de las precipitadas transacciones de nuestra información personal podrían durar años. ¿Estamos protegidos legalmente o podrían las tecnológicas hacer negocio con nuestros datos como les viniera en gana cuando se vieran con el agua al cuello?
No se pueden vender sin tu permiso (en teoría)
“Si cambia la propiedad o el control de la totalidad o de una parte de nuestros Servicios o de sus activos, podemos transferir tu información al nuevo propietario”, avisa Facebook en sus documentos legales. Aunque te pases el día curioseando vidas ajenas en la red social, probablemente nunca hayas reparado en esta cláusula de privacidad que muchos otros servicios también incluyen.
Pese a ello, la Ley Orgánica de Protección de Datos (LOPD) establece que si una ‘startup’ compra a otra, “hay que informar sobre el nuevo titular que continuará prestando los servicios en tanto afecte a la titularidad del fichero que incluya los datos de los usuarios”, nos explica Daniel López Carballo, abogado experto en privacidad del bufete Écija.
Si cambia la propiedad o el control de la totalidad o de parte de nuestros Servicios o de sus activos, podemos transferir tu información al nuevo propietario
Al año siguiente, la Agencia Española de Protección de Datos multó a los de Mountain View con tres sanciones de 300.000 euros por vulnerar la privacidad de los usuarios. Lo hizo en una resolución que criticaba duramente aquella unificación y destacaba que la compañía no estaba informando adecuadamente sobre los datos que recoge y su finalidad....LEER NOTICIA COMPLETA.
Los ataques DNS cuestan a las empresas más de un millón de dólares
Los ataques DNS cuestan a las empresas más de un millón de dólares
El 25% de las organizaciones no están implementando ningún tipo de software de seguridad y ese hecho les está costando más de 1 millón de dólares, explican los resultados de una investigación presentada por EfficientIP, proveedor en el mercado DDI (servicios DNS, DHCP, VLAN y gestión de direcciones IP).
El estudio, que ha sido encargado a IDC, busca analizar las causas tanto técnicas como de comportamiento sobre el auge de las vulnerabilidades DNS y sus potenciales efectos. Para poder conocer estos datos, la empresa encargada ha entrevistado a más de mil profesionales de seguridad senior de diferentes sectores y empresas de todos los tamaños de Estados Unidos, Europa y Asía Pacífico.
En este estudio, el 74% de los directores de red y CSOs reconocieron haber sido víctimas de ataques DNS. Sin embargo, aunque que el 79% era consciente de los riesgos asociados al DNS, sólo el 59% emplea en la actualidad dispositivos de seguridad que logren evitar este tipo de ataques.
"El informe ha puesto de manifiesto que a pesar del incremento masivo de ataques cibernéticos, las empresas y sus departamentos de TI siguen sin apreciar en todo su valor los riesgos de ataques DNS", explica el CEO de EfficientIP, David Williamson. "En menos de dos años, entrará en vigor la nueva reforma de normas de protección de datos de la UE donde las empresas pasarán a ser responsables de todas las brechas de seguridad y podrían enfrentarse a importantes multas económicas. Empieza a ser crucial que las compañías empiecen a tomarse en serio la seguridad DNS", añade.
Otro de los hallazgos de más interés de esta investigación ha sido la localización de los tres tipos de ataques DNS que más han impactado en las organizaciones. El 22% de las empresas encuestadas para este informe afirmaron que habían sido objeto de ataques DNS en 2015. Además, el 12% de las organizaciones en Estados Unidos y el 39% en Asia han sufrido infiltraciones en sus datos vía DNS en el último año. Mientras, un 20% de las empresas aseguró que había sufrido un ataque DNS tipo Día Zero, es decir, tipos de ataques que ejecutan código malicioso debido a vulnerabilidades que aún no han sido arregladas o no son conocidas por parte del fabricante del producto el usuario.
El informe ha demostrado que los ataques más comunes reconocidos por las empresas han sido las interrupciones del servicio y el robo de datos: Unicamente el 23% de los encuestados reconocieron como riesgo los canales DNS o día Zero, el 29% es consciente del envenenamiento del caché y sólo el 30% es consciente de los ataques DDoS.
Aunque los firewall pueden proteger en un nivel básico los equipos, no están diseñados para lidiar contra ataques de DDoS de gran ancho de banda...LEER NOTICIA COMPLETA.
FACUA denuncia a Movistar por usar datos de clientes con fines comerciales.
FACUA denuncia a Movistar por usar datos de clientes con fines comerciales.
FACUA anuncia que ha procedido a denunciar a Movistar por el uso habitual y continuado de los datos de uso de Internet y geolocalización de sus clientes para fines comerciales. La asociación argumenta que “Movistar registra los hábitos que revelan los dispositivos móviles de los usuarios para remitirles publicidad sin recabar su consentimiento expreso, pese a tratarse de datos especialmente protegidos”.
No es la primera vez que FACUA-Consumidores en Acción denuncia a esta compañía. El año pasado lo hizo por rechazar las solicitudes de baja del servicio ofrecido por Canal Plus y también por la subida de Movistar Fusión por supuestos abusos. En esta ocasión se ha realizado ante la Agencia Española de Protección de Datos por valerse de los datos de geolocalización de sus clientes, y poder ofrecerles así “ofertas personalizadas” sobre productos comercializados por la propia empresa de telecomunicaciones.
FACUA argumenta que Movistar en ningún momento procedió a recabar el consentimiento expreso de cada uno de los usuarios afectados, pese a tratarse de datos especialmente protegidos. Simplemente, desde la empresa se remitió a los usuarios un mensaje de texto en el que se indicaba que utilizarían datos relativos a la ubicación real de sus smartphones, así como los relacionados con el tráfico de Internet generado por ellos.
Desde Movistar aseguraron en su momento que “solicitamos el consentimiento para tratar los datos de tráfico de Internet y ubicación de las comunicaciones de su dispositivo móvil, con la finalidad de optimizar y mejorar la cobertura de sus servicios móviles, garantizar la seguridad de redes, sistemas y equipos mediante la prevención y defensa ante incidentes de ciberseguridad y comunicarles ofertas personalizadas sobre productos de Movistar”.
Sin embargo, en vez de obtener un consentimiento expreso de los usuarios, Movistar informó que aquellos clientes que no manifestasen su oposición expresa en “un plazo de 30 días”, estaban dando su consentimiento a la compañía para el uso de sus datos...LEER NOTICIA COMPLETA.
Las quejas a Google EE.UU. se podrán gestionar en la Agencia de Protección de Datos.
Las quejas a Google EEUU se podrán gestionar en la Agencia de Protección de Datos
-El Tribunal Supremo ha matizado su reciente jurisprudencia, que impuso que las quejas en defensa del derecho al olvido contra Google deban presentarse ante la empresa en Estados Unidos, y ha señalado que la Agencia Española de Protección de Datos podrá intervenir en el proceso.
La Sala de lo Contencioso Administrativo del alto tribunal ha insistido en que los recursos deben presentarse ante Google Inc. en Estados Unidos, pero esos recursos pueden tramitarse a través de la Agencia Española de Protección de Datos.
De este modo, en dos nuevas sentencias, la citada Sala de lo Contencioso-Administrativo del alto tribunal ha aclarado la aparente diferencia de criterios en dos sentencias dictadas en marzo por esa misma sala y por la de lo Civil.
La Sala de lo Contencioso consideró en marzo que Google Spain no era responsable del tratamiento de datos personales que difunde, sino que lo es la matriz en Estados Unnidos.
Días más tarde, la Sala de lo Civil del mismo tribunal condenó a Google Spain a pagar una indemnización de 8.000 euros a un hombre por vulnerar su derecho a la protección de datos personales al no retirar del buscador la información sobre el indulto que se le concedió en 1999, a pesar de que el afectado lo había solicitado.
Ahora, la Sala de lo Contencioso se ha pronunciado sobre dos recursos de Google Spain contra una resolución de la Agencia Española de Protección de Datos y contra una sentencia de la Audiencia Nacional que le atribuían la responsabilidad en el derecho al olvido. La responsabilidad, en EE UU El Supremo ha insistido en que la responsabilidad no le corresponde a Google Spain, sino que es de Google Inc. (en EEUU) como responsable del motor de búsqueda que realiza el tratamiento de datos, es decir, hallar la información publicada, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas.
Para la Sala, es la empresa en Estados Unidos quien determina los fines y medios de tratamiento de esos datos mientras Google Spain "se limita a promocionar en el mercado español la venta de espacios publicitarios que se generan en el buscador". Ahora bien, la Sala de lo Contencioso del alto tribunal ha añadido, en respuesta a la Sala de lo Civil -que consideraba un "serio obstáculo" para la efectividad de los derechos fundamentales tener que litigar en Estados Unidos-, que las reclamaciones se pueden hacer mediante un procedimiento "que no presenta dificultad o carga significativa para el interesado".
El primer paso, reclamar a la compañía, se puede hacer electrónicamente "de manera sencilla, gratuita y directa por el interesado", añade la Sala de lo Contencioso del Supremo, que recuerda que además que la empresa facilita los formularios e instrucciones para cumplimentarlos...LEER NOTICIA COMPLETA.