En la Datarred

Tecnología, ciencia, literatura y más

MyFitnessPal. Alguien puede saber lo que hizo usted con su última dieta

Una aplicación que nos resulta útil cumple su función entre otras razones porque nosotros confirmamos previamente que estamos de acuerdo con que esta gestione una serie de datos para realizar su cometido. Y eso en el mejor de los casos. Eso si no se toma confianzas y acaba agarrando el brazo cuando solo le hemos dado la mano.

Ahora hay gente que ha visto comprometidos los datos facilitados a una herramienta que han usado para confeccionar planes nutricionales a base de registrar alimentos ingeridos y sus calorías correspondientes porque MyFitnessPal, la aplicación de Under Armour que promete ser un aliado en nuestros buenos propósitos con la comida, ha sufrido una intromisión por parte de un tercero sin determinar que ha accedido a los datos de unos 150 millones de cuentas.

Eato sucedió el pasado mes de febrero y ha sido la propia Under Armour, marca estadounidense de ropa y complementos deportivos, la que ha dado la voz de alarma, según recoge SC Magazine. Los datos comprometidos son, según la propia compañía, nombres de usuario, emails y contraseñas. Contraseñas que estaban protegidas con la función bcrypt, según afirmó la propia empresa en su alerta. Esta función se supone que aporta un plus de seguridad.

"MyFitnessPal datos"

Tres estados de los datos. /Jasper59.

La firma hizo algo hasta cierto punto previsible al encontrarse en un brete de este calibre. Tirar del “podría haber sido peor” y tranquilizar al usuario diciendo que la información de carácter administrativo más personal como el número de la seguridad social o el número de carné de conducir no han caído en manos de terceros. Claro, porque luego reconocen a SC Magazine que no solicitan esta información al usuario. Yo, por ejemplo, puedo decir que jamás se han visto comprometidos los datos de las cuentas bancarias de mis clientes, porque no tengo esos datos y no tengo clientes. Es de cajón.

Sí tiene más sentido, en cambio, desde el punto de vista de los intereses de la compañía recalcar (siempre y cuando sea verdad porque si les pillan mintiendo pueden acabar abriendo las webs de las principales páginas tecnológicas y eso apuntando bajo o si no que se lo digan a Zuckerberg) que los datos correspondientes a las tarjetas de pago de los usuarios no se han visto afectados, porque estos mismos datos se recolectan y procesan de forma separada con respecto a ese otro proceso por el que reúnen el nombre, email y contraseña.

En un ataque de optimismo extraño en mí, me parece que ya se va tomando conciencia de que no se puede tener la misma contraseña para acceder a Facebook, Twitter, Instagram, las plataformas de empleo donde estamos inscritos, el supermercado online de turno, nuestra tienda de ropa favorita y por supuesto esa aplicación que va registrando nuestro rendimiento cada vez que salimos a correr además de Netflix, HBO, Movistar series o todas a la vez.

"MyFitnessPal data center"

Dispositivo en el interior del ‘data center’ de Ontario. /Ontario Data Center,

Pero sí creo que es muy probable que una aplicación destinada a algo tan importante como nuestra nutrición y forma física, pero que a su vez también está asociada al deporte en nuestros ratos de ocio implique que la mayoria baje la guardia y ponga la misma contraseña que tiene en al menos otra aplicación.

Sobra decir entonces que, como avisa la directora de marketing de NuData Security, una empresa de Mastercard, si nuestra contraseña en MyFitnessPal ha podido verse comprometida junto a nuestro nombre y correo electrónico, automáticamente podemos ver estos mismos datos afectados en varias aplicaciones donde estemos utilizando la misma clave de acceso, por mucho que no haya existido una intrusión o al menos una de la que se tenga noticia. Así pues, si es su caso, no esperen a que esto suceda y cámbienla.

 

*Antes de comentar sugiero que lean la política de este blog destinada a tal fin.

 

Facebook y Cambridge Analytica. Sí, todavía hay desengañados

Facebook dio su versión el pasado viernes de las causas por las que eliminado una aplicación de Cambridge Analytica. Porque no cumplió con el borrado de datos de los usuarios en la forma y el plazo que estipula esta red social. Pero el embrollo viene de algunos años atrás. En 2015 Facebook ya le había dado la patada a Cambridge Analytica por no haber borrado correctamente los datos de 270.000 usuarios de la aplicación, tal como exigía Facebook.

Entonces Cambridge Analytica presentó a Facebook los certificados que la red social le pedía para demostrar que habían corregido el problema. Facebook hace unos días, no obstante, se enteró de que esos errores no se habían solucionado o al menos no como Cambridge Analytica hizo ver a Facebook. Todo esto es la versión de Facebook.

Según se explicó en el comunicado, Cambridge Analytica, empresa dedicada a diversos trabajos “políticos, gubernamentales y militares” a nivel internacional, utilizó una aplicación para Facebook que transfirió datos de usuarios de esta red social a la propia Cambridge Analytica.

"Cambridge Analytica bola datos"

Gerd Altmann

La aplicación en cuestión de Cambridge Analytica se ofrecía en Facebook con el nombre thisisyourdigitalife como una herramienta usada por psicólogos, y ofrecía al usuario una predicción sobre “su personalidad”. Todo lo que el internauta tenía que hacer era dar el consentimiento para que la aplicación accediera a datos tales como la ciudad que figuraba en su perfil de Facebook, el contenido que habían marcado como “Me gusta” y algo de la información que aportaban los perfiles de los amigos que tenía agregado ese usuario si es que los criterios de privacidad de esos amigos lo permitía.

¿Y a santo de qué vino esta iniciativa de Cambridge Analytica? Un día después, el pasado sábado, el New York Times publicó que la compañía recibió una generosa donación de un mecenas afín al Partido Republicano de EE.UU. Como pueden imaginarse, este hombre no actuaba como una ONG. El millonario prometió a un asesor político “herramientas” que permitieran trazar perfiles de la personalidad de los votantes estadounidenses para influir en su comportamiento. El problema es que sin tener en su poder los datos correspondientes y la cantidad necesaria de los mismos no se podía dar el uso planeado a estas herramientas.

Por eso necesitaban los datos de los usuarios de Facebook. El único y pequeño detalle es que al final no se trató de los datos de 270.000 sino de 50 millones de usuarios. Este diario estadounidense sostiene que esos datos fueron obtenidos sin el permiso de todas esas personas. Afirman esto apoyándose según sus propias palabras en testimonios de antiguos empleados de Cambridge Analytica y en documentos que a su vez también reflejan que esta empresa a fecha de hoy posee parte de esos datos.

"Cambridge Analytica datacenter"

Dispositivo en el interior del ‘data center’ de Ontario. /Ontario Data Center,

Por su parte, desde Cambridge Analytica negaron en un primer momento haber recolectado y usado datos de Facebook, la última vez en una sesión parlamentaria el mes pasado. Más tarde enviaron una declaración al New York Times donde sí admitían haber hecho esto, pero culpaban a un profesor universitario que trabajaba con la empresa.

Según la investigación del rotativo del país norteamericano, Cambridge Analytica pagó para adquirir esa información de los usuarios a través de un investigador ajeno a la empresa. Facebook se ha defendido afirmando que les dijeron que reunían toda esa cantidad de datos con propósitos académicos.

Desde luego así dicho la defensa parece bastante pobre, tan pobre que desde el New York Times no han dudado en calificar al suceso como una de las mayores filtraciones de datos en la historia de la red social, de tal manera que no señalan solo a Cambridge Analytica sino también y sobre todo a Facebook, quien después de estas informaciones publicó una breve respuesta en el mismo comunicado que en apariencia indicaba que las afirmaciones del periódico habían escocido lo suyo a la compañía de Zuckerberg.

"Cambridge Analytica binario"

Datos en código binario. /W. Rabel.

Se reafirmaron en sus posiciones respecto a que los usuarios habían cedido sus datos de manera voluntaria y que por tanto no se podía hablar de “fuga” ni de “brecha” de información por parte de esta red social porque según ellos, total, no se han filtrado contraseñas, ni nadie ha penetrado sus sistemas, ni se ha robado información sensible.

Si esto es lo que le importa a la compañía lo que se hace con los datos de los usuarios, tal vez sea el momento de borrarse de Facebook de una vez por todas como dice John Briggs en Tech Crunch. También tengo que decir que leyendo su artículo veo más claro por qué hemos llegado a este punto con esta red social. Briggs arranca su reflexión escribiendo que “Facebook nos usa”. ¿De verdad hay expertos tecnológicos como Briggs que proclaman esto ahora como si lo hubieran constatado a raíz de una noticia como esta?

 

*Antes de comentar sugiero que lean la política de este blog destinada a tal fin.

‘Fariña’ o qué tiene que pasar para que la gota de agua colme el vaso

Nacho Carretero ha insistido en más de una entrevista que su libro, Fariña, es más bien producto de una labor de recopilación de sentencias judiciales e informaciones periodísticas que hablan de un mismo fenómeno, el narcotráfico en Galicia, que de una investigación totalmente propia.

Lo cierto es que él sí adereza todo este material con trabajo propio en forma de entrevistas con diversas fuentes, la mayor parte de ellas aparecen con su nombre, pero otras solo lo hacen con pseudónimo o como fuentes anónimas. De todos modos, para disponer de una obra que sea una síntesis de un problema tan complejo y tan dilatado en el tiempo, es necesario que alguien esté dispuesto a sacrificar buena parte de su tiempo para darle forma, recopilar, valorar y escribir.

Tras el secuestro del libro y el posterior incremento exponencial de las ventas, es habitual que se destaque en las entrevistas al autor o en conversaciones de cafetería entre quienes se lo han leído que Carretero dibuja un escenario donde el contrabando, una ostentación sin recursos aparentes que la justifiquen y el silencio eran la tónica habitual en la que crecieron algunos que llegaron a asumir el fenómeno con una normalidad que nos asombra a todos los que no nos hemos criado en ese entorno.

"Fariña Pazo de Baión"

El Pazo de Baión, adquirido en su día por Laureano Oubiña. /José Antonio Gil Martínez

En efecto, el libro nos arrastra hacia esa cotidianeidad y terminamos casi asumiendo la lógica que impera en un entorno aparentemente apacible y, sin embargo, oscuro y opresivo. Por eso desde el principio me fijé en los puntos en los que ese manto de silencio se rompía, en aquellos sucesos donde algunos pudieron aventurar que algo por fin podría cambiar. Porque esos momentos eran los que hacían destacar que ese panorama cotidiano no era tan corriente como les parecía a quienes se habían habituado a él.

Por ejemplo, Carretero contó que un juez de Cambados decidió llegar hasta el fondo del asunto cuando un contrabandista de tercera fila de Valladolid acudió a denunciar que hombres de un clan gallego le habían pegado una paliza y lo habían metido en un camión congelador del que pudo escapar por su propio pie. Ese empeño del juez permitió llevar a cabo una macrorredada en diciembre de 1983 que dio lugar a su vez al macrosumario 11/83.

También se cuenta que después de ver caer a su cuarto hijo en la heroína Carmen Avendaño estuvo a punto de dejar el activismo de madres contra la droga. Tras ese primer momento de abatimiento, la Fundación Érguete redobló sus esfuerzos activistas haciendo escraches en las viviendas de los narcos cuando por aquel entonces ni siquiera se sabía qué significaba esa palabra. La gota que colmaba el vaso vino también en forma de motivaciones menos nobles y épicas.

"Fariña Baltasar Garzón"

Baltasar Garzón era juez de la Audiencia Nacional cuando se ejecutó la Operación Nécora en 1990. /Juan Martos.

En Fariña también tenemos el caso de un arrepentido que dijo colaborar con jueces, fiscales y policía tras ver a jóvenes reclusos sufriendo por el mono, pero el autor del libro sospecha que más bien lo que movió a ese arrepentido en concreto fue un “desengaño económico”, es decir, que contactó con el juez de instrucción para suministrarle información de alguien que le debía siete millones de pesetas.

O el otro caso del que se convierte en arrepentido porque ve que otro conocido suyo que dio el paso está fuera de prisión y va a verlo a él a la cárcel acompañado de un juez. Si a eso se suma que en ese mismo centro penitenciario ha coincidido con varios integrantes de uno de los clanes más violentos de todos a los que se les ha vinculado con el narcotráfico, se entiende entonces el miedo que lo empujó a dar información.

Desde luego lo que más me ha sorprendido con mucha diferencia dentro del contexto histórico en el que se enmarca el contrabando en Galicia es el caso del Couto Mixto, que fue un estado independiente de facto desde el siglo XIII al XIX. Como lo oyen. En la Península Ibérica. Y yo sin enterarme. Me ha hecho resurgir ese interés del historiador que ya había hecho a un lado con el transcurso de los años.

 

En Fariña se cuenta que Galicia se unió al Reino de León y después al de Castilla. La pasividad de ambos reinos hizo que el Couto Mixto quedase en una especie de limbo legal donde los súbditos actuaban como si de un enclave administrativo independiente se tratase. Elegían a sus propios madatarios, no pagaban impuestos a ninguno de los dos reinos y tampoco eran movilizados como soldados. Todo el mundo pareció aceptar de hecho la independencia del Couto Mixto que se convirtió en una zona de libre comercio durante siglos entre España y Portugal, hasta que en 1864 un tratado de límites incluido en el Tratado de Lisboa dividió este territorio entre los dos estados ibéricos.

 

*Antes de comentar sugiero que lean la política de este blog destinada a tal fin.

Cuando los procesos sociales se explican mejor en el género fantástico

Cómo puede explicarse la disyuntiva entre revolución y reforma, entre estamentos y clases sociales, entre golpe de estado y revuelta popular, entre estabilidad –e inmovilismo- y permeabilidad social sin que el lector se aburra, es más, sin que se dé cuenta siquiera mientras no puede dejar de pasar páginas con la sensación de deslizarse suavemente sobre el texto, ya que este no tiene un ritmo rápido pero sí fluido, casi armonioso diría yo.

Algo así está al alcance de muy pocos y entre esos se encuentra George R.R. Martin, el autor de Juego de Tronos, autor también de un libro a cuatro manos con Lisa Tuttle titulado Refugio del Viento, que vio la luz en castellano en 2012, gracias a la editorial Gigamesh y después de una larga espera ya que el original, Windhaven, se publicó en 1981.

No esperen encontrar una historia subversiva de tono épico donde la chica de origen humilde se rebela, se pasa las convencines sociales por donde no les digo y al final acaba revolucionando una sociedad anquilosada que contempla el brillo de su victoria en un final apoteósico. Nada de eso. Si algo enseña Refugio del Viento es que los cambios sociales hay que trabajárselos.

Lo que parece una amago de revolución acaba en una reforma posibilista y práctica, lo que parece un avance implica un retroceso en otro aspecto, los cambios sociales son perfectamente reversibles si el interesado en revertirlos se encuentra en la cima de la pirámide y cuenta con unos estratos sociales por debajo de él lo suficientemente divididos para no poder ejercer una oposición real a los abusos o a la imposición de los privilegios de unos pocos.

Escribo el título de la obra con mayúscula inicial en la palabra “viento” porque alude a un extraño planeta que se compone en su mayor parte de agua marina. La vida humana se da en la tierra de las islas que forman tres archipiélagos. Hay un cuarto archipiélago minúsculo al este y una masa de tierra hacia el norte que recuerda vagamente a Groenlandia. No se preocupen que no tiene pérdida, se ha añadido un mapa en blanco y negro a doble página antes del prólogo.

De quienes habitan allí solo sabemos que aparentemente respiran oxígeno y que los vientos son lo suficientemente potentes como para que las personas debidamente entrenadas puedan volar utilizando unas alas al más puro estilo de Ícaro y Dédalo. Las alas se heredan de padre o madre a primogénito, sea este último hombre o mujer.

Los voladores son privilegiados que llevan de un lado a otro mensajes y hacen posible las comunicaciones entre islas, ya que esos mismos vientos que les posibilitan volar son los mismos que hacen de la navegación una actividad muy peligrosa, casi suicida a veces teniendo en cuenta las tempestades y las escilas, monstruos marinos que disponen de fauces con dientes afilados y varias cabezas sobre largos cuellos con forma de serpiente.

Esta descripción se ajusta a una de las que hace la mitología griega de estos seres, salvo que en el mito Forcis y Ceto solo engendraron una ninfa que se convirtió en ese bicho en concreto. Luego tuvieron más criaturas parecidas, pero no se llamaban igual. Pues bien, Maris, una niña que nació en una casa desvencijada y tenía que bajar a la orilla después de un temporal a recoger los restos de los naufragios, siente que ha nacido para volar y no parará hasta que su vocación se reconozca como un derecho y no como un privilegio.

En la cubierta se habla de ciencia ficción, la crítica habló de fantasía científica con ciertos ecos de novela romantica. Creo que es inclasificable. A lo largo de la novela se nos remite a un pasado donde unos exploradores de las estrellas llegaron a ese planeta. Obviamente eran terrícolas, pero no se da una pista de cuándo ni cómo, no se incide en la tecnología que permitió la colonización de Refugio del Viento.

"Ícaro y Dédalo sociales"

Estatuas que representan a Ícaro y Dédalo en Agia Galini. /Sanpi.

¿Es fantasía entonces? Encontramos una sociedad que podríamos considerar de rasgos medievalizantes, la tecnología más puntera son las alas de los voladores construidas siguiendo un plan minucioso, pero para hacerlas funcionar basta con agitar los brazos teniendo la forma física adecuada y seguir las corrientes de aire oportunas. No existen médicos, cuentan en todo caso con “sanadores”, algo así como curanderos. Pero aparte de las escilas no sale ningún otro animal o ser antropomorfo fantástico. Sin embargo, todo esto transcurre en un planeta inventado.

Yo, al menos, veo diversas paradojas literarias en cuanto a géneros se refiere. Me alegra que los mismos rasgos que me llevaron a rechazar Malignos de Richard Calder me lleven ahora a recomendar Refugio del Viento.

 

*Antes de comentar sugiero que lean la política de este blog destinada a tal fin.

Google le pondrá la cruz a los sitios HTTP a partir de julio (II)

Ya contamos ayer que Google pretende marcar como no seguros los sitios HTTP en la versión de Chrome que lanzará a principios de julio de este año y explicamos que un sitio HTTPS garantiza una conexión privada pero no necesariamente segura. Tampoco significa que quien está detrás de esa página sea realmente quien dice ser.

Una vez establecidos los matices técnicos cabe preguntarse si aparte del poder de Google también nos obliga la ley. Jacob Peregrina, abogado director de Tecnoiuris y especializado en privacidad y ciberseguridad, desgrana para En la Datarred en qué situación nos encontramos actualmente partiendo de aquella ley de protección de datos de finales de la década de los noventa.

De la completa respuesta de este abogado se puede concluir como respuesta a nuestra pregunta que si se manejan datos personales desde luego no cabe otra que poner las medidas necesarias, entre otras, la implementación del protocolo HTTPS en nuestra página.

Ya hemos mencionado que existe una ley que data de 1999 y que exige la adopción de las medidas técnicas y organizativas necesarias por parte del responsable “del fichero”, es decir, de squien gestiona esa base de datos personales, para que estos no se alteren, pierdan, o pueda acceder a ellos alguien no autorizado.

"HTTP mazo de juez"

Mazo de juez. /Chris Potter (StockMonkeys.com)

Casi una década después, un Real Decreto de 2007 da otro paso adelante y especifica que en el caso de que exista obligación de implantar “medidas de seguridad de nivel alto” la transmisión de datos personales a través de “redes públicas” o inalámbricas de comunicaciones electrónicas deberá llevarse a cabo cifrando los datos, o de cualquier otra forma que impida que terceros puedan manipular o ver esos datos.

Por tanto, explica Peregrina, si una de las principales características del protocolo HTTPS es que cifra todo el tráfico intercambiado entre usuario y entorno web, se puede deducir que su uso sirve para cumplir con las exigencias establecidas.

¿Quién debe cifrar sí o sí los datos por requerir estos medidas de seguridad de nivel alto? Pues entre otros todos aquellos que manejen datos relativos a ideología, afiliación sindical, religión u otras creencias, origen “racial”, salud o vida sexual, así como aquellos que se refieran a otros datos recabados con fines policiales. También entran en esta categoría aquellos “derivados de violencia de género”, “los sujetos obligados al cumplimiento” de las leyes de prevención de blanqueo de capitales y financiación del terrorismo y aquellos que gestionan ficheros de whistleblowers, abogados en ejercicio de su profesión y, por supuesto, las administraciones públicas.

Hago aquí un aparte para hablar de los ficheros de whistleblowers porque este punto no me sonaba haberlo visto en ley alguna. Peregrina nos remite a un informe de la Agencia Española de Protección de Datos que habla de las circunstancias en las que debería ponerse en práctica un sistema de denuncias internas en las empresas, algo que en el citado documento se llama “mecanismos de whistleblowing“.

"HTTP conexion"

Conexión HTTP. /Rock1997

De los puntos esbozados en el texto se habla entre otras muchas cosas de que se ha de informar al denunciado de la existencia de una denuncia en su contra, a quiénes se va a remitir la información de esa denuncia, el departamento responsable de ese sistema de denuncias y los derechos de esa persona denunciada en cuanto a protección de datos.

No sé si será mi falta de formación jurídica, pero me he sorprendido cuando he leído que en toda esa información que se proporcionará al denunciado no se adjuntará información del denunciante “a menos que hubiera obrado con mala fe”. O sea, ¿que si se entiende que ha obrado con mala fe entonces sí se le puede exponer ante el denunciado? A ver, entiendo que se haga ante terceros que tengan la autoridad necesaria para tomar medidas, pero ante el propio denunciante… Además, ¿quién y cómo decide qué es exactamente mala fe?

Otro aspecto a tener en cuenta es que los datos de esa denuncia “se cancelarán en un plazo máximo de dos meses” si los hechos denunciados no se consideran probados. Si por el contrario se han recabado suficientes pruebas entonces esos mismos datos se conservarán el tiempo que sea necesario.

Este informe descarta la posibilidad de implantar un sistema que permita denuncias anónimas y se inclina más por dar garantías de confidencialidad para el denunciante evitando que el denunciado pueda acceder a los datos que revelen la identidad del primero.

"HTTP https"

Una conexión HTTPS. /Sean McEntee.

Volviendo a la proscripción de la conexión HTTP y la acogida de la HTTPS. Hay que tener en cuenta, prosigue el abogado, que a partir del 25 de mayo de este año se aplicará el Reglamento General de Protección de datos aprobado por la UE y del cual doy cuenta en este reportaje que enlazo.

Según esto, la ley ya no distingue entre datos de nivel básico, medio o alto y en cuanto a seguridad en el almacenamiento y tratamiendo de datos establece que todos deben ponderar una serie de circunstancias como el estado en que se encuentra la técnica en ese preciso momento, los costes y la gravedad de las variables que entran en juego, si pueden quedar comprometidos derechos y libertades de personas físicas, etcétera.

El responsable de esos datos, por tanto, deberá garantizar un nivel de seguridad de los mismos acorde al riesgo que incluya, entre otras medidas citadas por Peregrina, “la seudonimización y el cifrado de los datos personales”. Vemos como en este caso la generalización que se produce al evitar especificar hace que el marco se amplíe y todos nos sintamos obligados. Estoy en ello, de verdad, intento ser coherente pero de momento me agarro al clavo ardiendo de los costes. Paciencia. De momento, pueden escribir sus comentarios firmando con pseudónimo y no tienen que proporcionar un email verdadero. Yo lo he probado. Ahí lo dejo a modo de sugerencia.

 

 

*Antes de comentar sugiero que lean la política de este blog destinada a tal fin.

 

Page 1 of 4

Creado con WordPress & Tema de Anders Norén