Opinión

La verdadera magnitud de la fuga de datos privados

La fuga más reciente fue detectada por la firma especializada en delitos cibernéticos Hudson Rock

El último escándalo de Facebook ya es ampliamente conocido y se trata de la filtración de nombres, números de teléfono, ID, fechas de nacimiento, biografías y, en algunos casos, direcciones de correo electrónico, datos personales de unos 500 millones de usuarios en 106 países fueron filtrados por un usuario de un foro de hacking.

Son 32 millones de registros de usuarios en EE.UU., más de 10,8 millones en España, 11 millones de usuarios en Reino Unido, 6 millones en India, y la lista sigue hasta completar los 500 millones, casi la población total de la Unión Europea.

Pero no es la primera vez que se publican en Internet datos de millones de miembros de la principal red social del planeta. Revelado en 2018, el escándalo de Cambridge Analytica, el nombre de una empresa británica que utilizó sin autorización los datos personales de decenas de millones de usuarios de Facebook con fines de propaganda política, es el primer gran antecedente que empañó la reputación de la red social en materia de privacidad de datos. En este caso se “rasparon” los datos de más de 80 millones de usuarios en violación de los términos de servicio de Facebook para apuntar a los votantes con anuncios políticos en las elecciones de 2016.

Según las últimas investigaciones, esos datos privados fueron utilizados para manipular psicológicamente a los votantes en las elecciones de EE.UU. de 2016, donde Donald Trump resultó electo presidente. Aquí es donde se observa la magnitud, el impacto político, económico y social que puede tener el uso ilegítimo de grandes cantidades de data.

La fuga más reciente fue detectada por la firma especializada en delitos cibernéticos Hudson Rock. Los argumentos esgrimidos desde Facebook para el mundo en general y Europa en particular fueron débiles. Que los datos fueron extraídos antes del 2018 (anterior al RGPD), que en realidad revela algo peor, como anomalías anteriores no declaradas por la compañía, o que fueron extraídos de manera maliciosa, con un software para imitar la aplicación de Facebook y cargar grandes conjuntos de números de teléfono para ver cuáles coincidían con los usuarios de Facebook, lo tampoco exonera de responsabilidad a este gigante tecnológico, que debería velar y responder por la privacidad de la información de sus usuarios.

Otra publicación de Facebook en su blog se refierió a datos que se raspan o “scraping” una táctica común que a menudo se basa en software automatizado para extraer información pública de Internet que puede terminar distribuyéndose en foros en línea, lo que implica técnicamente que la información personal filtrada a través de su herramienta de importación de contactos era de alguna manera pública. Esto equivale a decir que las personas ya habían publicado esa información.

Por su parte, la RGPD es clara en este aspecto, y requiere que los controladores de datos protejan adecuadamente los datos personales y apliquen el principio de privacidad, ya sea por diseño o por defecto. Por lo que todas estas declaraciones tienen poco sustento.

También es bueno saber, que según la normativa, los responsables del tratamiento de datos pueden enfrentarse a multas de hasta el 2% de su facturación anual global por no notificar infracciones, y hasta el 4% de la facturación anual por infracciones de cumplimiento más graves. El alcance económico de estas penalizaciones es otro dato de magnitud, si tenemos en cuenta que los ingresos mundiales de Facebook ascendieron a casi $86.000 millones estadounidenses en 2020.

Por eso creo es importante entender la magnitud de este tipo de filtraciones, para legitimar y dar fuerza al marco legal, robustecerlo y mejorarlo. Como bien lo afirma Alon Gal, director de tecnología de Hudson Rock, una base de datos de ese tamaño que contenga información privada, como números de teléfono de muchos de los usuarios de Facebook, son la puerta para que actores maliciosos se aprovechen de los datos para realizar ataques de ingeniería social, intentos de piratería y otras acciones que atentan contra las personas, su privacidad, sus bienes. Estos actores maliciosos también pueden ser globales y deben poner en guardia a los países afectados.

Este tipo de eventos debería empujar a las democracias y sus gobiernos a movilizarse, aplicar la normativa y sancionar de manera efectiva la mala actuación de los gigantes de la red en los distintos contextos que pudieran afectar a sus ciudadanos.