Para crear una nueva cuenta de usuario en una aplicación o en un sitio web es necesario proporcionar unas credenciales de acceso que son una combinación de identificador (un nombre de usuario, un email, un número de teléfono o similar) y una contraseña, además de otros datos de registro. A medida que aumenta el número de aplicaciones de las que somos usuarios, crece también el número de credenciales que tenemos que recordar. Esta circunstancia, unida a las recomendaciones de seguridad que requieren utilizar contraseñas fuertes, contraseñas distintas en cada servicio y cambiarlas con cierta frecuencia, hacen que la gestión de contraseñas se complique de tal manera que no se suele llevar a cabo.

Como solución a esta avalancha de identidades digitales, han surgido diferentes iniciativas entre las que destaca los servicios de autenticación basados en identidad federada. A pesar de ser un servicio proporcionado desde hace años, la utilización de las credenciales de redes sociales para acceder a otros servicios sigue siendo un tema de actualidad en los sectores de la ciberseguridad y privacidad.

Estos servicios están basados en una tercera parte independiente (por ejemplo, una red social) que es quien autentica al usuario ante las diferentes aplicaciones o sitios webs. Es decir, para acceder a un sitio concreto, durante el proceso de inicio de sesión somos redirigidos a un servicio de autenticación federada que comprueba las credenciales y, si son correctas, devuelve el control al servicio solicitado. Además, estos servicios de autenticación pueden compartir algunos datos personales imprescindibles para el registro con el servicio al que queremos acceder, de forma que no sea necesario que volvamos a introducir en otra web de forma repetitiva datos como nuestro nombre, apellidos, fecha de nacimiento, datos de contacto, etc.

Las VENTAJAS de estos servicios son:

• Nos ayuda a reducir el número de credenciales que usamos.
• Los procesos de registro son más rápidos porque muchos de los detalles de registro, si no todos, son automáticamente proporcionados por el servicio de autenticación federada.
• Existe menos riesgo de que nuestras credenciales de acceso acaben viéndose afectadas por una brecha de seguridad en el servicio concreto al que accedemos, porque todas esas aplicaciones y servicios no guardarán de ninguna forma nuestras contraseñas. Y en caso de verse afectada sólo sería necesario cambiar una contraseña.

En los últimos años han proliferado proveedores de identidad federada ofrecidos principalmente por las grandes tecnológicas y las redes sociales, basadas en el estándar OAuth. Así, muchas aplicaciones te ofrecen la posibilidad de crear una cuenta e iniciar sesión directamente con tu cuenta de Google, Apple, Twitter, Facebook y algunos otros.

Estas entidades pueden llegar a tener datos muy completos sobre nosotros, nuestra vida, nuestros gustos, nuestras aficiones, nuestros intereses, etc., tanto por la información que hemos facilitado en nuestros perfiles de usuario como por los datos obtenidos o inferidos directamente a través del uso que hacemos de las aplicaciones de Internet en las que nos autenticamos haciendo uso de esta técnica.

El uso de la autenticación federada debe contar con las garantías adecuadas para que no se materialicen riesgos como la pérdida del control sobre los datos personales, ya que podría dar lugar a flujos de datos que acaben siendo utilizados para el seguimiento o el perfilado de las personas.

No todos los servicios de identidad federada dan el mismo control al usuario sobre los datos que comparten con las aplicaciones en las que nos registramos, ni proporcionan la información de forma uniforme.

Estas entidades pueden llegar a tener datos muy completos sobre nosotros, nuestra vida, nuestros gustos, nuestras aficiones, nuestros intereses, etc., tanto por la información que hemos facilitado en nuestros perfiles de usuario como por los datos obtenidos o inferidos directamente a través del uso que hacemos de las aplicaciones de Internet en las que nos autenticamos haciendo uso de esta técnica.

El uso de la autenticación federada debe contar con las garantías adecuadas para que no se materialicen riesgos como la pérdida del control sobre los datos personales, ya que podría dar lugar a flujos de datos que acaben siendo utilizados para el seguimiento o el perfilado de las personas.

No todos los servicios de identidad federada dan el mismo control al usuario sobre los datos que comparten con las aplicaciones en las que nos registramos, ni proporcionan la información de forma uniforme.

Por lo tanto, entre RIESGOS asociados a estas tecnologías se pueden destacar:

• Pérdida de control sobre los datos personales, cuando el servicio accede a determinados datos del perfil social del usuario.
• Utilización de los datos obtenidos de la red social para finalidades distintas de las consentidas por el usuario.
• Acceso de las redes sociales a una mayor información sobre nuestro uso de las aplicaciones o comportamiento por Internet, lo que facilita el seguimiento y perfilado.
• Ante una brecha de seguridad del servicio no se verá afectada la contraseña del usuario, pero si puede verse afectada mucha información del perfil social de usuarios, incluidos datos sobre sus intereses y perfilado para publicidad comportamental.
• En caso de perder el control sobre la cuenta de la red social (robo de credenciales), se pierde también el control del resto de servicios donde nos hemos registrado con esa cuenta, que podrían también verse comprometidos.

Para realizar un USO SEGURO de esta tecnología se aconseja seguir las siguientes recomendaciones:

1. Antes de iniciar sesión con tu cuenta de una red social en una aplicación, infórmate sobre esa aplicación y sobre los datos a los que tendrá acceso, valora también el uso que vas a hacer de la misma.
2. Si se trata de una aplicación que desconoces, que únicamente vas a utilizar puntualmente, o simplemente quieres conocerla y experimentar, evita iniciar sesión con tus credenciales de tu red social habitual. Es más recomendable crear para ese servicio una nueva cuenta o, incluso, utilizar servicios de identidad federada que has creado específicamente para acceder a servicios con mayor riesgo.
3. No guardes contraseñas en el navegador ni las reutilices en diferentes servicios. Usa gestores de contraseñas que sean fiables, para generar nuevas contraseñas robustas, acceder a ellas cuando las necesites y tenerlas almacenadas de forma segura.
4. Utiliza únicamente aquellos servicios de identidad federada que te ofrezcan mejores garantías respecto al uso de tus datos personales, mayor control sobre los datos personales que compartirán con la aplicación en la que te registras y medidas de seguridad adecuadas, como un segundo factor de autenticación.
5. Cuando utilices tus credenciales de una red social para acceder a una aplicación asegúrate de gestionar adecuadamente los permisos de acceso a tus datos personales que concedes a la aplicación, tanto en el momento del registro como posteriormente. Evita que obtenga más datos de ti de los que consideres necesarios.
6. Revisa periódicamente, desde los ajustes de privacidad de tu cuenta en redes sociales, las aplicaciones en las que has iniciado sesión o permites que se inicie sesión, eliminado o revocando el permiso para aquellas que hayas dejado de utilizar y gestionando los datos personales a los que puede acceder cada aplicación.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

• Los acortadores de URLs y la protección de datos
• Brechas de seguridad: el correo electrónico y las plataformas de productividad online
• Cifrado y Privacidad III: Cifrado Homomórfico
• Cifrado y Privacidad II: El tiempo de vida del dato
• Cifrado y Privacidad: cifrado en el RGPD

 

 

Imagen de John Schnobrich en Unsplash

La privacidad de grupo o grupal se puede definir como la privacidad correspondiente a grupos definidos por cualquier característica o combinación de características que se asocian a determinados individuos.

El perfilado de las personas y su tratamiento por, por ejemplo, el Estado o los servicios de Internet, se puede considerar uno de los riesgos más importantes a la privacidad. El enfoque de la privacidad tomando al individuo de forma aislada tiene un origen histórico, puesto que el nivel tecnológico limitaba en el pasado las posibilidades del tratamiento masivo de datos de la población. Sin embargo, el avance de las técnicas de tratamiento de la información, como las de Big Data o Inteligencia Artificial, ha introducido nuevos aspectos a tener en cuenta. Según el filósofo Luciano Floridi, la mayoría de las personas no están perfiladas como individuos, sino como miembros de un grupo específico, y no se da la relevancia adecuada a las amenazas que de ello se derivan.

En el caso que nos ocupa, un grupo es un conjunto de personas. La pertenencia a un grupo puede nacer de la iniciativa del propio individuo, mediante una acción consciente y voluntaria, por ejemplo, apuntarse a un club o una asociación (grupo adscriptivo según Mittelstadt). También, el sentimiento de grupo puede surgir de alguna característica que el individuo asume que comparte y le vincula con otras personas, por ejemplo, como un ideal político, un lugar de nacimiento, o una educación (grupo colectivo).

Sin embargo, una tercera parte interesada pueden definir grupos estableciendo, por ejemplo, que pertenecen a un grupo aquellos individuos que tienen el mismo tipo de automóvil, que compran un tipo de comida, que comparten el mismo nivel adquisitivo, que seleccionan el mismo contenido online, que viven en el mismo barrio, que portan un gen específico, que sufren la misma infección, etc. Estos grupos, que denominan ad-hoc, no tienen un listado de miembros y sus integrantes no son siempre conscientes de la pertenencia a los mismos. Un paso más allá ocurre cuando estos grupos se establecen, no a partir de una acción positiva de una persona, sino que establecen de forma automática a partir de la definición abstracta de una IA que “agrupa algorítmicamente” individuos en función de un conjunto de datos.

Una vez establecido el grupo ad-hoc, se podría alimentar un perfil asociado éste mediante datos agregados sobre dicho grupo de personas de diversas formas. Una de ellas es hacer uso de las fuentes de datos abiertos, como, por ejemplo, los resultados electorales de un distrito. También podría crearse dicho perfil utilizando técnicas de Big Data sobre datos agregados procedente de la tecnología digital que utilizan las personas (apps, IoT, datos de navegación, geolocalización, …). Relacionada con la anterior, también es posible enriquecer la información del grupo realizando inferencias sobre la información agregada al mismo mediante modelos predictivos desarrollados mediante aprendizaje automático. Incluso puede enriquecerse el perfil mediante el rastreo y análisis de individuos especialmente seleccionados asignados a dichos grupos, cuyos resultados se extrapolan a todo el grupo.

De esta forma, los datos empleados para generar el perfil del grupo podrían no tener la consideración de datos personales, pudiendo incluir información que pudiera estar dentro de lo que se define como categorías especiales de datos. Los grupos generados ad-hoc no se beneficiarían de cualquier protección efectiva con relación a los perfiles generados porque no están establecidos como tal y no están sujetos a ninguna forma jurídica. El perfilado y las inferencias sobre estos grupos carecerían de cualquier protección legal.

A partir de allí, las entidades podrían tomar decisiones sobre individuos tomando en cuenta cualidades que se han establecido en el grupo en el que dicho individuo ha sido incluido. Independiente de la percepción que tiene la persona de su propia individualidad, de su desvinculación con los intereses o características de otras personas, el sujeto será evaluado en función del perfil asignado a dicho grupo.

La aplicación del perfil del grupo sobre el individuo podría adoptar distintas formas. Por ejemplo, una plataforma de distribución de contenidos audiovisuales podría tratar de orientar las preferencias de los suscriptores de una misma zona en función del perfilado asignado al conjunto, de forma que ofrezca contenidos que sean más conveniente para su estrategia comercial y de gestión. Un individuo, cliente de determinado producto o servicios, podría recibir “sugerencias personalizadas” que guían sus elecciones en función del grupo al que está asignado. Una cadena de tiendas adaptará su oferta y su marketing al perfil asociado a determinado código postal. También, en función de ese perfil grupal, sería posible adaptar propuestas, servicios u otras medidas a los individuos que acudan a determinadas áreas, o en determinados momentos, o por su edad.

En este sentido, la constitución de un grupo permite la aplicación de lo que se denomina “conocimiento generalizable”, que implica universalizar a todos los miembros ciertas características comunes solo a alguno de ellos. Por ejemplo, el conocimiento generalizable de que fumar causa cáncer expone a todos los fumadores a precios de seguros médicos más altos.

Estos tratamientos conllevan riesgos para los individuos, no sólo por su inclusión implícita en un grupo del que no tiene conocimiento, sino de que hay decisiones que le afectan y puede verse afectado por sesgos de los que se desconoce su alcance y posibles consecuencias. Podríamos encontramos con resultados discriminatorios por razón de género, raza, opiniones, hábitos o localizaciones geográficas concretas. Los miembros de un grupo se podrían ver atacados o discriminados sin que ellos mismos lo sepan.

Floridi señala que la protección de la privacidad grupal no se logra automáticamente al proteger la privacidad individual. Por esta razón, existe una corriente de opinión en el sentido de que la regulación actual, basada en la identificación personal de la información debería complementarse con un enfoque en la identificación de información sobre categorías o grupos. De hecho, algunos estudiosos consideran que los derechos de grupo son el origen del marco de los derechos humanos actual. Hay que tener en cuenta que derechos como la libertad religiosa o los derechos de las minorías étnicas tienen su origen en grupos.

Una conclusión importante es la concienciación de los individuos sobre la importancia de preservar la propia privacidad, que va más allá de las consecuencias que puede tener para su propia privacidad sino también puede afectar a los derechos y libertades de la sociedad en su conjunto. Esto no es un impedimento para los innumerables potenciales de la tecnología, sino más bien una condición para que este potencial se lleve a cabo de una manera responsable.

Otras recomendaciones elaboradas por la AEPD se pueden encontrar en el microsite de Innovación y Tecnología, específicamente aquellas relacionadas con las políticas de privacidad y principios de protección de datos:

• Gobernanza y política de protección de datos
• Protección de datos y seguridad
• Ingeniería de la Privacidad

 

La manera de relacionarse de menores y adolescentes se ha transformado con la llegada de los dispositivos móviles inteligentes, las redes sociales e Internet. El 22% de los chicos y chicas de 10 años dispone de teléfono móvil, porcentaje que asciende exponencialmente hasta casi el 94% a los 15 años, según datos de 2019 del INE. Por otro lado, la mitad de las personas de 15 a 29 años afirman haber vivido situaciones de violencia en la pareja según el ‘Barómetro juventud y género 2019’ del Centro Reina Sofía de la FAD, siendo acciones como la de revisar el móvil las más señaladas con diferencia por las personas encuestadas.

La Fiscalía General del Estado en su Memoria de 2019 señala que “se viene detectando un alarmante incremento de las ideas sexistas y de la violencia entre los menores y adolescentes en el entorno familiar, pero también y especialmente en el ámbito sexual, conductas realizadas en grupo y a menudo grabadas y difundidas a terceros”.

Asimismo, la reciente Macroencuesta de Violencia contra la Mujer de 2019 del Ministerio de Igualdad revela, entre otras conclusiones, que un 18,5% de las mujeres de 16 o más años residentes en España han sufrido acoso sexual antes de cumplir los 15 años, conductas entre las que se incluye el envío de imágenes o fotos sexualmente explícitas que hicieron sentirse ofendida, humillada o intimidada a la mujer.

Con el objetivo de ayudar a menores y adolescentes a detectar el acoso y la violencia de género digital, la Agencia Española de Protección de Datos (AEPD), El Ministerio de Educación y Formación Profesional, el Ministerio de Igualdad y Pantallas Amigas, han puesto en marcha la campaña ‘El control es tuyo, que no te controlen’.

Descarga el cartel de la campaña ‘El control es tuyo, que no te controlen’

Los mensajes inciden en cuatro situaciones que pueden vivir los y las menores en clase, el grupo de amistades o en sus relaciones amorosas y que esconden una conducta de acoso y violencia digital, en muchos casos normalizada en su entorno. En cada mensaje se incluyen recomendaciones y se enlaza a una página con más información sobre cómo identificar estas conductas y actuar.

 

Tu vida está en tu móvil

Tus fotos, vídeos, las conversaciones con tus amistades y todos tus secretos están en tu móvil. ¿Quieres que otras personas las vean? Recuerda que el móvil es tuyo y no tienes porqué darle tus contraseñas a nadie. Que tu pareja te pida acceso a tu móvil no significa que te quiera más, es una forma de violencia de género digital.

Descubre 10 formas de violencia de género digital en la web de Pantallas Amigas.

 

Tu móvil hace cosas raras

Si tu móvil tiene problemas de batería de manera repentina, se calienta cuando no lo utilizas o se escucha mal cuando recibes una llamada, alguien puede estar accediendo a tu teléfono. Estos problemas podrían ser síntoma de que han instalado algún tipo de sistema para espiarte a través de tu dispositivo. Revisa la configuración de tus redes y aplicaciones o incluso vuelve a la configuración de fábrica.

Dispones de más información y recomendaciones sobre violencia de género digital, privacidad y protección de datos en la web de la AEPD.

 

Te están acosando, pide ayuda

¿Alguien de clase publica constantemente mensajes hirientes o amenazantes sobre ti para hacerte daño? ¿Tu pareja te pregunta donde estás, por qué no contestas, o te pide que le envíes tu ubicación o le enseñes tus conversaciones? Debes saber que te están acosando, que puede ser un delito y que puedes denunciarlo y pedir ayuda.

También puedes denunciarlo si ves que le está ocurriendo a otra persona y nunca compartas el contenido relacionado con el acoso. Recuerda: no te calles, no compartas y pide ayuda.

Tienes más información sobre cómo detectar la violencia de género y a quién pedir ayuda en la web del Ministerio de Igualdad.

 

Han compartido imágenes comprometidas sin tu consentimiento

Si comparten imágenes sexuales, violentas o humillantes sin el consentimiento de las personas que aparecen en ellas puedes denunciarlo en el Canal Prioritario de la AEPD para solicitar su retirada urgente, incluso si inicialmente las grabaron con tu consentimiento. Si te llega este tipo de contenido a tu móvil debes decírselo a la persona, ayudarla, y también puedes denunciarlo.

Puedes denunciar la difusión de contenido sensible sin consentimiento en la web del Canal Prioritario de la AEPD.

 

Cómo puedes ayudar en la lucha contra la violencia de género digital

Todos y todas podemos ayudar en la concienciación sobre el acoso y la violencia de género digital compartiendo el cartel y mensajes de esta campaña en nuestras redes sociales y entre nuestras amistades y familiares.

• Si eres una entidad comprometida con la erradicación de la violencia digital: comparte la campaña para ser parte activa frente al problema.
• Si eres menor de edad o adolescente: comparte el cartel entre tus amistades y toma parte activa frente al problema.
• Si eres docente en un centro educativo: imprime el cartel, cuélgalo en tu clase y habla sobre ello con tus alumnos.
• Si eres madre, padre, o un familiar: comparte la campaña en los grupos del colegio, infórmate y habla con tu hijo o hija sobre los peligros de Internet.