Etiqueta: privacidad

Lo de las redes sociales y los menores de 16 (y los tecnobrós)

…o César se mete en un charco al que no le habían llamado.

Si algo tuvo más eco el día en que Pedro Sánchez anunció que se apuntaba a lo de prohibir las redes sociales a los menores de dieciséis, fue la respuesta de Pavel Durov y la contrarréplica de Sánchez. Es por eso que, lo primero es dejar claro que nada más lejos de mi intención que defender a Durov —véase Arrest and indictment of Pavel Durov en la Wikipedia (y, en particular, la sección Background) sobre lo de agosto del 24, por ejemplo, para entender que no es una figura que valga la pena defender— ni a ningún otro tecnobró con red social y patrimonio de 8 cifras en adelante. (Y de las opiniones de meloncete mejor ni hablar, claro.)

Y también debo decir que tampoco estoy en contra de regular el acceso a determinados servicios y contenidos en función de la edad y, en particular, el acceso a redes sociales (y en especial a las grandes redes sociales) para las personas menores de dieciséis. He leído en algún sitio que igual lo que habría que prohibir es el acceso a esas redes a hombres blancos mayores de una cierta edad (incluyéndome a mí), y el argumento tiene bastantes atractivos, pero sigue siendo una restricción por edad.

(Podría ponerme puñetero y buscar casos en que esa regulación tiene efectos negativos, pero no es el objetivo del ejercicio. Lo único que tengo claro de todo esto es que por nada del mundo querría tener nada que ver con la decisión de regular algo así. Ni a punta de pistola.)

Queda, desde luego, definir qué es una red social. Está claro que la medida se dirige a Instagram y TikTok, especialmente. Pero… si un videojuego tiene algún tipo de mecanismo de comunicación entre jugadores (y cuál no lo tiene)… ¿es una red social? Porque me da a mí que (i) lo son, en la práctica, y (ii) si Instagram y TikTok son nocivos para mucha de la gente que los usa, los canales de comunicación de muchos de esos videojuegos lo son al menos igual. ¿Es el correo electrónico una red social? ¿Los SMS del teléfono smart-o-no de niños y niñas a partir de los doce?

Si este blog tiene comentarios (que funcionan como funcionan, lo sé 🙏) y en alguna ocasión (con muy muy poca frecuencia, pero alguna vez ha pasado) se establece comunicación entre quienes dejan comentarios… Entre el primer paréntesis y el segundo, tenéis razónm no pasaría nada por quitar los comentarios de obm, cierto. Pero… ¿vamos a tener que establecer limitaciones de edad en los comentarios de todos los blogs del mundo? Vaya, que, si opero un blog (fuera de WordPress.com y similares) ¿voy a tener que comprobar la edad de cualquiera que publique un comentario? (En obm, me repito, no es problema: se cierran los comentarios y aquí paz y después gloria, pero…) ¿Y las secciones de comentarios de los diarios en línea? (De estas, ciertamente, se puede afirmar que sería una victoria para la sociedad que desaparecieran, tenéis razón.)

También tiene que decirse que, sin haber visto la propuesta de norma y, sobre todo, cómo se pretende hacer la implementación en la práctica, pero después de haber visto algunos ejemplos de cómo se están implantando las normas de restricción de acceso por edad (sobre todo a contenidos para adultos, o, lo que es básicamente lo mismo, pornografía) que van apareciendo por todo el planeta, esas implementaciones me provocan, cuando menos, dudas. La capacidad del estado español de hacer leyes muy bonitas en la teoría, pero cuya aplicación práctica deja bastante que desear, diría yo, ha sido ampliamente demostrada. Y eso que en España tenemos un DNI obligatorio, y eso, al menos en principio, debería facilitar las cosas.

Así que, más allá de definiciones, la principal duda (o mi principal duda, al menos), es sobre esos mecanismos que voy a tener que utilizar para demostrar mi mayoría de edad en aplicaciones como WhatsApp, Telegram y Signal, o en redes sociales como Instagram (sí, querida lectora, me temo que debo confesar que tengo cuenta en Instagram (y Bluesky, y en Mastodon y, si me apuras, en last.fm, que también es una red social)), y cómo me van a garantizar la privacidad de esos datos. En Europa se supone que eso va a hacerse a través de eIDAS 2… pero aún no lo tenemos implementado, no se tendrá hasta finales de este año (y, por todos los dioses, que no corran con el desarrollo, que nos va la privacidad de todas en ello)… y yo, antes de probar un arma de potencial destrucción masiva de la privacidad, preferiría que hicieran unos cuantos meses de pruebas con fuego real antes de verme obligado a usarla.

Adiós a los servidores de Mastodon operados por particulares… Lo que podemos asegurar es que comprobar la edad de las personas que usan un servicio va a ser otro servicio… y va a requerir unos recursos. Seguro que habrá empresas (grandes consultoras, por ejemplo) que se están frotando las manos por ofrecernos esos servicios… a un módico precio. Si hay que pagar por proteger a un colectivo amenazado, se paga, desde luego. Pero me da a mí que esas comunidades virtuales que se sostienen gracias a la buena voluntad de sus operadores y operadoras… van a ver cómo se tensiona aún más esa buena voluntad. Y los que se lo puedan permitir, lo harán pasando por la caja de empresas que no nos caen nada bien.

¿No debería regularse el acceso a redes sociales, pues? Me repito: no estoy en contra de regular el acceso a determinados servicios y contenidos en función de la edad y, en particular, el acceso a redes sociales para las personas menores de dieciséis. Pero, si vamos a hacerlo, o incluso si vamos a aplaudir la medida, como mínimo podríamos intentar informarnos antes de cómo se va a hacer, inventariar los potenciales efectos secundarios que va a tener hacerlo (como los tienen todas las normativas, y la ausencia de normativas) e incluirlo todo en la discusión. Si hay que comprar, se compra. Pero sabiendo el precio.

Chat Control, enésimo intento

Recojo aquí mis notas de leer Chat Control Must Be Stopped, Act Now! Por poco que leas inglés, mejor acceder a la fuente que quedarte con mi resumen. Y si quieres tomarte la molestia de contactar con tus representantes de la UE, aquí tienes una herramienta.

Qué es Chat Control

Una propuesta de legislación europea que pone en riesgo la privacidad de todos en nombre de una presunta protección de los derechos de la infancia (algo que nos preocupa a todos, naturalmente) que va a resultar, en el mejor de los casos, muy poco efectiva. La cosa es especialmente importante ahora mismo, porque este viernes (doce de septiembre) se «pasa de fase» en el proceso, para llegar a un voto que tendrá lugar el catorce de octubre (y, al menos de momento, España se muestra a favor de aprobar Chat Control).

Chat Control haría que todos los proveedores de mensajería (WhatsApp, Telegram y compañía), correo electrónico, redes sociales, hostings y un largo etcétera monitorizasen todas nuestras comunicaciones y ficheros a la caza de material en que se abusa de la infancia. Si se pone en marcha Chat Control, acabaremos con la protección de nuestras comunicaciones y daremos un paso adelante en la vigilancia masiva por parte de los estados, poniendo en riesgo las garantías de la democracia y pasando de regulaciones como la famosa RGPD.

Por qué no funcionaría Chat Control para proteger los derechos de la infancia

Como siempre, mejor ir a las fuentes que leer mi resumen: aquí tenéis el Joint statement on the future of the CSA Regulation de EDRI, una organización para la protección de los derechos humanos, con un montón de otras organizaciones dedicadas a los derechos digitales, los derechos humanos y, sobre todo, organizaciones dedicadas a la protección y los derechos de la infancia, que defienden que hay muchas otras iniciativas que serían mucho más efectivas, como invertir en trabajo social, dar más y mejor ayuda a las víctimas, dar líneas de contacto y soporte, trabajar en prevención y educación, dar más recursos a las fuerzas del orden y trabajar en la seguridad de las TIC. También se señala que hay informes que dicen que la tasa de error de las herramientas de monitorizado que se pondrían en marcha es mucho más alta de lo que uno pensaría, y que vamos a bloquear los servicios existentes con toneladas de falsos positivos, entre otros problemas, y a generar enormes bases de datos de información extremadamente sensible que van a ser una diana jugosísima para muchísimo cibercriminal a la caza de personas a las que extorsionar (sin hablar de los malos usos que puedan hacer de esas bases de datos personas que están dentro de las organizaciones que administren esas bases de datos, claro).

(Insisto de nuevo: mucho mejor leer las fuentes que mi resumen.)

Qué puedo hacer

Ruido, básicamente. Afortunadamente, no será la primera vez que el ruido para propuestas. Como decía antes, esta herramienta ayuda a redactar un mensaje que enviar a tus representantes políticos en la UE. Y dar difusión al tema también ayuda. Seguramente poco, pero ayuda. Después, tener estas cosas en cuenta a la hora de votar, pues igual también es una idea…

En fin. Crucemos los dedos.

Smart glasses y… accesibilidad

Vengo yo de dar un paseo escuchando el penúltimo episodio de The Vergecast, en el que se habla de la review que han hecho de las Ray-Ban Meta (vídeo arriba, review completa aquí) que, si me diera la nómina, serían las que me convertirían en un glasshole (muy de acuerdo con los comentarios en el vídeo de que la cámara necesita una manera de taparla físicamente, que plantean toda una serie de dudas sobre privacidad y, sobre todo, lo que se dice en el podcast de que limitar las gafas al ecosistema de Meta es excesivo y una decisión que espero que acabe demostrándose inútil).

(Por cierto, en el podcast también se habla de la nueva ley californiana del derecho a reparar, y vale muchísimo la pena la conversación.)

En cualquier caso, también he echado en falta (en las reviews que he leído, pero también en la presentación de Meta) es cualquier referencia a las personas con discapacidad visual. ¿Quién no querría poder usar las esperadas capacidades de IA de las gafas para que te describiesen lo que tienes delante, te leyeran una etiqueta, un menú o un libro (la IA o las múltiples aplicaciones móviles que ya ayudan con estas cosas en el móvil, un formato que se me antoja) o, en caso de que aplicaciones e IA se queden cortas, conectarte con alguien para que pueda ver lo que la cámara tiene delante y echarte una mano con lo que sea que estás haciendo? (Y si la vida de la batería del cacharro es corta, que inevitablemente lo es, también creo que ningún ciego tendría ningún problema en que de la patilla pudiese colgar un cable USB delgadito a una batería USB externa…)

En fin, Zuckerberg, que el cacharrito mola, pero que estás perdiendo una oportunidad de oro de hacer algo realmente bueno, por una vez.

«Trust and safety» en Vergecast

En los últimos meses el Vergecast se ha convertido en uno de mis podcasts de referencia en cuanto a tecnología. Dedican un episodio a la semana repasar la actualidad tecnológica y es extremadamente recomendable. Cada semana hay un segundo episodio en el que Nilay Patel (un tipo con mucho criterio) entrevista a una figura relevante de la industria. Con la cercanía de las elecciones estadounidenses del año que viene la intersección de política y tecnología, un tema absolutamente inevitable en la actualidad. La semana pasada entrevistaba a Alex Stamos, actualmente director del Observatorio de Internet de la Universidad de Stanford y ex «chief security officer» en Facebook y, antes de eso, en Yahoo. La entrevista es muy interesante y gira en gran parte alrededor del concepto de «trust and safety» del título de la entrada, que es el nombre del equipo de Facebook que tiene la muy poco envidiable misión de prevenir, detectar y atajar los abusos que se dan en su plataforma. El tema es de una importancia vital. Tanto como para tomar apuntes. Y aquí abajo van mis apuntes. Absolutamente parciales y sesgados, pero ahí los dejo (y que quede claro que mis apuntes y mis opiniones no tienen por qué tener mucho en común, aun a pesar del sesgo). Espero que sirvan de acicate como para dedicarle el tiempo a bajarse el podcast y escucharlo.

Sobre las «meme wars» en las elecciones: la responsabilidad es de las plataformas tecnológicas y estas han tomado medidas. En 2016 este trabajo no correspondía a nadie y ahora es una amenaza que se tiene en cuenta en Google, Twitter y Facebook.

Todo lo que los rusos hicieron en Estados Unidos en 2016 lo habían hecho durante mucho tiempo en Ucrania.

El movimiento de Facebook hacia una plataforma más privada plantea preguntas fascinantes sobre lo que queremos de las redes sociales. Si se mueven hacia mensajería de grupos con menos amplificación, se reduce la amplificación «uno-a-muchísimos» de cuentas sociales con muchísimos seguidores de 2016. Pero la comunicación en chats privados se vuelve invisible.

Cuando das privacidad a todo el mundo también se la das a «los malos». A la larga, eso es bueno para las redes sociales porque reduce su responsabilidad, pero el daño puede continuar sucediendo.

En las elecciones en India tanto el partido en el poder como la oposición tenías sus granjas de «trolls». En lugar de lanzar un mensaje a un millón de personas, decenas de miles de personas reenviaron sus mensajes a sus amigos. La misma amplificación con algo más de trabajo y mucho más difícil de estudiar por el cifrado. El movimiento hacia el cifrado es en general positivo pero tiene sus efectos secundarios.

Opciones para parar este tipo de mensajes sin romper el cifrado de extremo a extremo sin puertas traseras. Por ejemplo, procesar el mensaje en el dispositivo antes de ser cifrado y enviado y al menos alertar al remitente, de manera respetuosa con la privacidad y la libertad del usuario. O reconocer imágenes en el dispositivo del receptor del mensaje y alertar del potencial contenido de la imagen antes de mostrarla. Las compañías adquirirían un papel más paternalista, con los problemas que esto puede suponer.

Hay una componente cínica en el cifrar las comunicaciones. A las plataformas se les pide cifrado y que no sepan qué se dicen sus usuarios y, a la vez, que protejan a esos mismos usuarios. Ambas cosas son incompatibles. Facebook, históricamente, ha intentado situarse en una posición intermedia y no ha funcionado: se les puede criticar desde los dos lados y ahora Zuck ha decidido lanzarse hacia uno de los extremos con la privacidad y el cifrado, reduciendo la moderación de contenido, que le era un problema, porque una vez que comienzas a moderar se abre un problema sin fin.

Como sociedad no hemos decidido el punto hasta el que queremos mantener segura a la gente en línea y cuánto queremos controlas sus acciones para tal efecto y quién se encarga de ello.

Se oyen voces pro control del discurso con un volumen que nunca habíamos oído en la era «pre tech». Lo que ha hecho el sector tecnológico es permitir conversaciones sobre ese control del discurso que no habrían sido aceptables en los doscientos años anteriores.

¿Las reglas se van a elaborar de manera democrática o las elaborarán actores privados? En el entorno estadounidense el gobierno no puede encargarse gracias a / por culpa de la primera enmienda. Todos los demás gobiernos angloparlantes están considerando regulaciones del discurso en línea ridículas. Australia se ha adelantado pero en el Reino Unido se están gestando cosas. Facebook no puede considerar principalmente el caso estadounidense por la distribución de sus usuarios. Y globalmente lo que pasa es más legislación pro privacidad como la RGPD.

El entrevistador pregunta si tendría sentido ofrecer el equipo de «trust and safety» como servicio «à la AWS» para start ups para poner estos servicios al alcance de compañías que no tienen la escala de Facebook («trust and safety» sería el equipo encargado de mitigar los abusos en línea en una plataforma, y es bastante diferente de lo que se considera tradicionalmente «seguridad»). Esto permitiría que surgiesen nuevas redes sociales sin tener que desarrollar un equipo encargado de estos problemas, algo potencialmente imposible. Según Stamos esto es algo que actualmente solo se puede aprender desde el rol de aprendiz en el equipo de una empresa como Facebook. Como el equipo antifraude de Paypal, son cosas que no se pueden aprender en un entorno académico tradicional. Es racional esperar que esto se convierta en una industria de la misma manera que AWS convirtió su experiencia en una industria. Twitter sería la frontera: por debajo de su escala no puedes atacar estos problemas sin subcontratar. Y, por ejemplo, en Alemania ya ha surgido alguna empresa dedicada asesorar sobre el cumplimiento de la legislación del país.

A los responsables de producto se les mide por el crecimiento, y no por si han generado una enorme cantidad de riesgo al hacer crecer su producto.

Quizá debería mirarse a la industria financiera post crisis de 2008 y su gestión del riesgo y cómo se ha llevado esa responsabilidad hacia los responsables de los productos.

Es razonable que una empresa pequeña no tenga un responsable de «trust and safety», pero es necesario que la gente de producto y de ingeniería sean conscientes de los temas asociados. Estas cosas deben considerarse y tratarse desde el inicio, no mitigarse como se pueda (o no) a posteriori. Son temas mucho más difíciles de predecir y anticipar que los tradicionales de seguridad porque son muco más específicos del funcionamiento del producto, los usuarios y sus costumbres. Va a haber más trabajo en detección y respuesta que en prevención. Pero eso no significa que no se deba anticipar y prever la necesidad. No deberías enterarte de los problemas de tu producto o servicio por la prensa.

Uno de los grandes problemas de Twitter es que es muy difícil definir qué es una cuenta falsa, dado que es perfectamente razonable que una cuenta sea anónima. En su defensa debe decirse que son mucho más transparentes con sus acciones que Facebook y Google (siendo Google la menos transparente con diferencia). Si se habla del problema chino en particular, también hay que tener en cuenta que tanto Facebook como Twitter han abandonado la esperanza de tener una buena posición en el mercado chino, mientras que Google lo está intentando con ahínco. Facebook ha añadido más recursos humanos al problema de la moderación que el total de trabajadores de Twitter.

La posición de YouTube es extremadamente opaca y la menos razonada. El poder del algoritmo de recomendación de YouTube es el mayor de todos y, por tanto, también lo debería ser su responsabilidad.

La solución de todos estos problemas pasa por los usuarios, en cualquier caso. La centralización de los medios de información del siglo XX (y los sistemas anteriores) se ha acabado. Cada vez que ha habido un cambio en esa organización la sociedad se ha tomado un tiempo en interiorizar el nuevo status quo y ha pasado por un pánico moral, y es natural que a nosotros nos toque lo mismo. Eso no elimina la responsabilidad de las empresas pero al final les toca a los individuos. La ruptura del oligopolio de la información tiene muchísimos efectos beneficiosos, pero también los negativos y en consecuencia nos exige más responsabilidad. Los trabajos académicos sobre el campo apuntan a que las nuevas generaciones son algo menos vulnerables a fenómenos como las fake news y por tanto hay espacio para el optimismo y suponer que estamos en el proceso de interiorización del cambio.

En cualquier caso, empresas como Facebook y Twitter han pasado a tener poderes casi de estado, pero sin la «accountability» y la necesidad de transparencia. En Estados Unidos, dada la primera enmienda, deben ocuparse de los problemas de los límites del discurso, y eso plantea una serie de problemas de muy difícil solución. Facebook toma más decisiones de moderación de contenidos en una hora que todo el sistema judicial federal de Estados Unidos en un año.

Comprueba el estado de tu privacidad online con Privacyfix

A través de este artículo de Ars Technica me entero de la existencia de Privacyfix, una extensión para Firefox y/o Chrome que analiza tu historial de navegador y las cookies que tienes y te hace un informe de cómo está tu privacidad en la red…

El informe comienza con los dos grandes «cocos» de la red, Facebook…

Captura de pantalla de la información de privacidad de Facebook que obtiene Privacyfix. Afirma que Facebook recibe información del 90% de páginas que visito y que mi valor estimado para Facebook es de 42 céntimos de dólar
Ese 90% da bastante miedo, pero si todos los usuarios de Facebook tuviesen la misma valoración que yo, me da a mí que no habrian llegado a donde están

…y Google…

Captura de pantalla de la información sobre Google que obtenemos de Privacyfix. Según Privacyfix Google obtiene información del 46% de páginas que visito, y valgo para ellos casi 190 dólares anuales
Me siguen mucho menos, pero valgo muchísimo más para ellos. Será (es) que no paso mucho tiempo en Facebook…

Cada cual es, desde luego, libre de hacer caso de las advertencias y sugerencias que te hace la aplicación (en mi caso, se van a quedar así, entre otros motivos porque, puestos a ver anuncios, prefiero que tengan algo que ver con mis intereses). Las estimaciones del valor que tienes tanto para Google como para Facebook deberían consumirse con unas gotas de sano escepticismo. La cosa, eso sí, no se detiene ahí. El siguiente paso es un informe de los sitios que han recopilado algún tipo de información sobre ti:

Captura de pantalla de los sitios web que me están monitorizando
No son pocos, los sitios que tienen algún tipo de información sobre mí…

Pasando por encima de cada «favicon» Privacyfix nos informa de cuáles son las políticas de cada sitio:

Captura de pantalla en la que se muestra cuáles son las políticas de un sitio en concreto
Como podéis ver, siendo estrictos casi nadie está absolutamente libre de pecado (aunque si de alguien te puedes fiar en la web es de Mozilla, la verdad)

Finalmente, Privacyfix te hace un listado de las compañías que acumulan la información recogida por los sitios web que visitas:

Listado de las empresas citadas en el texto
Apenas una docena (larga) de docenas…

De nuevo, pasando sobre cada «favicon» obtenemos información adicional:

Información específica de uno de los recolectores de información
Google tiene, como anunciante, la nota máxima en cuanto al tratamiento de la privacidad… algo que no puede decirse de la mayoría de compañías que saben algo de mí.

Resumiendo, Privacyfix es una de esas herramientas que, por un lado, uno debería instalarse para ser consciente de cómo está la cosa y, por otro, copncienciar a amigos y conocidos de lo mismo, a poder ser sin caer en alarmismos innecesarios (que con lo que realmente hay ya basta).