Comprueba el estado de tu privacidad online con Privacyfix

A través de este artículo de Ars Technica me entero de la existencia de Privacyfix, una extensión para Firefox y/o Chrome que analiza tu historial de navegador y las cookies que tienes y te hace un informe de cómo está tu privacidad en la red…

El informe comienza con los dos grandes “cocos” de la red, Facebook…

Captura de pantalla de la información de privacidad de Facebook que obtiene Privacyfix. Afirma que Facebook recibe información del 90% de páginas que visito y que mi valor estimado para Facebook es de 42 céntimos de dólar
Ese 90% da bastante miedo, pero si todos los usuarios de Facebook tuviesen la misma valoración que yo, me da a mí que no habrian llegado a donde están

…y Google…

Captura de pantalla de la información sobre Google que obtenemos de Privacyfix. Según Privacyfix Google obtiene información del 46% de páginas que visito, y valgo para ellos casi 190 dólares anuales
Me siguen mucho menos, pero valgo muchísimo más para ellos. Será (es) que no paso mucho tiempo en Facebook…

Cada cual es, desde luego, libre de hacer caso de las advertencias y sugerencias que te hace la aplicación (en mi caso, se van a quedar así, entre otros motivos porque, puestos a ver anuncios, prefiero que tengan algo que ver con mis intereses). Las estimaciones del valor que tienes tanto para Google como para Facebook deberían consumirse con unas gotas de sano escepticismo. La cosa, eso sí, no se detiene ahí. El siguiente paso es un informe de los sitios que han recopilado algún tipo de información sobre ti:

Captura de pantalla de los sitios web que me están monitorizando
No son pocos, los sitios que tienen algún tipo de información sobre mí…

Pasando por encima de cada “favicon” Privacyfix nos informa de cuáles son las políticas de cada sitio:

Captura de pantalla en la que se muestra cuáles son las políticas de un sitio en concreto
Como podéis ver, siendo estrictos casi nadie está absolutamente libre de pecado (aunque si de alguien te puedes fiar en la web es de Mozilla, la verdad)

Finalmente, Privacyfix te hace un listado de las compañías que acumulan la información recogida por los sitios web que visitas:

Listado de las empresas citadas en el texto
Apenas una docena (larga) de docenas…

De nuevo, pasando sobre cada “favicon” obtenemos información adicional:

Información específica de uno de los recolectores de información
Google tiene, como anunciante, la nota máxima en cuanto al tratamiento de la privacidad… algo que no puede decirse de la mayoría de compañías que saben algo de mí.

Resumiendo, Privacyfix es una de esas herramientas que, por un lado, uno debería instalarse para ser consciente de cómo está la cosa y, por otro, copncienciar a amigos y conocidos de lo mismo, a poder ser sin caer en alarmismos innecesarios (que con lo que realmente hay ya basta).

Las ‘moscas’ de las redes sociales, una manera más de recopilar información sobre ti…

El tema implícito de la entrada de ayer era, desde luego, que en una web movida por el dinero de la publicidad, todo el mundo quiere conocer tus hábitos tan bien como sea posible. No hace falta ponerse conspiranoico (el que desee hacerlo, que no se corte, por favor): se trata de conocerte mejor para mostrarte anuncios en los que hagas clic y, a poder ser, de entre todos los posibles, el que reporte más beneficios al editor. Eso tiene puntos buenos (al fin y al cabo, a mí los anuncios de coches no me llaman mucho, por ejemplo) y malos (no me gusta tener al gran hermano mirando por encima del hombro). La cosa, no nos engañemos, está aún bastante lejos de ser perfecta (cierta empresa publicitaria sigue mostrándome, día sí día también, anuncios de un monitor que me gusta muchísimo… tanto que me lo compré la semana pasada, algo que reduce considerablemente la probabilidad de que me compre otro igual a corto plazo, y por tanto también reduce la efectividad de la publicidad).

La tentación de conocerte mejor lleva, en muchos casos, a hacer olvidar cosas como que empeoras un poco la experiencia web de tus usuarios o a estirar como un chicle cualquiera tanto la ética como, en algunos casos, las legislaciones de privacidad y protección de datos.

Si ayer hablábamos de los acortadores (t.co, el de Twitter, sobre todo, aunque todos pecan de lo mismo, y los de Google y Facebook son también especialmente preocupantes), hoy hablamos de las ‘moscas’ de las redes sociales. En especial de los ‘me gusta’ de Facebook, aunque mucho de lo que digamos sirve tanto para los +1 de Google como para los ‘sígueme’ de Twitter.

Debería ser ya del dominio público que cada vez que visitas una web dejas un rastro en ella. Quizá sea algo menos conocido que si esa web incluye recursos que provienen de otro servidor web (pongamos por caso, el botón ‘me gusta’ de Facebook), también dejas un pequeño rastro en ese otro servidor (básicamente, la dirección IP desde la que has visitado la página). La cuestión es que si además de enlazar un recurso estático (una imagen) cargas un ‘script’ (cosa que hacen los ‘me gusta’, ‘+1’ y ‘sígueme’ mencionados, por ejemplo), la potencia del asunto crece exponencialmente. Porque ese segundo servidor (si te tiene fichado previamente de alguna forma) sabe quién eres y, por tanto, puede ofrecerte un montón de funcionalidades útiles. Claro que también quiere decir que sabe automáticamente quién eres y por tanto puede guardar algo más de información sobre ti, lo desees o no: “tú, Pepe Usuario, has estado en talsitio.com hoy”.

En muchos países (todos los de la Unión Europea, entre ellos) existen leyes sobre la prestación de servicios en internet y sobre qué datos se pueden recoger y almacenar y qué derechos deben ofrecerse a las personas afectadas (aunque muy poca gente lo sabe y lo hace, casi todas las webs deberían tener algo parecido a obm.corcoles.net/acerca-de-contacto/#privacidad (aunque no puedo asegurar que lo que pone sea exactamente lo que debe poner: uno es bienintencionado pero lego en la materia :-S)).

El principal problema que suponen estas moscas (o las cookies’ de publicidad, desde luego) es que son una amenaza oculta para muchísimos usuarios: para poder hacer valer tus derechos de privacidad, deberías saber, en primer lugar, quién está recopilando esa información. Algo que, hoy por hoy, está más allá de la capacidad del usuario medio, que es un ser bastante poco educado en estos aspectos (seguramente, más allá del usuario del percentil 90, de hecho).

Esta entrada viene a cuento (además de la voluntad de informar a los pocos lectores habituales de este sitio que no supieran todo lo dicho hasta ahora, si es que hay alguno) de una noticia de la que ese hace eco Jamie Zawinski en Surprise! Facebook doesn’t like privacy countermeasures. En resumen: sitio alemán incorpora botón ‘me gusta’, pero sin incluir los recursos de Facebook (y por tanto, sin que Fb pueda monitorizar tanto a sus usuarios, a no ser que hagan clic en el botón); Facebook inmediatamente les dice que están violando los términos de servicio y que, o enlazan los recursos oficiales o quitan los ‘me gusta’.

Antes de encender la sirena conspiranoica, hay que tener en cuenta de que hay motivos lícitos e incluso encomiables para que Facebook actúe así: si permiten a cualquiera usar su imagen gráfica y recursos sin generarlos ellos mismos, el agujero de seguridad es enorme, y las posibilidades de acciones maliciosas, casi infinitas. Claro está que en este caso es un reputado sitio de noticias tecnológicas y, por tanto, no debería suponer ese riesgo… Aún podemos pensar que en Facebook, sencillamente, quieren simplificar y tener una única política universal pero, de todas formas, la pregunta está clara: ¿están recopilando mi información? ¿Puedo acceder a ella y retirarla? (Lo mismo vale, naturalmente, para Google y Twitter, desde luego.)

Se trata, admitámoslo, de un problema de difícil solución: si cada vez que visitamos un sitio web este tiene que informarnos de todos los recursos ajenos que usa, la vida en la web se volvería insoportable. Y prácticamente cualquier iniciativa que provenga del poder legislativo va a ser de ese estilo (sin olvidar que cada estado iba a imponer una norma ligeramente diferente y generar un escenario diabólicamente complicado, o que legislación e innovación no suelen ser los mejores amigos). Creo, honestamente, que esto sólo se resuelve mínimamente a partir de una industria que decide acordar unos mínimos éticos, declararlos públicamente y respetarlos, por un lado, educando al usuario, por otro, y dándole herramientas (en el navegador, seguramente; véase la opinión al respecto, de Mitchell Baker, en Mosaic y hasta en este mismo blog) para informarle y permitirle ejercer sus derechos. Pero mientras tanto, vamos a tener que mantenernos vigilantes…

+1: Google se ‘feisbuquifiza’ más…

Captura de pantalla. La herramienta Google +1 pide permiso para usar mis recomendaciones en
Va a ser que no...

Qué poco me gusta ‘+1’, el último lanzamiento de Google…

De entre las cosas que no me gustan de Facebook destaca el uso indiscriminado del ‘me gusta’. Me horroriza acceder a una web y ver cómo me saluda la cara de alguno de mis “amigos” porque en algún momento le dio al ¿inocuo? botoncito ‘me gusta’ de marras…

Pero debe ser (lo es, seguro) bueno para la cuenta de resultados, porque Google lo acaba de calcar, como anuncian en su blog. Lo llaman ‘+1’, pero es exactamente lo mismo: haz clic una vez, usaremos públicamente esa información en nuestro beneficio en todo tu grafo social.

Captura de pantalla que muestra cómo queda el botón '+1' en un resuyltado de búsqueda. En este caso, los resultados son este blog y páginas asociadas
De hecho, dudo que haga clic ni siquiera en mis webs...

Google, como siempre, es bastante más cuidadosa que Facebook al lanzar algo así: lo va a comenzar a lanzar poco a poco con usuarios radicados en Estados Unidos y que usan el inglés como lengua del interfaz (aunque, como podréis deducir de la captura, basta con tener la interfaz en inglés para poderlo activar en google.com/experimental). Y tanto la página de presentación del servicio como la que contiene la política de privacidad son bastante informativas, además de ser, de momento, un programa ‘opt in’.

Aún así, me parece una pésima idea, especialmente porque, si nada lo impide, dentro de poco estará disponible para todos los usuarios (con perfil Google) en todos los resultados de búsqueda y, tarde o temprano, alguien se va a hacer daño con esto.

Verifica tu privacidad en Facebook

No sé si algún día llegará el Chernobyl de la privacidad con Facebook pero la cosa se está poniendo caliente. Recursos como Openbook dejan bien a las claras que existen ingentes cantidades de usuarios de Facebook que no saben quién lee sus status y los usan para insultar a propios y extraños, declarar su odio por sus trabajos y jefes y gritar cómo acaban de copiar en un examen… Que probablemente haya motivos para hacerlo, pero no creo que sea una buena política de comunicación.

Uno de los problemas (probablemente el más grave, aunque ni de lejos el único) es que como contaba el New York Times en forma de infográfico, las opciones para comprobar la privacidad de Facebook han pasado de la relativa simplicidad de sus orígenes a ser un auténtico laberinto en el que saber qué compartes con quién es una odisea digna de Kafka…

Es por ello que es especialmente importante la existencia de herramientas como el ‘bookmarklet’ que nos da ReclaimPrivacy.org. Su uso es sencillo: basta arrastrar el enlace Scan for Privacy a la barra de favoritos del navegador, entrar a Facebook y hacer clic en el enlace que acabamos de arrastrar. El ‘bookmarklet’ escaneará nuestros ‘settings’ a la caza y captura de posibles agujeros y nos mostrará un diagnóstico. La cosa no es trivial: yo tenía un par de agujeros que preferiría haber subsanado antes….

Captura de pantalla del escáner de privacidad comentado en el texto. Muestra dos agujeros importantes
El amarillo no es especialmente grave, pero esos dos rojos ya no tienen ese color...

Nota importante: ahora mismo el ‘Opt-out’ para el ‘Instant Personalization’ (que es el que comparte mucha de tu información personal con muchos sitios web cuando los visitas, aunque no sea desde Facebook) no funciona correctamente. Pero es sencillo arreglarlo a mano: si tenéis el mismo problema, basta con hacer clic en el enlace ‘Instant Personalization’ que os aparecerá; accederéis a una página en la que lo podréis desactivar (tras aceptar un texto en que os dirán cómo desactivarlo hará que Ariel deje de lavar tan blanco).

Para cerrar, un par de ‘rants’ de Danah Boyd sobre el tema, muy recomendables: Facebook and “radical transparency” (a rant) y Facebook is a utility; utilities get regulated.

Intrusión de GMail vía Google Documents

Igual hace tiempo que esto se sabe, pero a mí acaba de ocurrirme.

Recibo un correo electrónico a mi cuenta de GMail con un documento adjunto (un .ODT, para ser más precisos). Como sabía que era un documento corto y provisional, no lo guardo en ninguna carpeta y decido abrirlo directamente desde GMail con la opción de “Abrir como documento de Google”.

Al cerrar el documento, recibo un correo firmado por Google donde me dice (traducción libre, énfasis añadido):

Ha utilizado el enlace de Gmail “Abrir como un documento de Google” para ver el adjunto titulado “El título del documento adjunto”.

Haciendo esto, has guardado una copia editable en línea en Google Docs directamente en http://docs.google.com/mi-cuenta-en-google-documents

Para mi pasmo, veo que a continuación me dicen ¿Preguntas? Haz un tour o visita el Google Docs Center. Lo “bueno” es que el tour enlaza a una página que da un error 404.

Increíble. En alguno de los EULA aceptados pero jamás leídos, ¿habré dado yo permiso a Google para guardar “sin mi permiso” (nótese la contradicción) mis adjuntos en Google Docs? ¿Se podrá desactivar esa opción?

Por supuesto, he tenido que ir a mi cuenta de Google Docs y, desde allí, borrar el documento, y además, he tenido que vaciar la papelera.

Increíble.