Más allá de las cookies: la amenaza de los canvas fingerprinting

Publicado el 17 junio, 2018 por Albert Garcia Pujadas

La privacidad se está convirtiendo en un anhelo personal. Cada vez más usuarios están deshabilitando cookies (de tercera parte o todas), o borrándolas con más frecuencia, al tiempo que muchas de ellas devienen inútiles con el acceso móvil. Afortunadamente, los usuarios están tomando consciencia de los datos generados en sus interacciones digitales y están empezando a actuar en consecuencia. Pero queda mucho por hacer.

Durante mucho tiempo se consideraba que la dirección IP y las cookies HTTP eran las únicas huellas digitales confiables que afectaban la privacidad online y la identidad del navegador web. Pero la realidad es que, pasado un tiempo, los “invasores de la privacidad” como los califica BrowserLaeaks, comenzaron a buscar maneras de mejorar el seguimiento del usuario para identificar a los usuarios del flujo general, comenzaron a recopilar más y más información adicional del usuario.

Por supuesto hay técnicas de rastreo más “invisibles” y complejas que permiten a un sitio web identificarte sin que te enteres de nada, y sin que ninguna cookie intervenga en el proceso, se llama: canvas fingerprinting del grupo de técnicas que se denominan ‘browser o device fingerprinting’.

El canvas fingerprinting es una técnica para identificar un navegador o un dispositivo que fue presentada por primera vez en el año 2012 por Keaton Mowery y Hovav Shacham. Explicado de forma simple: el elemento canvas es parte de HTML5, permite interpretación dinámica de formas e imágenes. Explotando la API de Canvas de los navegadores modernos (Chrome, Safari, Edge..), se pueden detectar las diferencias más sutiles en el renderizado del mismo texto que hacen tu navegador o el mío. De ahí se extrae una huella digital en fracción de segundos para identificarte sin que te enteres.

Una explicación técnica y exhaustiva puedes encontrarla en Browser fingerprinting: fundamentos y posibilidades de protección.

¿Por qué tanto revuelo?

La inmensa mayoría de los usuarios vivimos con una gran ignorancia tecnológica, desconociendo total o parcialmente, el impacto en nuestras vidas de la inmensa mayoría de las tecnologías que usamos a diario…. hasta que alguien nos pone sobre aviso. Eso es lo que sucedió en 2014 cuando investigadores de la Universidad de Princeton en los EEUU y de la Universidad Ku Leuven de Bélgica evaluaron el top100 de webs con más tráfico s/Alexa y encontraron que el 5.5% incluía un script canvas para hacer fingerprinting. También encontraron que la mayoría de los scripts de rastreo pertenecían a un único proveedor: addthis.com. 5542 sitios de los 100 mil revisados rastreaban usando esta técnica. Algunos de los más destacados incluyen a varias webs de pornografía como YouPorn, el portal de la Casa Blanca o el Partido Laborista británico.

Addthis lo admitió (“The Facts About Our Use of a Canvas Element in Our Recent R&D Test”) con un lacónico “no identificamos individuos” y se escudó en que “solo era un experimento” y que ellos seguirían cumpliendo los estándares de la industria, etc… El Canvas fingerprinting volvió a ser de actualidad en 2017 cuando se descubrió que Uber monitorizaba a los usuarios que se desinstalaban su aplicación. Que cada cual saque sus propias conclusiones sobre los valores de determinadas compañías.

¿Cómo evitar el canvas fingerprinting?

Es decepcionante y preocupante que los navegadores web modernos no hayan sido diseñados para garantizar la privacidad personal de la web. En comparación con las cookies, el canvas fingerprinting no es fácil de evitar, pues los datos se transmiten directamente al servidor, por lo que no hay un almacenamiento del lado del cliente. En consecuencia, activar el modo incógnito de un navegador no impide que el canvas fingerprinting espíe informaciones de navegación y del sistema.

Afortunadamente, los usuarios no están del todo indefensos ante este método de web tracking. Al margen de formas “más sofisticada” de detener previamente la ejecución de los scripts (desactivar javascript) puedes usar Adblock Plus, empezar a usar Firefox y/o usar la extensión Privacy Badger de la EFF para bloquear rastreadores.

¿Quieres saberlo o prefieres vivir tranquilo en la ignorancia?

Por último, si quieres analizar cómo de protegido está tu navegador y complementos contra las técnicas de seguimiento online, te recomiendo Panopticlick. Una herramienta online de Electronic Frontier Foundation (es la principal organización sin ánimo de lucro que defiende las libertades civiles en el mundo digital), que también analizará si tu sistema está configurado de forma única, y por lo tanto identificable, incluso si está utilizando un software de protección de la privacidad.

Publicado en Browser fingerprinting, Canvas fingerprinting, Device fingerprinting, Electronic Frontier Foundation, privacidad | Etiquetado , , , , , , | Deja un comentario

ePrivacy y su impacto en la economía digital

Publicado el 13 junio, 2018 por Albert Garcia Pujadas

La economía digital es el presente y cada vez con mayor peso en el total de la economía. No obstante, todavía tiene que superar numerosos retos. Algunos de ellos son la residencia de los datos, la privacidad, la seguridad o la transparencia. Por ello la UE tiene el firme propósito de mejorar el acceso de los ciudadanos y empresas a los bienes y servicios digitales en toda Europa, y a la creación de derechos para los productores de datos. Esta legislación, que más que estructurar el presente trata de dar forma al futuro, está procurando encontrar una solución de compromiso entre el derecho a la propiedad intelectual, la privacidad y la innovación.

Si la reciente irrupción del RGPD (Reglamento Europeo de Protección de Datos) está suponiendo un auténtico punto de inflexión para usuarios y organizaciones sobre aplicaciones y servicios que usamos a diario, en el horizonte próximo ya tenemos el Reglamento de Privacidad Electrónica o e-Privacy. Este nuevo reglamento pretende regular la privacidad en las comunicaciones electrónicas, tanto a ciudadanos europeos como compañías con actividad en la UE.

La Comisión Europea propuso el 10 de enero de 2017 un nuevo reglamento sobre la privacidad y las comunicaciones electrónicas con la finalidad de actualizar las normas actuales armonizándolas con los avances técnicos y el Reglamento General de Protección de Datos.

Según explica la Comisión el objetivo de la propuesta es “reforzar la confianza y la seguridad en el mercado único digital”, poniendo al día el marco jurídico en el que juega la privacidad electrónica. No obstante, lo más relevante de la nueva norma es un requerimiento a las empresas: ofrecer sus servicios a los usuarios independientemente de si aceptan o no que se recopilen sus datos.

La intención inicial era que el reglamento ePrivacy y el RGPD comenzasen a aplicarse simultáneamente, el pasado 25 de mayo, pero acabó descartándose. Los plazos para su aprobación, entrada en vigor y aplicación todavía no están claros. Los desacuerdos internos, las dudas de los países “más débiles”, así como las presiones de los poderosos ‘lobbies’, han lastrado el progreso de esta ambiciosa propuesta de reglamento.

Aunque el reglamento todavía está en versión borrador, parece evidente que se impondrá su espíritu que se resume en un consentimiento más estricto para la publicidad digital. Como en el caso del RGPD, se deberá someter a esta norma cualquier empresa que preste sus servicios a residentes en la Unión Europea, sea europea o no, y tenga acceso a datos, sean de índole personal o no.

Dar el servicio sí o sí

Y uno de los aspectos más trascendentales de este proyecto de ley es que las empresas deberán ofrecer a los usuarios el mismo servicio que ofrecen tanto si aceptan la recopilación de datos como si no. Una de las cosas que persigue el reglamento ePrivacy es la de evitar que, para recibir un servicio de comunicaciones electrónicas, tengamos que aceptar unas concretas condiciones sobre nuestros datos personales.

Adiós cookies, hola navegadores

Otro de los aspectos trascendentales con la entrada en vigor y aplicación del nuevo reglamento es que se endurecería la normativa respecto a la utilización de cookies y otras tecnologías que tratan datos.

Las cookies es una de las cuestiones más controvertidas (“La regulación de las cookies en el Reglamento de ePrivacy ¿A quién beneficia?”). Desde la generalización del famoso “Aviso de Cookies” que todos conocemos, con un “pop-up” que incluye información básica sobre su uso por parte de la web y un botón para su aceptación, acompañado de un enlace a una explicación completa sobre la política de cookies, parecía ideal para los usuarios, que podrían elegir a quien permitir o no el tratamiento de sus datos de navegación y seleccionar la configuración de su privacidad.

En realidad lo que ha acabado sucediendo es un exceso de los prestadores de servicios, que una vez “obligados” a solicitar el consentimiento para poder emplear cookies, optan por incluir en el mismo aquellas necesarias o convenientes para el usuario (cookies técnicas y de personalización) con aquellas otras más agresivas con la privacidad (cookies analíticas, publicitarias y de publicidad comportamental), bajo la fórmula del “Sí a todo”, de forma que los usuarios acabamos aceptando la instalación de todos los tipos posibles de cookies, con lo que se genera el efecto contrario al pretendido.

El reglamento de ePrivacy, en coherencia con el RGPD, pretende devolver a los ciudadanos europeos el control sobre el uso que se puede hacer de su información personal. El gran cambio consistiría en dejar de lado los avisos informativos para dejar las opciones de privacidad y su consentimiento, en manos de los navegadores como Chrome, Firefox, Safari, etc.

Pronósticos catastrofistas

Ante este panorama, la industria digital ha encendido todas las alarmas. Se hacen pronósticos bastante catastrofistas de pérdidas de ingresos anuales de más de 550.000 millones de euros o argumentan un carácter excesivamente restrictivo que puede lastrar la innovación de la economía de datos y ya avisan sin ambages que numerosos medios de comunicación y aplicaciones gratuitas pueden desaparecer de la UE porque la publicidad basada en datos es la columna vertebral de su negocio. Entre sus peticiones están excluir la comunicación máquina a máquina, alinear la propuesta en el marco del RGPD y más flexibilidad.

¿Favorecer a los poderosos?

Otra de las críticas que recibe esta regulación es que se considera que beneficiaría a los gigantes de internet, ya que estos tienen mayor facilidad para obtener consentimientos de las políticas de uso de sus servicios. En el lado opuesto estarían las webs y aplicaciones de empresas u organizaciones más humildes, que dependen de un consentimiento muy difícil de conseguir, sea por un menor número de usuarios o por menor capacidad de implantar vías alternativas para conseguirlo.

Impuesto a los datos

Quizás el futuro, tal como defiende Mayer-Schönberger en Reinventing capitalism in the age of big data, pase por la imposición de una nueva fiscalidad para la economía basada en datos. Mayer-Schönberger proponen que los gobiernos debieran gravar con “impuestos” relacionados con los datos a las grandes compañías como Google, Facebook y Amazon, permitiendo a los competidores acceder a esta información para fomentar la competencia. El analista pone como ejemplo al mercado alemán de seguros de automóviles, donde las principales aseguradoras son obligadas a compartir los datos con sus rivales más pequeños.

Publicado en Big Data, Datos, ePrivacy, privacidad, Protección de datos, RGPD | Etiquetado , , , , | 1 comentario

Foxize a lifelong learning company

Publicado el 11 junio, 2018 por Albert Garcia Pujadas

Desde que lanzamos el proyecto Foxize, allá por octubre del 2012, nuestra propuesta de formación y la naturaleza de nuestra actividad ha ido evolucionando. Actualmente la empresa se parece poco a su versión inicial. Empezamos con Foxize.com con cursos presenciales y online, centrados en negocio y digital, que fueran abiertos, accesibles, personalizables y flexibles. Desde entonces, casi 40.000 personas se han apuntado a la fórmula que apuesta por “adaptar la formación a la persona” en lugar de “adaptar la persona a la formación”.

Uno de los ámbitos con mayor impulso ha sido -y sigue siendo- la formación para empresas desde Foxize Corporate.  Su éxito se basa en crear modelos de medición (learning analytics) para entender el impacto de la formación y poder ofrecer una solución personalizada para cada empresa, tanto presencial como online.

Después de cinco años de aprendizaje, a los más de 40.000 alumnos de formación en abierto, hay que añadirle más de un centenar 100 proyectos de formación corporativa. En este tiempo hemos aprendido la mejor manera de operar los formatos de corta duración. Ese aprendizaje lo sintetizamos reescribiendo todo el código de la web de Foxize.com, convirtiéndolo en un software como servicio (SaaS) que permite operar tus cursos y hacer test de evaluación.

La criatura se llama Foxize Cloud y es la pieza que nos faltaba para impulsar definitivamente nuestra visión de “cambiar el aprendizaje continuo, democratizándolo”. Foxize Cloud permite operar tu oferta de formación de forma simple y accesible, con tus propios sistemas de evaluación e incluso con tus propios algoritmos de recomendación, sin depender de otros. Lo mejor es que se trata de una solución rápida y abierta, que no requiere inversión inicial y que no se molesta a IT. Vamos, para que solo tengas que preocuparte de tu negocio y del contenido de las formaciones.

Con todo esto la actividad se resume en tres ámbitos de actividad que se retroalimentan claramente entre si:

  • Foxize.com es la plataforma de formación continua. Se ha convertido en nuestro laboratorio con sus cursos en abierto, que permite explorar nuevas temáticas, enfoques y formatos, evolucionar nuestro claustro docente y testeamos nuevas metodologías formativas en formatos presenciales y online.
  • Foxize Corporate nos conecta con las empresas y permite entender el tipo de conocimientos y habilidades que requieren sus equipos y qué modelos de aprendizaje funcionan mejor en qué contextos.
  • Y ahora con Foxize Cloud facilitamos una solución para operar la formación de forma ágil y fácil.

Por tanto, Foxize sigue evolucionando como ‘empresa de aprendizaje continuo’ (lifelong learning company) que ofrece soluciones accesibles, personalizables y flexibles para empresas y profesionales.

Publicado en formación, Foxize, Foxize Cloud, lifelong learning | Etiquetado , , , , , | Deja un comentario

RGPD: una oportunidad empresarial para crear valor

Publicado el 21 mayo, 2018 por Albert Garcia Pujadas

En plena carrera de las organizaciones por recoger, almacenar y procesar grandes cantidades de datos para  crear nuevos productos, de reducir costes, de fidelizar mejor a sus clientes, ser más competitivas y hacer realidad la famosa expresión que los “datos son el petróleo del siglo XXI”, “aparece” el RGPD.

Digo “aparece”, entrecomillado, porque el tema viene de lejos. Concretamente arranca en enero de 2012 cuando la Comisión Europea presentó una reforma integral de las normas de protección de datos con el objetivo principal de incrementar el control de los ciudadanos sobre sus datos. Esta reforma se materializó en el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).

Para muchos significa enfrentarse al reto de gestionar adecuadamente los datos, garantizar su privacidad, o cumplir con regulaciones y estándares internos y externos probablemente por primera vez en su vida. Esto amenaza a determinados modelos de negocio (ya era hora).

No entraré en el detalle de la aplicación del nuevo marco legal RGPD, sino argumentaré, contrariamente a lo que muchos piensan, de sus implicaciones que considero altamente positivas. Afortunadamente se endurece el marco legal anterior. En algunas cuestiones se clarifica y en otros aspectos, sigue habiendo bastante ambigüedad. Lo que sí queda claro es que se elimina la barra libre del uso, poco o nada adecuado, de los datos.

Desafortunadamente, la aplicación de la ley no vendrá por interiorizar un capítulo más ético y razonable del uso de los datos de las organizaciones, sino por la amenaza de las sanciones, cuyo origen y cuantía son altamente disuasorias.

Pero invito a ver el vaso medio lleno. Hagamos una mirada en positivo a la nueva etapa. Que sea más por convicción que por imperativo legal. Aprovechemos para abrir ese capítulo más ético. El primer paso debería ser admitir que construir nuestra relación con los usuarios y sus datos implica proteger la privacidad de las personas.

Esto no es un capricho, es un derecho humano incuestionable, aunque los propios ciudadanos nos empeñamos, especialmente a través de las redes sociales, a ponerlo en riesgo.

La privacidad no es algo exótico. Es el ámbito de la vida personal que se desarrolla en un espacio reservado y debe mantenerse en la intimidad. El artículo 12 de la Declaración Universal de los Derechos Humanos adoptada por la Asamblea General de Naciones Unidas establece que el derecho a la vida privada es un derecho humano. La legislación europea también se refiere al mismo cuando habla del tratamiento de datos personales y circulación de estos datos. Y la Constitución española de 1978 protege este derecho fundamental.

¿A qué me refiero cuando apuesto por construir nuestra relación con las personas desde el máximo respeto por la privacidad? Cosas muy obvias:

  • Dar a las personas el poder sobre sus datos
  • Ser honestos en el uso previsto de los datos
  • Ser transparentes
  • Ser responsables
  • Hacerlo fácil

Una mirada más ética, aparte de legal, en el tratamiento de los datos, forma parte de ese principio de comportamiento basados en la idea de lo correcto y lo incorrecto. Ética significa “hacerlo bien cuando nadie está mirando”. Ello puede ayudar a construir más confianza con nuestros clientes y una oportunidad de crear más valor añadido para nuestras organizaciones a largo plazo.

¿En qué se concreta la ética en el tratamiento de los datos? En principio ético que debería regirnos es que la creación de valor para la empresa puede entrar en conflicto con la creación de valor para el usuario. La gestión y explotación de los datos es que aquellos análisis de datos que se aplican o crean a veces para generar valor para las organizaciones, no lo son tanto para las personas. ¿Ejemplos? Ya sea molestándolo con información no solicitada, negando un empleo, concediendo o negando un crédito, dirigiéndose a votantes o monitorizando nuestra salud. Un dilema ético que jamás debería plantearse.

Si vulnerar la privacidad ya es un hecho ilegal, debemos ser especialmente sensibles a las nuevas tecnologías de tratamiento de datos, el propio desarrollo de nuevas herramientas (machine learning, deep learning, inteligencia artificial, etc.), y en especial la extensión de modelos de autoaprendizaje basados en algoritmos, pueden generar problemas éticos complejos. Todas estas tecnologías que permiten tratar cantidades masivas de datos, y que, a priori, deberían aportarnos una mayor equidad (todos somos juzgados de acuerdo con las mismas reglas, y se elimina el sesgo) suponen un riesgo en la explotación de los datos

El problema es que la mayoría de estos modelos de análisis y explotación que se utilizan hoy son opacos, no regulados e incontestables, incluso cuando están equivocados. Recordemos la noticia del Ministerio de Sanidad Británico de la posible muerte de 270 mujeres por cáncer de mama por un fallo en la programación del algoritmo de revisiones rutinarias (ver fuente). O riesgos de discriminación real por sus ideas políticas o por su orientación sexual cuando ya existe tecnología que puede identificar personas homosexuales utilizando un sistema de reconocimiento facial.

La apertura de estos sistemas debería ser un hecho. Nueva York se está convirtiendo en la primera ciudad de EEUU, en aprobar una ley que permite auditar las decisiones automatizadas que toman los algoritmos. Todo ellos para evitar y combatir la llamada “discriminación algorítmica” (ver fuente), uno de los retos del datos del Siglo XXI.

Seguir la ley al pie de la letra, evita ser sancionados, pero eso no crea valor per se para el usuario, ni tampoco evita riesgos futuros. Como ya hemos visto, la tecnología permite a las organizaciones usar los datos de maneras que no hubiéramos imaginado en el pasado. Mientras que el marco legal suele ir bastantes pasos por detrás.

A corto plazo, un enfoque ético más allá de la aplicación del RGPD, nos aportará un valor positivo como organización. A medio plazo, el enfoque ético será cuestión de supervivencia, solo al alcance de organizaciones capaces de cuadrar la cuenta de resultados social, económica y medio-ambiental.

Publicado en algoritmo, algoritmos, Datos, ética, machine learning, privacidad, Protección de datos, RGPD | Etiquetado , , , , | 1 comentario