Por Bruce Schneier
Nota del editor:Bruce Schneieres un tecnólogo de seguridad y director de tecnología de Co3 Systems. Las opiniones expresadas en este texto pertenecen exclusivamente a Bruce Schneier.
(CNN) — En la era de internet, no tenemos otra opción más que confiar nuestros datos con empresas privadas: proveedores de correo electrónico, proveedores de servicios, tiendas minoristas y así sucesivamente.
Nos percatamos de que estos datos están en riesgo de ser encontrados por hackers. Pero también hay otro riesgo: los empleados de las empresas que guardan nuestros datos por nosotros.
En los primeros años de Facebook, los empleados tenían una contraseña maestra que les permitía ver todo lo que querían en cualquier cuenta. Los empleados de la NSA (siglas en inglés de Agencia de Seguridad Nacional de Estados Unidos) ocasionalmente revisaban a sus amigos y socios. La agencia incluso tiene un nombre para esto: LOVEINT. Y mucho antes de internet, las personas con acceso a registros policiales o médicos ocasionalmente utilizaban ese poder para buscar a gente famosa o gente que conocían.
La empresa más reciente en ser acusada de permitir este tipo de cosas es Uber, el servicio de transportación de automóviles por internet.
La empresa está bajo investigación por espiar a los viajeros sin su permiso. Llamada la “vista de Dios”, algunos empleados de Uber pueden ver quién utiliza el servicio y a dónde van; y utilizaron esto al menos una vez en 2011 como un truco de fiesta para mostrar el servicio. Un ejecutivo también sugirió que la empresa debe contratar a personas para acabar con las críticas, haciendo que su base de datos de los viajes de las personas sean más “útiles”.
Ninguno de nosotros quiere ser acosado; ya sea viendo nuestros datos de ubicación, datos médicos, correos electrónicos y mensajes de texto o cualquier cosa, por amigos o extraños que tienen acceso debido a sus empleos. Desafortunadamente, hay pocas reglas que nos protegen.
Los empleados del gobierno tienen prohibido ver nuestros datos, aunque ninguno de los de LOVEINT de la NSA fue perseguido. La ley HIPAA protege la privacidad de los registros médicos, pero no tenemos nada para proteger la mayoría de nuestra información.
Tus datos de Facebook y Uber solo son protegidos por la cultura de la empresa. No hay nada en sus acuerdos de licencia en los que hiciste clic en “acepto” pero que no leíste que prevenga que esas empresas violen tu privacidad.
Esto necesita cambiar. Las bases de datos corporativas que contienen nuestros datos deben ser aseguradas de todos los que no necesitan acceso para su trabajo. Mirones que ven nuestros datos sin una razón legítima deben ser castigados.
Hay tecnologías de auditoría que pueden detectar esto, y deben ser requeridas. Siempre y cuando tengamos que dar nuestros datos a empresas y agencias gubernamentales, necesitamos que nos aseguren que nuestra privacidad será protegida.
Por otra parte, necesitamos límites legales sobre lo que puede realizarse con nuestros datos. Las empresas comienzan a analizar nuestros datos personales y a publicar los resultados, a veces en un esfuerzo por obtener comentarios positivos.
Y aunque puede ser divertido que Uber publique datos sobre viajeros que se dirigen a citas de una noche y ligues con prostitutas (Uber recientemente borró ambas publicaciones) o que OKCupid publique las preferencias sexuales y hábitos de sus usuarios, esta es información muy íntima.
Si OKCupid o Uber fueran una universidad, este análisis tendría que ser aprobado por un consejo de ética encargado de proteger la privacidad de los sujetos. La investigación de las empresas privadas no es supervisada de ninguna forma, lo que significa que nadie revisa esta investigación con una visión para proteger a los sujetos.
Cambiar esto no necesita una ley del Congreso. Es algo que la Comisión Federal de Comercio de Estados Unidos puede hacer bajo los auspicios de la protección de consumidores. Siempre y cuando las empresas recolecten y almacenen nuestros datos, necesitan someterse a estándares de seguridad y profesionalismo.
El problema general de que nuestros datos sean accesibles no se irá. Hay grandes beneficios en poner tus datos en la nube, y eso no va a cambiar. Empresas como Google y Facebook necesitan poder trabajar en las computadoras y redes que contienen tus datos, así que los ingenieros necesitarán acceso. A menos que tus datos en estas otras empresas estén encriptados; y en muchos casos nunca lo estarán porque será inútil, las personas interesadas podrán acceder a tu información personal.
Ahora vivimos en un mundo en el que muchos datos íntimos están almacenados en alguna base de datos de terceros en algún lugar; los correos electrónicos y mensajes de texto que enviamos y recibimos, nuestros datos de ubicación de nuestros teléfonos celulares, las cosas que compramos, las páginas web que vemos y los términos de búsqueda que utilizamos. Estos datos son comprados y vendidos, y utilizados para manipularnos con publicidad personalizada.
Pero hay algo extra espeluznante en que las personas lo utilicen para acosarnos o analizar nuestros estilos de vida. La recolección corporativa de nuestros datos ha superado por mucho las leyes que nos protegen. Necesitamos reescribir esas leyes para la era de la información.