Redes sociales: ¿dónde están mis datos?

Las recientes publicaciones de bases de datos con la información de un enorme número de usuarios de Facebook y de LinkedIn han vuelto a poner sobre la mesa el debate sobre la información personal que compartimos en las redes sociales y las medidas que las protegen.

Seguridad

Aunque el origen de esos datos ha sido distinto (problemas de seguridad en el caso de Facebook y scraping en el de LinkedIn), los dos casos tienen un denominador común: la gran cantidad de datos personales que almacenan estas redes.

• Guardar la información cifrada (en el caso de las contraseñas, no hay que tener copia, sino resúmenes digitales bien configurados).
• Limitar las direcciones desde las que se permite interactuar con las API que las gestionan.
• Limitar el número de entradas simultáneas con las que operan estas API, salvo excepciones bien controladas para labores de mantenimiento.
• Establecer alertas para los accesos que intenten superar estos límites, con posibles bloqueos automáticos.

A ser posible, estos controles deben establecerse a nivel de API y de bases de datos, para evitar volcados directos de la información.

Es muy importante no olvidarse de proteger las copias de seguridad, que tienen la información en bruto. Siempre deben estar cifradas (y no basta con activar la casilla de almacenamiento cifrado de los proveedores de servicios en la nube, que protegen frente al robo físico de los dispositivos), y almacenadas en lugares no accesibles al público, lo que debe comprobarse mediante monitorización.

La protección de las claves de cifrado es fundamental y su acceso debe de estar limitado y monitorizado, con alertas en caso de detectar intentos de acceso anómalos.

En cualquiera de los casos, es extremadamente importante contar con un registro de actividades que nos permita investigar cualquier incidente y poder mejorar los controles de seguridad.

No podemos olvidarnos de registrar las operaciones que realiza el personal propio, y también que el personal, especialmente el de atención al público, que tiene acceso a las herramientas de administración, debe estar formado sobre ingeniería social y phishing.

Para limitar la posibilidad de hacer scraping sobre los datos públicos, es muy recomendable que la información pública de los usuarios que esté accesible de forma anónima sea muy limitada, y que la creación de nuevas cuentas sea difícil de automatizar (por ejemplo, usando captchas), así como limitar el número de accesos simultáneos a una misma cuenta.

Si esto no es posible, se pueden considerar la detección y el bloqueo de intentos de scraping mediante análisis de las consultas realizadas a las API o a las bases de datos con sistemas de Machine Learning, para detectar patrones abusivos.

En cuanto a las medidas que pueden aplicar los usuarios, lo más importante es no reutilizar la misma contraseña en sitios distintos, ni utilizar patrones fácilmente reconocibles (como alkj479hf-facebook, alkj479hf-linkedin…), habilitar el doble factor de autenticación siempre que esté disponible (evitando que sea por SMS, que es poco seguro) y usar un buen gestor de contraseñas.

Protección de datos

Por otro lado, desde el punto de vista legal, tanto la recopilación de datos, como su almacenamiento, cruce de datos y posterior venta o alquiler, son acciones que constituyen un tratamiento de datos personales. Y por ello resultan de aplicación los requisitos del Reglamento general de protección de datos (RGPD), que exigen que el tratamiento sea lícito, es decir, que se cumpla con alguna de las condiciones que se recogen en su articulado para que el tratamiento sea legítimo.

Esta responsabilidad recae tanto en el vendedor como en el comprador. Por ejemplo, al adquirir una base de datos cuya legitimación sea el consentimiento, debe asegurarse que este consentimiento fue informado, incluyendo la posibilidad de transmitir los datos a otros destinatarios para su propia mercadotecnia directa.

No contar con una base legitimadora para el tratamiento de los datos es con diferencia la causa de infracción más común de las sanciones impuestas por la AEPD.

En particular en relación con el uso indebido de bases de datos para publicidad, tenemos ejemplos como la sanción de 45.000 libras de multa por recolectar datos de LinkedIn para ofrecer planes de pensiones.

O la sanción récord a Vodafone de 8,1 millones de euros (que ya han anunciado que recurrirán), por incumplir los requisitos relativos a las acciones comerciales: recogida de consentimientos, bases legitimadoras para los envíos, facilitar el ejercicio de los derechos de oposición de clientes, promociones realizadas por terceros, uso de las listas Robinson, falta de control en los tratamientos, etc, entre ellas, no haber acreditado que se disponga de consentimiento expreso para recibir ofertas comerciales a través de comunicaciones electrónicas (correo electrónico o SMS) por los receptores de las mismas.

¿Qué puede hacer el usuario ante esta situación?

Los eventos de filtración de datos son una constante, por tanto no queda otro remedio que pararse a ver qué tenemos que hacer en estos casos.

Para ello, además de los consejos de seguridad que hemos mencionado, es necesario ser consciente de la información que hacemos pública, haciendo uso de las opciones de privacidad que facilitan las propias plataformas para configurar la visibilidad de nuestros datos, o revisar bien qué contactos aceptamos en nuestra red.

Y para cuando ocurra una filtración, tener guardada en favoritos esta web para comprobar si tus datos han sido filtrados: haveibeenpwned.com.