Echo eavesdroppingUna pareja de Portland afirma con gran escándalo a una televisión local que su dispositivo Amazon Echo grabó una conversación privada entre ellos y envió la grabación a un contacto, que inmediatamente les alertó de la circunstancia, y pretende haber descubierto la supuesta evidencia de que este tipo de dispositivos nos espían y graban nuestras conversaciones de manera habitual.

Las explicaciones de Amazon al respecto son perfectamente razonables, y comprobables por prácticamente cualquiera que lleve un cierto tiempo utilizando dispositivos activados mediante la voz: una palabra en una conversación de fondo que sonaba parecida a “Alexa” provocó la activación de Echo, que escuchó la siguiente conversación como una solicitud de “enviar mensaje”. En ese momento, Alexa dijo en voz alta “¿A quién?”, y por la razón que sea, la conversación de fondo se interpretó como un nombre en la lista de contactos de los clientes. Alexa preguntó en voz alta: “[nombre de contacto], ¿no?”, e interpretó la conversación de fondo como “correcto”.

Una cadena de eventos altamente improbable, pero que obviamente, puede suceder, y que resulta aún más creíble cuando el resultado es tan absurdo como el que ha sido. No, el error en la tecnología no prueba que el dispositivo nos espíe… prueba únicamente que la tecnología, como todas, puede tener errores. La compañía tendrá ahora que trabajar en formas de convertir esta posibilidad en aún menos frecuente, pero eso es todo, y montar con ello una teoría de la conspiración resulta, como mínimo, entre arriesgado y extravagante. Como bien decía Guillermo de Occam, la explicación más sencilla suele ser la más probable: pensar en un error o cadena de errores en la interpretación de un comando de voz es mucho más sencillo y razonable que imaginarse una conspiración mundial y una estrategia basada en espiar a millones de ciudadanos de medio mundo, para supuestamente procesar todo lo que dicen, y utilizarlo para vaya usted a sabe qué, imaginando además que nadie va a descubrirlo jamás y no tendrá nunca ningún tipo de consecuencias.

Hablamos de una tecnología relativamente nueva: asistentes que reaccionan a una palabra determinada, o wake-up-word: “Alexa” en el caso de Amazon, “Oye Siri” en el de Apple, “OK Google” en el de Google, “Hey Cortana” en el de Microsoft… Pensar que esta tecnología va a funcionar a la perfección, considerando lo impredecible e impreciso que es el lenguaje humano, es completamente absurdo: ¿cuántas veces tenemos que pedir a nuestro interlocutor en una conversación normal que nos repita lo que ha dicho? Todos, a estas alturas, tenemos anécdotas en las que nuestro asistente de voz se ha despertado sin motivo aparente: a mí me ha pasado ya en público, estando en el escenario en un par de conferencias, que de repente, mi reloj o mi smartphone se pongan a hablar porque han interpretado que he dicho “oye Siri”… últimamente, hasta juego con ello en algunas presentaciones, y eso que hablamos, seguramente, del más torpe y limitado de todos los asistentes de voz disponibles en este momento. Ayer, durante una reunión en mi despacho, Siri se despertó e interpretó como una orden de búsqueda lo último que la otra persona, no yo, había dicho, imagino que porque algo que dije yo la despertó, pero lo siguiente que escuchó fue pronunciado por la otra persona (en efecto, si despiertas a tu Siri, otra persona puede proceder a darle órdenes o hacerle preguntas, aunque no sea tu voz). De nuevo: una tecnología en sus fases iniciales, con sus fallos ocasionales, que dada además la naturaleza de esa tecnología, nunca podrán ser totalmente evitados. La tecnología puede avanzar mucho… pero no hace milagros.

Quien quiera pensar que este tipo de asistentes son la excusa para que una serie de empresas tecnológicas escuchen todas nuestras conversaciones, las procesen y sepan todo sobre nosotros, ya sabe lo que tiene que hacer: evitar ese tipo de dispositivos, renunciar a sus posibles ventajas, y con el tiempo, posiblemente irse a vivir a una cabaña aislada en lo alto de una montaña, preferentemente evitando la tentación de enviar artefactos explosivos a otros seres humanos. Utilizar esta tecnología no es obligatorio para nadie, y quien lo hace, lo hará por una combinación de curiosidad y propuesta de valor: porque la idea de poder pedir a un asistente de voz que te ponga música, te encienda o apague las luces, te pida un transporte, te compre algo, te diga la predicción del tiempo, te cuente las noticias o mil posibilidades más es algo que le parece atractivo. No imprescindible, sin duda, que son muchos años viviendo sin ello, sino simplemente atractivo. A partir de ahí, están los sentimientos de cada uno, la relación de confianza o desconfianza que tenga con las empresas que fabrican estos dispositivos, la capacidad que tenga para entender la tecnología que tienen detrás o para imaginarse cuestiones más relacionadas con la magia, o la propuesta de valor que sus posibilidades representen lo que haga que una persona se decida o no a utilizar esa tecnología en su smartphone, en su smartwatch o en el salón de su casa. Pero si quieres ser interpretado como mínimamente serio en estas cuestiones, evita la conspiranoia injustificada y piensa más bien en la navaja de Occam.

 

 

 

This post is also available in English in my Medium page, “Voice assistants, espionage and Occam’s razor

 

IMAGE: Tech.eu (CC BY)El cofundador de WhatsApp, Jan Koum, anuncia su salida de Facebook, la compañía que le convirtió en multimillonario y en cuyo consejo de administración ocupaba un puesto desde febrero de 2014, por desavenencias con la gestión de los datos personales y la privacidad que lleva a cabo la compañía. Según algunos analistas, esto podría suponer la llegada de la publicidad a la app de mensajería instantánea, una decisión a la que el ucraniano se oponía de manera radical desde aquel mítico memorándum recibido de su cofundador, Brian Acton.

La salida de Koum sigue precisamente a la del otro cofundador de la aplicación, que tuvo lugar en septiembre del pasado 2017. Tras su despedida, Acton aportó fondos para la constitución de la Signal Foundation, a la que se incorporó. Además, se convirtió en un acérrimo crítico de la compañía que le había dado de comer los tres años anteriores y que le había convertido en multimillonario, y ha contribuido a difundir y promover el hashtag #deletefacebook como resultado del escándalo de Cambridge Analytica.

Aunque la razón oficial de la salida de Jan Koum, según su nota en Facebook, es la de “tomarse algún tiempo libre para hacer cosas que disfruta más allá de la tecnología“, fuentes de la compañía afirman que la razón real son las crecientes disputas con respecto a la gestión de la privacidad y la información de los usuarios. La dialéctica personal de Koum siempre ha sido afirmar que el hecho de crecer en la Unión Soviética en la década de los ’80, donde la vigilancia era un hecho normal de la vida cotidiana, le había hecho darse cuenta de la importancia de la privacidad: una “historia bonita”, pero que no coincide en absoluto con el hecho de que algo así le llevase a montar una aplicación de mensajería instantánea que era, antes de la adquisición por parte de Facebook, un auténtico desastre en términos de privacidad, una aplicación que obtuvo su popularidad y crecimiento precisamente del hecho de ignorar todas las prácticas habituales de seguridad en su industria.

Antes de la adquisición, los ingenieros de WhatsApp, que presumiblemente eran buenos gestionando su backend para mantener la aplicación funcionando, habían probado ser completamente incapaces de poner en marcha un sistema de cifrado con mínimas garantías y tenían un desastroso historial de prácticas de seguridad y privacidad: ese desastre era lo que ese Koum tan supuestamente concienciado sobre su importancia había construido. La llegada de una seguridad decente a WhatsApp no se produjo hasta bastante tiempo después, ya como parte del imperio Facebook y disfrutando de todas las comodidades y dispendios que ello posibilitaba, cuando la compañía, en noviembre de 2014, recibió la ayuda del mítico Moxie Marlinspike para incorporar a la aplicación el protocolo de Signal. Antes de eso, toda la supuesta seguridad de WhatsApp era, sencillamente, una basura, un desastre, por mucho que dijese Jan Koum y sus supuestos principios al respecto. 

Que alguien con un pasado tan poco edificante como Jan Koum, que durante años ofreció una aplicación desastrosa y completamente irresponsable en términos de seguridad, abandone Facebook en un supuesto ataque de dignidad por su preocupación sobre la gestión de la privacidad y los datos personales de sus usuarios tiene, en realidad, tanto valor como que el Capitán Renault se sorprenda de que haya juego en el café de Rick en Casablanca. Lo único que podemos decir de la historia personal de Koum es que fundó una compañía basada en la ausencia total de seguridad y privacidad, que jamás podría haber llegado a ningún sitio si no hubiese sido adquirida por un tercero porque carecía de perspectiva alguna de rentabilidad, y que ahora, convertido en multimillonario, se dedica a ir de digno afirmando que no le gustan las prácticas de la compañía que le permitió convertirse en lo que es y apareciendo como el gran adalid que, con su presencia, impedía la llegada de la publicidad a WhatsApp. No, no es una cuestión de principios: es un simple “toma el dinero y corre”.

Si alguien busca héroes o militantes para la causa de la seguridad y de la privacidad en la salida de Jan Koum de Facebook, mejor que los vaya buscando en otros sitios.

 

IMAGE: BiljaST - CC0 Creative CommonsFacebook se dispone a hacer un cambio en la atribución de todos los usuarios no europeos que vivan fuera de los Estados Unidos o Canadá, unos 1,520 millones de personas en África, Asia y América Latina, para hacer depender sus términos de uso de Facebook, Inc., compañía norteamericana, en lugar de Facebook Ireland, la subsidiaria que creó en 2008 para aprovechar las reducidas tasas de impuesto de sociedades del país. Con este movimiento, reduciría sensiblemente el impacto de la entrada en vigor del Reglamento General de Protección de Datos (GDPR) el próximo 25 de mayo, así como el riesgo potencial en caso de infracciones, previsto en un máximo de un 4% de los ingresos globales anuales de la compañía.

El movimiento contrasta con las expresiones de interés anteriores de Mark Zuckerberg en vísperas de su comparecencia ante el Comité del Senado de los Estados Unidos sobre Comercio, Ciencia y Transporte en las que anunciaba que su compañía tomaría el marco europeo definido por la GDPR como un estándar a nivel mundial, para así ofrecer el mismo nivel de control sobre su privacidad a sus usuarios en todo el mundo. Ahora, todo indica que esa idea se reduce a ofrecer a quienes no estén de facto de manera obligatoria por su residencia bajo el paraguas europeo unos controles “similares” que respondan a un espíritu parecido, pero que no caigan bajo el control de unas autoridades con las que la compañía ha tenido ya numerosos encontronazos, y sobre todo, limitando el importe máximo de posibles sanciones en caso de incumplimiento. 

En su momento, algunos analistas avanzaron sus dudas con respecto a aquellas declaraciones de Zuckerberg con titulares “oscilantes” en uno u otro sentido. Esas dudas parecen ir desvelándose: lo que indica el movimiento es que la compañía se adaptará al marco regulatorio en cada uno de los territorios en los que se sitúe su actividad, pero no necesariamente tomando la métrica europea como estándar, o al menos, no dependiendo realmente de sus controles. Desde un punto de vista operativo, esto podría suponer una cierta rebaja de expectativas: fuera de Europa, la compañía ya solo tiene que “intentar acercarse” al nivel de protección europeo, pero en la práctica, nada la obliga realmente a ello ni la amenaza con posibles sanciones si no lo hace. Si en algún momento, y en parte seguramente como reacción al escándalo de Cambridge Analytica y a la comparecencia de Mark ante el comité del Senado, el gobierno norteamericano o el de otros países decide desarrollar un marco legislativo que dote a sus ciudadanos de niveles de protección parecidos a los europeos o inspirados en ellos, la compañía tendría lógicamente que adaptarse… pero mientras eso no ocurre – y en el caso de la administración norteamericana, no parece que vaya a ocurrir pronto –  es mejor seguir dependiendo de legislaciones más benevolentes en ese sentido. No precisamente el nivel de propósito de enmienda que la compañía parecía expresar cuando comenzó a plantear cambios en la forma en que trataba los datos personales de sus usuarios tras las disculpas de su fundador.

Si quieres cambiar realmente tu compañía, procura establecer mecanismos y simbología que permitan ver claramente que las cosas han cambiado. Si lo primero que haces ante un cambio legislativo que podría proteger más a una parte de tus usuarios es salir huyendo y llevarte a esos usuarios a otro sitio en el que ese cambio no les afecte, realmente no es un buen indicador de que te estés tomando ese cambio demasiado en serio, y parece reflejar más bien una situación de búsqueda de contingencias, de mero control de daños. Ofrecer controles “similares” a los europeos no es lo mismo que ofrecer los controles europeos, de la misma forma que la ley no es necesariamente lo mismo que el espíritu de la ley. El primer es lo que es, el segundo depende de quien lo interprete. Interpretada por Facebook, con sus indudablemente peligrosos antecedentes, la GDPR no va a ser la GDPR, sino algo que posiblemente sea parecido, o posiblemente ni siquiera eso, porque nada obliga a la compañía a ello más que un acto de voluntarismo. Y cuando hablamos de la interfaz entre privacidad y Facebook, es muy posible que el voluntarismo se quede muy corto y no sea suficiente. Veremos en que se queda. Pero como forma de abrir la conversación después de un escándalo, no parece presagiar nada especialmente halagüeño.

 

Telegram blockedEl Servicio Federal de Supervisión de las Telecomunicaciones ruso, conocido como Roskomnadzor, ordena, tras una vista judicial que duró únicamente 18 minutos, el bloqueo inmediato de la aplicación de mensajería instantánea Telegram, creada por el polémico emprendedor ruso Pavel Durov, así como su retirada de las tiendas de aplicaciones de Apple y Google.

Al encontrarse con que una gran cantidad de usuarios, acostumbrados a los habituales bloqueos de páginas llevados a cabo por su gobierno, evaden el bloqueo a través de proxies o utilizando VPNs, el organismo gubernamental emprende una alocada y absurda carrera por intentar bloquear todos los posibles recursos a través de los cuales supuestamente se pueda conectar con Telegram, y al hacerlo, se lleva por delante más de dieciséis millones de direcciones IP de servidores de Google y Amazon (hay una página para ver ese número en tiempo real), provocando disrupciones en la funcionalidad de todo tipo de servicios, desde juegos online hasta apps móviles o páginas de intercambio de criptomonedas. Los intentos de Roskomnadzor para intentar bloquear Telegram han funcionado como un auténtico ataque de denegación de servicio sobre la internet rusa: gran cantidad de páginas y servicios completamente ajenos a Telegram están bloqueados, en un desmesurado esfuerzo de censura moral llevada a cabo de manera técnicamente ignorante. Y a pesar de todo ello, según el propio Durov, Telegram ha seguido funcionando con relativa normalidad, y la compañía no ha detectado una caída significativa de la actividad de sus usuarios en territorio ruso. Una sola compañía con muy pocos trabajadores está dejando en el más absoluto ridículo al país que muchos dicen temer por su supuesto desarrollo y potencial tecnológico en internet.

¿A qué se debe el empeño por bloquear Telegram a toda costa? La teórica justificación es que la agencia gubernamental solicitó a la compañía una clave universal para descifrar las conversaciones llevadas a cabo a través del servicio, solicitud que fue denegada por la compañía. ¿Qué lleva a una compañía como Telegram, sabiendo a lo que se expone, deniegue esta petición? Pues además del fuerte compromiso de su fundador con la privacidad de sus usuarios, un pequeño problema adicional: no existe tal clave universal. Cada conversación a través de Telegram es cifrada mediante una clave generada aleatoriamente para cada mensaje, y esas claves no están en poder de la compañía. Una circunstancia que ya pudimos ver hace tiempo en Brasil con WhatsApp, pero que mientras en aquel caso parecía deberse a la ignorancia o ineptitud tecnológica de un juez, en este se debe simplemente a la búsqueda de un pretexto para llevar a cabo el bloqueo. Simplemente, el interés por bloquear cualquier canal que pueda, por su diseño o características, escapar al control de la censura gubernamental.

El caso de Pavel Durov, al que algunos consideran “el Mark Zuckerberg ruso”, es especialmente notable: antes de Telegram fue el fundador de VK, la red social más exitosa del país, pero se encontró con que una serie de maniobras turbias protagonizadas por el gobierno ruso le arrebataron el control de su propia compañía. Entre ellas se encontró, el 3 de abril de 2014, el uso de una carta falsa de dimisión que el fundador había escrito con motivo del April Fools que había tenido lugar dos días antes, así como la actuación de algunos inversores que operaban en favor de los intereses del gobierno. Tras su cese, abandonó Rusia sin planes para volver afirmando que el país era incompatible con los negocios en internet, adquirió la ciudadanía de las islas caribeñas de Saint Kitts and Nevis gracias a una donación de $250,000, y se dedicó a una vida nómada, sin pasar más de cinco semanas en ningún sitio, sin posesiones materiales ni inmobiliarias, y coordinándose con algunos directivos de la compañía que viajan con él y con otros que trabajan desde sus países. La motivación para su cese en VK estuvo, según la mayoría de analistas del momento, en su negativa a proporcionar datos de personas que llevaban a cabo algún tipo de activismo a través de su red social. Según Edward Snowden, la respuesta de negativa y resistencia de Durov a las demandas totalitarias del gobierno ruso es la única respuesta moral aceptable, y supone una muestra de liderazgo real.

Ante el bloqueo, Durov ha respondido con toda una declaración de principios: “en Telegram tenemos el lujo de que no nos importen ni los flujos de ingresos ni la publicidad”, y “la privacidad no está en venta, y los derechos humanos no deben comprometerse en función del miedo o de la codicia”. En marzo de este año Telegram afirmaba tener unos doscientos millones de usuarios mensuales activos, con un razonable éxito en países como Corea del Sur, India, España, México o Brasil, y recientemente lanzó una exitosa ICO con la que se calcula que podría haber obtenido más de 1,700 millones de dólares. Si se trata de aguantar sin el tirón del mercado ruso, que supone aproximadamente un 7% de la actividad para la compañía, Telegram, que antes del bloqueo figuraba como la novena aplicación de mensajería instantánea más importante del mundo por número de usuarios, podría tener cuerda para mucho tiempo. Según el propio Durov, incluso aunque perdiese la totalidad del mercado ruso, el crecimiento orgánico de Telegram en otras regiones haría que la pérdida se compensase en tan solo un par de meses. Sin embargo, su compromiso con los usuarios rusos y su privacidad es importante a nivel personal, lo que le ha impulsado a repartir donaciones en bitcoins a personas y compañías que ejecuten proxies socks5 y servicios de VPN. Además, afirma estar dispuesto a donar millones de dólares durante este año a esta causa, y esperar que otras personas e instituciones lo sigan en lo que denomina Resistencia Digital, un movimiento descentralizado que representa las libertades digitales y el progreso a nivel mundial.

Ya hay más direcciones IP bloqueadas que usuarios de Telegram en Rusia, pero Telegram sigue funcionando con relativa normalidad. Una perfecta combinación de sinrazón, burocracia y estupidez. ¿Algo que no supiésemos de Rusia?

 

IMAGE: CC BY-SA 3.0 Nick Youngson / Alpha Stock ImagesLos recientes escándalos de Facebook y la subsiguiente comparecencia de Mark Zuckerberg ante una comisión parlamentaria cuyos integrantes ignoraban incluso los aspectos más básicos de lo que es una red social y lo que su actividad supone, han vuelto a poner de actualidad la discusión sobre la evolución de la privacidad en la sociedad.

Que la compañía esté planteándose la posibilidad de aplicar los nuevos estándares de privacidad definidos por la Unión Europea, el Reglamento General de Protección de Datos (GDPR), a los usuarios de todo el mundo, unido a las reacciones negativas de usuarios norteamericanos afectados o alarmados por el escándalo de Cambridge Analytica, podría llevar al desarrollo de normativas más estrictas de protección de la privacidad en los Estados Unidos, y a una consideración mundial de este tipo de legislaciones más garantistas que tratan de otorgar más protecciones y control a los usuarios.

Sin embargo, otros países tienen, obviamente, otros planes. En India, por ejemplo, el despliegue de Aadhaar, la plataforma de identificación de la población basada en datos biométricos tales como la huella dactilar, la fotografía del iris o los rasgos de la cara progresa de manera constante a pesar de los problemas y los escándalos sufridos, parece estar convirtiendo el país en un escenario completamente orwelliano en el que es preciso identificarse para absolutamente todo, sea comprar comida, hacerse con un smartphone o hacer transacciones financieras. La deficiente respuesta del gobierno del país a las denuncias de falta de seguridad debidas bien a ataques o bien a simple corrupción han generado todo tipo de dudas sobre el funcionamiento de un sistema diseñado originalmente para asignar mejor las ayudas gubernamentales a los segmentos más pobres de su población, pero que a través de su funcionamiento como plataforma, ha terminado por impregnar toda la vida cotidiana de los ciudadanos, en un estado en el que todo lo que hagas pasa a ser conocido inmediatamente por quienes controlan el sistema.

En China, las cosas evolucionan de la misma manera: la construcción de una gigantesca base de datos gubernamental de rasgos faciales conectada con los ficheros de la policía, unida a un enorme despliegue de cámaras y a iniciativas privadas pero accesibles al gobierno como sistemas de rating crediticio empieza a entregar sus frutos: una persona, buscada por delitos económicos, es identificada y detenida cuando acudía a un concierto con sesenta mil asistentes, en una prueba que demuestra el estado del arte obtenido a partir de innumerables pruebas y despliegues en determinadas zonas consideradas conflictivas. Una auténtico sistema de pre-crimen capaz no solo de identificar a posibles delincuentes, sino también de aislar y prevenir cualquier comportamiento disidente. Las primeras reacciones de grupos de ciudadanos demandando más respeto a su privacidad e incluso denunciando a compañías por la recolección de sus datos personales pueden suponer el principio de algún tipo de reacción, pero la combinación entre control de la población y búsqueda de una mayor seguridad y estabilidad parece que abocan a China a convertirse igualmente en una sociedad regida por un Gran Hermano omnímodo y sin limitaciones de mandato.

En Rusia, un tribunal ordena el bloqueo de Telegram tras una vista de únicamente dieciocho minutos, tras negarse la compañía a facilitar al gobierno ruso una supuesta clave de cifrado universal que, además, no existe técnicamente como tal. En el núcleo de la cuestión, además de la privacidad y el interés del gobierno ruso por monitorizar todo tipo de comunicación, pueden estar también los lobbies del copyright, que afirman que en Telegram existen infinidad de canales en los que se lleva a cabo intercambio de materiales sujetos a derechos de autor.

Tres grandes países, India, China y Rusia, unidas a Irán con su halal internet, que persiguen un modelo de sociedad en donde la privacidad no es un derecho, sino un peligro, una amenaza a la estabilidad. Frente a ese modelo, una Europa – y posiblemente en el futuro, unos Estados Unidos – que intentan dotarse de mayores garantías, pero en donde el papel de los gobiernos y de la búsqueda de la seguridad tampoco están en absoluto claro, pudiendo caer en la más absoluta de las hipocresías: protejo teóricamente tu privacidad frente a iniciativas privadas que pretender segmentar la publicidad que recibes, pero como gobierno, te espío por si acaso eres un terrorista o por si puedo influenciar tu voto.

Un modelo en el que está todo claro, en el que los gobiernos no ocultan en absoluto sus intenciones y en el que las libertades individuales pasan completamente a un segundo plano, frente a otro supuestamente garantista pero en el que las cosas tampoco están en absoluto claras. Y no, la alternativa de renunciar a todo lo que huela a tecnología y retirarte a lo alto de una montaña tampoco es realista ni recomendableEntre el clavel blanco y la rosa roja, su majestad escoja.

 

 

 

This post is also available in English in my Medium page, “What we should be learning from India, China and Russia’s approach to online privacy