L’efecte Cambridge Analytica i la protecció de dades personals
Els problemes relacionats amb la privadesa en línia i l’intercanvi segur de dades només han empitjorat. Els escàndols, les infraccions i els pirates informàtics són tan habituals que gairebé ens arronsem quan en surt un de nou. Gairebé la quarta part de les violacions de dades més importants es van produir en els darrers cinc anys, la més gran de les quals va afectar 3.000 milions de persones.
Els usuaris se senten impotents quan es tracta d’aquests atacs, que possiblement alimenten l’estat d’apatia. Finalment, l’escàndol Facebook-Cambridge Analytica va fer que la gent parlés de privadesa en línia. Els problemes relacionats amb l’ús compartit de dades, la propietat, la confiança i la rendició de comptes s’estenen des de fòrums tecnològics fins a xerrades als cafès. La consciència augmenta, però cal fer molt abans que la privadesa en línia estigui preparada per al futur.
Diversos factors contribueixen a l’estat de la seguretat digital, però el nucli del problema rau en la propietat i el control de les dades. Es confia habitualment en les empreses centralitzades per mantenir segura la informació dels usuaris. Aquestes mateixes empreses són cada vegada més l’objectiu d’atacs massius (i amb èxit). És clar que aquest model no és viable per al futur d’un món digital segur.
Les dades sempre seran una moneda valuosa, que les empreses lluitaran per controlar. En lloc de jugar amb les entitats en què es pot confiar, algunes solucions tornen a posar la propietat de la identitat en mans dels usuaris.
El poder de les dades
La informació sempre ha estat un actiu valuós. Els primers intents de recollida organitzada de dades es van centrar en la intel·ligència de la guerra. Al cap i a la fi, el comandant ben informat era un comandant victoriós. Cap al segle II dC, el valor del control dels ciutadans era clar. L’emperador romà Adriano fins i tot va emprar un servei secret per recopilar informació sobre rivals i ciutadans.
A mesura que les ciutats es van fer més complexes i les poblacions humanes es van expandir, les dades es van convertir en la seva pròpia forma de moneda. Calia aprofitar tots els avantatges per millorar la competència. Un dels avantatges més accionables era tenir una bona comprensió de l’opinió pública, ja que cada vegada tenien més influència en les decisions socials més importants. Si sabeu què volen les persones, podeu configurar les vostres estratègies al voltant dels seus desitjos. I si sou intel·ligent, fins i tot podeu utilitzar les vostres dades per influir en les seves opinions al vostre favor.
La tecnologia ha proporcionat innombrables noves eines per recopilar dades a escales cada vegada més grans. Emmagatzemeu un micròfon a la pantalla de la làmpada i enganxeu una càmera al detector de fum; només cal.
Si teniu ulls en premis més grans, la vigilància massiva pot proporcionar dades per a tota una població. També és més que informació demogràfica; es tracta de detalls sobre estils de vida, opinions i hàbits personals, coses que Hadrià només desitjava que pogués posar-se a les mans.
La privadesa és gairebé una idea posterior a l’era digital moderna. Entregem rutinàriament informació personal a empreses a canvi dels seus serveis. Els noms i les adreces de correu electrònic es comparteixen amb llocs web aleatoris, aplicacions mòbils i agregadors de notícies; els llocs de xarxes socials obtenen la vostra ubicació i informació familiar; les institucions financeres que segueixen coneixen les regulacions dels vostres clients (KYC) fins i tot reben una còpia del vostre passaport i adreça de casa. El món en línia s’alimenta de les dades de milers de milions de persones.
El fet de compartir informació no és necessàriament un problema. La pèrdua de la propietat d’aquestes dades és on les conseqüències esdevenen reals. Confiar en una altra entitat és cada vegada més una recepta per al desastre. La tecnologia avança més ràpidament del que poden suposar les mesures de seguretat, fent de cada transacció una aposta amb la vostra pròpia privadesa.
Cambridge Analytica: perseguir dades privades a gran escala
La informació ha esdevingut tan valuosa que han sorgit indústries senceres per treure’n profit. Existeixen empreses com Cambridge Analytica per recopilar i estudiar conjunts massius de dades a la recerca de patrons explotables. Com més informació obtinguin, més precises seran les seves prediccions, cosa que els ajudarà a atraure clients nous i més grans.
La major part del treball de Cambridge Analytica consisteix a recopilar dades sobre activitats humanes, analitzar-les i, a continuació, proporcionar informació sobre comportaments futurs perfil psicogràfic.
Un votant o un comprador pot semblar milers d’altres en un full de càlcul demogràfic. Cambridge Analytica reforça l’objectiu per veure més que només l’edat i el gènere, cosa que permet segmentar mètodes que obrin la porta a la publicitat microrientada.
Cambridge Analytica gestiona contractes tant en el sector comercial com en el polític. Els seus clients principals són generalment campanyes polítiques i inclouen la campanya presidencial del 2015 de Ted Cruz i el braç digital de la campanya presidencial del 2016 de Donald Trump. S’ha informat que a principis del 2018, Cambridge Analytica havia participat amb més de 200 eleccions a tot el món.
Se sap que Cambridge Analytica i el grup afiliat SCL utilitzen campanyes agressives de desinformació per aconseguir els resultats desitjats. Alguns d’aquests inclouen omplir urnes a Nigèria, pintar consignes de pintades a Trinitat per donar a un polític la il·lusió de simpatia i provocar tensions entre letons i russos ètnics per ajudar un client polític..
Empreses com Cambridge Analytica no podrien existir sense accedir a enormes quantitats de dades. També necessiten informació d’enquestes més que àmplia per crear perfils psicogràfics. Necessiten dades personals actualitzades, el tipus de dades que es poden obtenir a gran escala aprofitant les xarxes socials.
L’escàndol de dades de Facebook-Cambridge Analytica
Sospita sobre com Cambridge Analytica va obtenir la seva informació va començar a fusionar-se el 2015. Una investigació de Channel 4 News iniciada dos anys més tard va posar de manifest algunes d’aquestes qüestions. Un periodista encobert va produir imatges de vídeo de l’aleshores CEO Alexander Nix discutint sobre l’ús de suborn, coacció i captura per guanyar eleccions, una infracció tant de la Llei de suborn del Regne Unit com de la Llei de pràctiques de corrupció estrangera dels EUA.
Poc després de la investigació de Channel 4 News, The New York Times i The Guardian van publicar els informes obtinguts d’un denunciant afirmant que Cambridge Analytica tenia “va explotar les dades de milions de Facebook.”Tampoc va ser un esdeveniment puntual. La firma presumptament havia estat recopilant secretament dades de xarxes socials des del 2014.
La violació de dades de Facebook-Cambridge Analytica va afectar almenys 87 milions de persones a tot el món. La informació recopilada incloïa perfils públics, indicacions de pàgines, dates de naixement i ciutats de residència. En alguns casos, l’empresa fins i tot va recopilar informació de feeds de notícies, cronologies i missatges dels usuaris.
La majoria d’aquestes dades es van recopilar a través d’una aplicació que pagava als usuaris per fer proves de personalitat, segons els informes amb finalitats acadèmiques. Els usuaris van donar el seu consentiment per compartir aquesta informació, enllaçant l’aplicació amb el seu perfil de Facebook durant el procés.
En segon pla, però, l’aplicació va accedir tranquil·lament a les dades dels amics de Facebook dels usuaris, ampliant el seu abast des de 270.000 descarregadors d’aplicacions a més de 87 milions de persones. Tot això es va fer sense el permís de l’usuari i, sens dubte, sense incomplir els termes d’ús de Facebook.
Testimoni d’un antic empleat de Cambridge Analytica mostra que l’empresa no té cap reserva sobre el desplegament de mètodes subversius per recopilar dades per als seus models de perfils. Les enquestes també s’utilitzen habitualment, incloent un qüestionari de “brúixola sexual” que es va fer viral a Facebook.
Els informes varien segons si Facebook sabia o no que els mètodes utilitzats per Cambridge Analytica podrien infringir les directrius del lloc. Independentment, molts usuaris consideren que Facebook tenia l’obligació de protegir les seves dades.
Els usuaris van ser impotents en l’escàndol i desconeixien que una empresa mundial de mineria de dades recopilava informació de perfil i resultats de qüestionaris. Es va vulnerar la seva confiança i, malgrat la gravetat de la infracció, tant Facebook com Cambridge Analytica podrien ser absolts de tota responsabilitat.
Un sistema defectuós
N’hi ha hagut més de 20 incompliments de dades de gran perfil des del 2011. Inclou el hack Equifax del 2017 que va suposar el robatori de 147,9 milions de registres. Yahoo! en si mateix ha estat piratejat dues vegades des del 2016, amb una bretxa que va afectar 500 milions d’usuaris i la segona, amb 3.000 milions d’increïbles.
El principal problema amb les infraccions i l’escàndol Facebook-Cambridge Analytica no és necessàriament les dades robades; és que l’estructura subjacent és defectuosa. Les empreses centralitzades tenen pocs al·licients per protegir les dades dels usuaris privats. De fet, sovint els resulta més rendible compartir-lo o vendre’l.
Això situa els usuaris en una posició desfavorable. Donar dades privades a les institucions és sovint un requisit per accedir als seus serveis. Inscripció a un intercanvi de criptomonedes, per exemple, consisteix a compartir la vostra adreça, número de telèfon i escaneig de passaport o permís de conduir. Si no ho feu, l’accés al servei és impossible, tot i que continuar amb això significa lliurar la vostra informació a una entitat que probablement no pugueu confiar a llarg termini..
Reconstruint la privadesa en línia
La tecnologia sempre avança la normativa. No importa la rapidesa amb què el sistema legal intenti reaccionar, apareixerà un nou projecte o servei per canviar la manera de jugar. Existeixen poques lleis de privadesa per protegir les dades dels consumidors dels ciberatacs, una situació que no es resoldrà per si sola.
L’augment del nombre i la gravetat de les violacions de dades il·lustra que l’emmagatzematge centralitzat és massa temptador per a un objectiu. L’escàndol Facebook-Cambridge Analytica mostra que les empreses no estan disposades ni desmotivades a salvaguardar les dades que recopilen.
Per començar a restaurar la privadesa de les dades en línia, els usuaris han de prendre el control de les seves dades. Donar dades personals a serveis centralitzats significa acceptar els riscos que comporta el procés. Compartir dades personals a les xarxes socials comporta el mateix conjunt de riscos.
En general, com compartiu menys, més segur estareu, cosa que molts veuen com l’única sortida a una situació de no guanyar.
Un dels problemes de mantenir les dades personals amb un vigor blanc és que compartir informació encara és una necessitat, i probablement sempre ho serà. És una pràctica intel·ligent i segura per a institucions financeres com bancs, empreses de targetes de crèdit i intercanvis de criptomonedes per verificar la identitat dels seus usuaris. Tot i això, aquest procés no ha de canviar el control d’aquestes dades.
Qualsevol solució als problemes de privadesa en línia ha d’abordar tant els problemes de centralització com la propietat de dades. Els usuaris han de mantenir el control dels seus documents en tot moment, però fer-ho no hauria d’impedir-los accedir als serveis en línia.
La solució descentralitzada de SelfKey
Autoclave té una solució potencial als problemes moderns de privadesa: una que tracta la propietat, la usabilitat, la seguretat i la confiança, tot en un sol moviment.
SelfKey funciona mitjançant un sistema d’identitat autosoberana distribuït (SSID) que s’executa a la cadena de blocs. El SSID permet a les persones i empreses mantenir el control de la seva informació fins i tot mentre signen documents o comparteixen detalls amb serveis en línia.
Quan inicien sessió a SelfKey, els usuaris poden autenticar la seva identitat de la manera que els és familiar. La diferència és que un usuari de SelfKey sempre conservarà el control de les seves dades, ja que l’usuari és l’únic que coneix la seva clau privada. A més, a diferència de Facebook, SelfKey no fa un seguiment de les dades dels usuaris i mai no sap ni té accés a l’activitat i la informació dels usuaris.
Imagineu-vos voler inscriure-us a un compte bancari però desconfiar de lliurar dades personals. SelfKey proporciona a cada usuari un fitxer cartera d’identitat personal que emmagatzema informació confidencial com números de telèfon, adreces i dades de passaport. Aquesta cartera està protegida amb claus públiques i privades generades per l’usuari i mai no surt del seu dispositiu.
Quan s’inscriuen a través d’un servei associat amb SelfKey, els usuaris poden sol·licitar la verificació d’identificació a través de la xarxa. La notarització es fa mitjançant la clau pública de la cartera i, quan s’acaba, el propietari de l’identificador comparteix la confirmació.
El servei final utilitza la identificació verificada per incorporar el nou client, emmagatzemant només les claus públiques per accedir a la cartera de l’usuari, que queda al seu control de forma segura..
Tot el sistema SelfKey no té confiança. A part del propietari de la identificació, cap entitat no aconsegueix mai el control de documents privats. La mateixa Fundació SelfKey ni tan sols pot accedir a la informació. Tot plegat té lloc en un sistema descentralitzat resistent als atacs comuns als serveis centralitzats.
Els avantatges del SSID
El sistema d’identitat auto-sobirà de SelfKey resol molts problemes inherents a la privadesa en línia. L’estructura del servei també elimina els punts de pessigament comuns associats a les transaccions de dades estàndard, tal com comentem a continuació.
Un desavantatge de l’intercanvi de dades és la impossibilitat de triar quina informació es lliura a una empresa. Si compartiu una foto del vostre permís de conduir, haureu d’enviar la totalitat, no només la informació pertinent. El servei final obté accés a tot, des de la vostra alçada i pes fins al color dels ulls, quan tot el que realment necessitaven era la vostra foto aparellada amb un número d’identificació.
L’ús compartit d’informació mínima s’inclou al sistema SSID de SelfKey. Si un servei només requereix un número d’identificació per activar el vostre compte, això és tot el que rebrà. Tot i així, els usuaris mantenen el control total sobre l’accés a aquest número d’identificació.
Els serveis centralitzats emmagatzemen grans quantitats de dades i lluiten constantment per mantenir segura aquesta informació. Projectes de blockchain com SelfKey ho eviten mitjançant l’ús de diversos petits nodes d’emmagatzematge en una xarxa descentralitzada, reforçant la seguretat i reduint la recompensa potencial per a un incompliment reeixit. El frau o la pèrdua massiva de dades són molt menys probables en un sistema distribuït com SelfKey.
SelfKey no només soluciona els problemes existents, sinó que també proporciona nous serveis. El procés KYC per unir-se al servei financer sol trobar-se amb sospirs d’exasperació per part dels usuaris. És frustrant donar les dades privades adequades i el procés pot trigar dies o setmanes a completar-se.
El sistema d’identitat de SelfKey agilitza la validació KYC. Quan un servei s’uneix a SelfKey Marketplace, els usuaris poden crear comptes amb ells i verificar la informació d’identitat de forma ràpida i indolora. Les empreses implicades poden fins i tot estalviar costos KYC associats a la validació, ja que les transaccions SelfKey són econòmiques i es gestionen mitjançant micropagaments de token KEY.
SelfKey i el futur de la privadesa en línia
En el moment de l’escriptura, la pols encara s’està assentant per l’escàndol Facebook-Cambridge Analytica. Es van fer consultes i es van demanar disculpes, però no s’ha pres cap acció ferma per castigar les parts implicades o evitar futures infraccions.
Per als usuaris afectats i el públic en general, tota la discussió sembla ridícula. Es confiava en les dades d’una empresa, es va vulnerar aquesta confiança i, en conseqüència, van resultar perjudicades milions de persones.
La solució de SelfKey a aquests problemes de confiança és senzilla: deixeu que els individus controlin la seva identitat i no les empreses centralitzades. SelfKey supera els límits dels sistemes d’identitat centralitzats, compleix les lleis de privadesa i la normativa KYC i deixa a l’usuari la propietat de les dades personals..
Les dades no deixaran mai de ser una mercaderia valuosa. Compartir-lo pot ser beneficiós per a nosaltres i per a la societat en general, però només si no és a costa de les persones implicades.
Relacionat: 5 projectes Blockchain que augmenten la nostra llibertat