Privacidad en riesgo, el día después de Ashley Madison

Si hoy conocíamos la noticia de sobre el hackeo de 11 millones de contraseñas de Ashley Madison a través de un fallo de seguridad en la forma que tenía la empresa de almacenar las contraseñas de los usuarios, hace días amanecíamos con informaciones relativas a que millones de datos personales e información privada de usuarios de la página de contactos Ashley Madison veían la luz tras el ataque sufrido por parte de un grupo de hackers denominado Impact Team.

Este hecho de consecuencias difícilmente cuantificables pone de manifiesto los riesgos para la privacidad a los que cualquier usuario se expone en Internet, unos riesgos que se agravan teniendo en cuenta el objeto de Ashley Madison era constituirse en “la página de contactos más importante a nivel mundial en encuentros discretos para gente casada”.

Poco a poco vamos conociendo más información sobre el alcance del hackeo y la divulgación de la información. En diferentes medios ya han sido publicadas cifras de usuarios a nivel internacional (Sao Paulo 374.554, Nueva York 268.247, Londres 179.129, o Bogotá 123.559).

Además, se han publicado informaciones relativas a las direcciones de correo electrónico utilizadas por los usuarios durante el proceso de alta. Algunos medios hablan de más de 15.000 cuentas registradas con correos electrónicos del Gobierno de Estados Unidos, las Fuerzas Armadas estadounidenses, el Senado y la Casa Blanca, además de direcciones de carácter corporativo de importantes multinacionales o instituciones.

Estos hechos ponen de manifiesto la necesidad de analizar los diferentes riesgos asociados y las consecuencias de los mismos, no sólo para los propios usuarios de la página web, sino para su entorno personal y familiar, e incluso para las propias empresas e instituciones en las que prestan sus servicios.

Debe tenerse en cuenta que, conforme a la política de privacidad de Ashley Madison, los datos que el usuario facilita pueden ser utilizados para “entregarle publicidad dirigida y ofertas promocionales procedentes de compañías externas que tienen la máxima relevancia con respecto a su perfil demográfico” lo que evidencia el uso de técnicas de segmentación y profiling para facilitar información de carácter comercial o publicitario.

Este tipo de hechos y filtraciones de datos personales e informaciones confidenciales de usuarios pone de manifiesto la necesidad de recordar que la mejor defensa de la privacidad pasa por tomar medidas y realizar comprobaciones previas al registro en una determinada web. Uno de los pasos recomendables es revisar la política de privacidad del prestador de servicios y constatar si aporta garantías suficientes.

En concreto, si analizamos la política de privacidad de Ashley Madison encontramos diferentes afirmaciones tales como: “Además, a menos que se borre del registro, de vez en cuando podemos compartir y/o vender IIP acerca de nuestros usuarios (como sus direcciones de correo ordinario o correo electrónico) con terceros seleccionados, de modo que puedan ofrecer bienes y servicios que pensamos que puedan resultar interesantes o beneficiosos a nuestros usuarios”.

En relación a la conservación, bloqueo o eliminación de los datos de carácter personal, si bien la política de privacidad recoge que “Conservaremos la información que nos ha proporcionado mientras su Perfil de anuncio permanezca activo u oculto o conforme nos permitan las leyes locales aplicables”, el ataque informático puso de manifiesto que, pese a que los datos habían sido cancelados y por tanto eliminados, las direcciones e información era conservada.

Estos aspectos, así como otros referentes al mecanismo de cancelación de datos (actualmente modificado en la web), el tipo de consentimiento para la recepción de comunicaciones comerciales (sin mecanismo para oponerse al tratamiento de los datos con dicha finalidad) con independencia de la normativa aplicable, deben hacer replantearse al usuario la fiabilidad y compromiso con la privacidad del prestador de servicios, y por tanto la seguridad de su información. En este sentido, es importante que los usuarios lean detenidamente los términos y condiciones de uso, así como las políticas de privacidad, o  cualquier otro texto o aviso legal, antes de darse de alta y hacer uso de servicios a través Internet, donde además de información especialmente protegida, comparten otros datos de especial relevancia, como información relativa a medios de pago, por ejemplo.

Debemos tener en cuenta que el hackeo de Ashley Madison y la posterior publicación de las direcciones de e-mail con las que los usuarios se habían dado de alta, puede afectar a las empresas o instituciones en las que éstos prestan sus servicios, teniendo en cuenta que un porcentaje de los usuarios habían utilizado direcciones corporativas. En este sentido, diferentes medios se han hecho eco de la aparición de e-mails provenientes de empleados o colaboradores de prestigiosas universidades, consultoras, prestadores de servicio en Internet, entre otros.

Ante este hecho debemos tener en cuenta dos aspectos: en primer lugar las posibles repercusiones que pueden tener para los usuarios la utilización de medios corporativos con fines claramente personales.

Estas cuestiones afectan a la propia seguridad de la empresa, a la protección de la información tratada en sus sistemas, y adicionalmente a su imagen corporativa. Debe tenerse en cuenta que la publicación de las direcciones corporativas usadas por los usuarios de Ashley Madison, puede incidir negativamente en la imagen de empresas e instituciones. Baste citar como ejemplo las direcciones empleadas que finalizaban en .va, un dominio asociado al Estado del Vaticano. Además del daño corporativo y su afección a la confianza en los usuarios son difícilmente cuantificables, así como la utilización de dichas informaciones por terceros o la propia competencia, todo ello sin perjuicio de las posibles consecuencias para los usuarios, atendiendo entre otros factores a su posición y funciones, derivadas del incumplimiento de los aspectos reseñados y las posibles repercusiones y sanciones en el ámbito laboral asociadas.

Por último, la información proporcionada, en tanto pertenece a la esfera privada del individuo, toda vez que está tratando con temas relacionados con su vida sexual afectiva, y por tanto en su esfera más íntima, no sólo supondría una intromisión ilegítima en el derecho a la intimidad del propio usuario sino que, podría incluso afectar a la intimidad de su entorno más próximo.

En todo caso, tomando el lema de la página web hackeada, podemos concluir este análisis con una máxima que debe regir la utilización de internet, redes sociales y el uso que hacemos de nuestros propios datos personales: “life is short, protect your privacy”.

TAGS

• privacidad