Apps, privacidad y sensacionalismo

IMAGE: Zao app logo

A principios de verano se habló hasta la saciedad de FaceApp, la app rusa que permitía visualizar cualquier cara como supuestamente estaría a diferentes edades, y que generaba dudas sobre el tratamiento de los datos que recopilaba, básicamente, fotografías no necesariamente del usuario, sino de cualquiera que este quisiese subir a la app. Ahora, el nuevo escándalo llega por Zao, otra app, en esta ocasión china, que ofrece, utilizando la tecnología de los deepfakes, superponer tu cara de manera razonablemente creíble en lugar de la del actor o actriz en una serie de escenas de películas y series conocidas, con una colección de escenas que incluyen a Leonardo DiCaprio, Marilyn Monroe, Sheldon Cooper en The Big Bang Theory, o determinados momentos de Juego de Tronos, entre otras. La app está creada por Momo, Inc., una aplicación que permite hablar con personas próximas, que suele utilizarse para dating, y que cotiza en NASDAQ.

El mecanismo de este tipo de apps es siempre parecido: una funcionalidad generalmente muy atractiva, que lleva a una viralización y a alcanzar los primeros puestos en las tiendas de aplicaciones. A partir de ahí, el planteamiento es qué hacen esas apps con la información que subimos a ellas, lo que suele requerir, como mínimo, estudiar los términos de servicio – que por supuesto, nadie se había leído antes de descargar y utilizar la app – y a partir de ahí, confiar en lo que dicen, algo que, cuando hablamos de la legislación de países como Rusia o China, no necesariamente inspira a muchos usuarios occidentales una gran confianza.

En el caso de FaceApp, las posibilidades de un mal uso resultaban relativamente escasas: la app, en realidad, no capturaba demasiada información, y ni siquiera tenía garantizado que la foto que un usuario procesaba fuese efectivamente suya. ¿Podría obtener una colección de fotografías de caras con las que entrenar algoritmos de reconocimiento facial? Sí, posiblemente, pero de ahi a pensar en posibles robos de identidad o usos siniestros similares, las posibilidades, en realidad, eran bastante limitadas, por la falta de datos de contexto fiables con los que acompañar esas imágenes que la app conseguía captar.

Cuando hablamos de Zao, lo que encontramos es una oportunidad para poder explicar algunos conceptos interesantes sobre seguridad y privacidad: en primer lugar, se trata de una app china, un país que, desde el punto de vista occidental, cuenta con una reputación terrible a la hora de hablar de cuestiones como el reconocimiento facial y la privacidad, y de una app que ha sido restringida por WeChat citando riesgos de seguridad, aunque eso no significa que esos riesgos efectivamente existan. En general, esto demuestra que muchas plataformas empiezan a preocuparse más por detectar presuntas cláusulas abusivas en las apps que distribuyen, no tanto que realmente sea un riesgo como tal.

En segundo lugar, que el elemento que genera la inquietud es fundamentalmente una cláusula en los términos de servicio que la app tenía inicialmente en las que el usuario cedía expresamente los derechos del contenido que generase de manera «gratuita, irrevocable, permanente, transferible y re-licenciable». Este tipo de cláusulas son habituales en toda aplicación que haga algo, prácticamente lo que sea, con el contenido que un usuario sube: todas las redes sociales, por ejemplo, poseen esa cláusula u otras similares en sus términos de servicio, simplemente porque si no la tuvieran, no podrían permitirnos publicar ese contenido, porque podríamos inmediatamente exigir a la compañía derechos sobre esa publicación. No, ni Facebook o Instagram van a comercializar nuestras fotos por el hecho de que hayamos firmado esos términos de servicio, ni mucho menos podríamos impedirlo, como algunos parecen creer, por compartir en nuestro perfil un ridículo texto supuestamente legal afirmando que te opones a ello.

Tras algunas noticias, y sobre todo, tras un aluvión de críticas negativas en las tiendas de aplicaciones, Zao ha actualizado sus términos de servicio: ahora especifica expresamente que no utilizará las fotografías ni los vídeos de sus usuarios para fines que no sean mejorar la aplicación o para usos previa y expresamente acordados por los usuarios, y añade que si los usuarios eliminan el contenido que cargaron, la aplicación también lo borrará de sus servidores.

En la práctica, este tipo de cláusulas supone un problema muy relativo: ¿podría una compañía, por ejemplo, utilizar contenido de un usuario en su publicidad, o venderlo a un tercero? Posiblemente, pero por lo general, ante una denuncia por ese tipo de usos, la mala prensa que generaría sería un desincentivo suficientemente importante como para tratar de evitarlo. ¿Quiere decir eso que debemos ignorar ese tipo de cláusulas? En absoluto: las posibilidades de un mal uso comienzan con lo que dicen ese tipo de cláusulas que nadie se lee, y terminan mucho más allá, con cuestiones como lo que podría ocurrir si la compañía no tiene unas prácticas de seguridad demasiado buenas y la información es, por ejemplo, robada. Recientemente, en un caso para nada comparable, las deficientes prácticas de seguridad de una compañía, BioStar 2, dedicada a gestionar controles de acceso a almacenes y edificios de oficinas, permitieron que un grupo de investigadores accediesen a nada menos que a una base de datos con veintisiete millones de fichas que incluían información biométrica y pudiesen incluso alterar esa información, lo que daba la posibilidad, por ejemplo, de incluir unas nuevas huellas o una fotografía en la ficha de una persona y poder acceder como si fueses ella a un edificio.

Este tipo de problemas resultan mucho más habituales en el caso de una compañía en la que hemos rellenado una ficha completa que permita acceder a un gran número de datos, que en el de una app puramente lúdica en la que simplemente subimos un vídeo o una imagen, que en muchos casos ni siquiera tiene que ir acompañada de ningún dato identificativo adicional. Desprovista de más datos, una fotografía puede ser utilizada, como comentaba anteriormente, para entrenar un algoritmo, pero realmente, para poco más – de nuevo, a menos que hayamos dado permiso a la app, mediante esos términos de servicio que nadie se lee, para que acceda a otros datos nuestros, por ejemplo, a través de otras apps.

¿Están apps como Zao o FaceApp intentando robar nuestra identidad? No, seguramente no, por mucho que algunas noticias se echen las manos a la cabeza con la idea de subir una foto a una app. Subir un pequeño fragmento de vídeo o una fotografía a una app, sin más información de contexto, sin nuestro nombre y sin ningún tipo de comprobación fehaciente de nada es bastante difícil que llegue a representar un riesgo de seguridad. Si nos hemos logado en la app con un perfil más completo, por ejemplo, como el de Facebook o el de Google, puede ser algo más comprometido, y ni siquiera asegura que se esté intentando hacer ningún tipo de mal uso. No puede descartarse, de acuerdo, pero no es como para escribir artículos alertando a todo el mundo sobre un mal uso, porque solo se consigue, en muchos casos, desinformar y crear paranoias. Por lo general, estaremos hablando simplemente de desarrolladores que han tenido una idea divertida, que han logrado hacerla viral, y que han vivido un momento de éxito, algo que puede conllevar importantes beneficios. A partir de ahí, ¿conviene, cómo mínimo, revisar quiénes son, en qué país están, o echar un vistazo a los términos de servicio o a los permisos que solicitan al ser instaladas? Pues sí, y no solo en esas apps: en cualquiera que instalemos.

En este tipo de temas, lo que debemos hacer es intentar educar a los usuarios, y salir gritando «que viene el lobo» cada vez que surge una app viral es algo que seguramente, no contribuye demasiado a ello. El caso de Zao nos ofrece simplemente la posibilidad de entender un poco mejor los términos de servicio de apps con contenido social, en las que la información que aportamos es posteriormente publicada por nosotros mismos, y sobre todo, nos permite comprobar que el tema de los deepfakes ha avanzado hasta tal nivel, que muchos deberían empezar a darse cuenta de aquello de «creer a sus propios ojos» se ha convertido ya en algo muy relativo.


This post is also available in English on my Medium page, «Apps, privacy and sensationalism«


11 comentarios

  • #001
    Luis Hernandez - 3 septiembre 2019 - 10:46

    Voy a compartir una curiosidad respecto a esto de la privacidad y el poco cuidado que muchos tienen a la hora de compartir sus propios datos:
    Cuando aparecieron las cuentas de gmail fuí uno de los primeros en registrame, de modo que tengo un nombre muy corto de usuario: «luishp».
    Pues bien, resulta que docenas de personas están convencidas de que mi correo electrónico es el suyo (o el de alguien a quien conocen) y lo utilizan para darse de alta en todo tipo de servicios, enviarme facturas, albaranes, extractos de cuentas bancarias e incluso enlaces para recuperar passwords. Por supuesto también me llegan notificaciones de Google de personas tratando de recuperar el acceso a mi cuenta…
    En fin, montones de otros luises, con iniciales como las mías que van dando por ahí mi cuenta de correo ya sea por error o por estar convencidos de que es la suya porque «es su nombre».
    Esto me hace plantearme que, en realidad, una gran cantidad de personas no entiende ni lo más básico de como funciona Internet.

  • #002
    Javier Vega - 3 septiembre 2019 - 11:32

    Aquí nos encontramos con varios problemas.

    1. El primero es el del propietario de la tienda de apps (apple, google,…) que deberían hacer firmar un contrato exigente p.ej. con la privacidad de sus usuarios. Firmas esos mínimos entras en mi tienda, no lo haces no puedes colocar tu app. Entiendo que en todo caso el propietario de la tienda es responsable subsidiario de las tropelías de los terceros que suben sus apps

    2. Muchas veces vemos que es normal que una app como Faceapp tenga que acceder a tus fotos, para poder transformala. Pero con eso le das permiso a todas las fotos, y en Android entiendo (no soy experto) a tu sistema de ficheros. Y aunque ellos juren por sus niños que solo lo usaran para el fin que estas pensando, en realidad te tienes que fiar de un desarrollador chino o ruso que es para lo que ellos dicen. OJO americano o europeo, que lo mismo de da…

    3. El otro día leía en eldiario.es que la popular CAMSCANNER(la gratuita) venía con un troyano de un tercero. Y la acción que hizo GOOGLE fue quitarla de su tienda y ya… ¿No debería habernos lanzado un WARNING en su tienda? para indicar que teníamos que hacer. Pues no lo hicieron.

    Resumiendo hay sinvergüenzas en este mundillo de apps porque se les permite serlo, los responsables finales son los dueños de las tiendas. Y mucho bla bla pero sus usuarios LES IMPORTAMOS UNA MIERDA.

    La solución adicional que proponía eldiario era tener un antivirus. Ok no problem. Pero el RESPONSABLE de las tiendas mucho big data, mucho tenernos controlados con nuestra navegación pero no pueden enviarte un EMAIL con el problema detectado. Son unos sinvergüenzas o unos inútiles. Que elijan ellos.

  • #003
    LEON - 3 septiembre 2019 - 11:47

    Ligar una fotografía subida desde un determinado terminal con la identidad de la persona, titular del terminal, es absolutamente trivial.

    Cierto es que se puede subir una foto de otras personas para intentar ofuscar el algoritmo de identificación, pero los algoritmos aprenden rápido a sortear esas tácticas.

    No nos extrañemos que dentro de muy poco, si no se está haciendo ya, al entrar en una tienda, con nuestro móvil en el bolsillo, nos demos de frente con una pantalla en la que nuestra propia imagen nos saluda o que en el sentido inverso, sin tan siquiera llevar el móvil, reconozca nuestra imagen y nos de la bienvenida con nuestro nombre y hasta nos felicite si es nuestro cumpleaños.

    Y no intente usted esconderse, cada vez es ilegal en mas países cubrirse la cara en lugares públicos.

  • #004
    Gorki - 3 septiembre 2019 - 11:49

    Precisamente en la coincidencia de nombres, de facciones y de otras características que nos puedan definir, como la que habla LUIS HERNANDEZ, es a mi juicio la mejor arma para defender la privacidad.

    Me alegra saber que mi nombre real (o legal) coincide con el de otros españoles, entre los que se encuentra un alcalde de una ciudad de Zaragoza, un profesor de Universidad y un laureado motorista de trial, pues las noticias sobre esos señores se confunden con las noticias que realmente son mías, y tiene que ser alguien que me conozca muy a fondo el que pueda separar el grano de la paja.

    Es una especie de don digital de la ubicuidad que te permite vivir varias vidas simultáneamente. Ojalá mis facciones se confundan con las de otras personas, porque toda la información que los dispositivos automáticos detecten será un batiburrillo de acciones realizadas por un montón de personas, que nadie salvo los propios interesados, puedan diferenciar si les pertenecen o no.

    Es algo parecido a lo que hacían nuestros mayores cuando se quedaban solos en Madrid al mandar a la familia a veranear al pueblo con la abuela. Todos pasaban a llamarse automáticamente «Rodríguez», porque no hay mayor privacidad que confundirse con la masa.

    • Javier - 3 septiembre 2019 - 14:40

      …según google, yo me cargué a siete reos en una carcel en Austria… cuidadin conmigo… XD

      Off topic: disfruto mucho tus comentarios

      • Gorki - 3 septiembre 2019 - 19:03

        ¡Ah! ,… Pero resulta que tu no eres el asesino en serie,… ¿En serio?
        – Qué desilusión ¡ Para fiarse de la Big Data !.

        Muito obrigado que dicen los portugeses, (y un poco abrumadu, añado).

  • #007
    Xaquín - 3 septiembre 2019 - 16:27

    Tomando el atinado comentario de Gorki, me gustaría resaltar que siempre hubo dos tipos de «Rodríguez». El que sabía/sabe hacer «su trabajo» sin dar pistas y el chulito que se pavoneaba/pavonea en todas partes y en todo momento (amigotes, bares…).

    Con internet pasa lo mismo, agudizado por la existencia de un mar de menores, que nin siquiera pueden tener la supuesta madurez de un adulto haciendo de «Rodríguez».

    A modo de conclusión. Ni seguridad ni p.bs., se necesita educación. Eso sí, no deseducación como estuvo mandado hasta ahora. Y me refiero al sistema formal de deseducación. Por ahora el ambiente informal sigue siendo una buena fuente de educación. Le falta precisamente un buen sistema de filtros (de calidad), que debía incorporar el llamado sistema educativo oficial.

  • #008
    Gorki - 3 septiembre 2019 - 19:17

    Estoy totslmente de acuerdo con JAVIER VEGA si nos bajamos de la tienda de Google una App , esta deberia haber pasad un control de calidad por parte de Google, que entre otras cosas, obligara a tener unas nomas de privacidad adecuadas.

    Si una App tiene un virus, o sea un «troyano» de toda la vida, que se soluciona teniendo un antivirus, lo lógico, es que Google que son tan profesionales y tienen tanta IA pasaran el antivirus en su servidor y que detectado el problema simplemente no solo retiraran esa App sino todas las del mismo origen.

    Hace años que no he padecido un virus, cosa que me preocupa más que padecerlos, porque antes, te fastidiaban el software, pero al menos sabias lo que hacían, pero ahora, seguro que los recibo pero no hacen nada detectable, lo cual solo quiere decir que lo que hacen pasa desapercibido.

    Siempre he considerado que Telefonica que es mi proveedor de Internet debia poner antivirus en sus sistemas, de forma que detectara y no dejara descargarse, algo dañino y que prohibiera la descartga de aquella direccion y de todas las de ese origen a cualquier usuario , pues hoy somos «clientes» a los que hay que cuidar y no como antes que eramos solo «abonado» es decir terreno fertil para su explotación.

    • Javier Vega - 4 septiembre 2019 - 11:51

      El antivirus de Telefonica existe y es gratuito, igual por eso no los recibes. No sé de su efectividad, tampoco si lo tienes que pedir o no…. o fue marketing de Chema, no lo sé,

      https://elpais.com/economia/2018/11/19/actualidad/1542628931_889001.html

      • Gorki - 6 septiembre 2019 - 12:40

        No es que me lo suministren, sino que ello sistemáticamente pasen todo el trafico que demanden sus clientes. y que si detectan un virus, te avisen antes y pidan confirmación de si lo quieres bajar a pesar de todo.

        Al usuario le es complicado tener un antivirus actualizado todos los días.
        .

  • #011
    Enrique - 3 septiembre 2019 - 21:46

    Google, ya se más de Gorki que tú. Chúpate esa.

Dejar un Comentario

Los comentarios están cerrados