Garry Kasparov explora de qué manera las normativas pueden protegernos y lo importante que es desarrollar buenos hábitos personales de seguridad cibernética.
Hablé sobre política y derechos humanos en un importante foro celebrado en Nueva York el pasado mes de mayo, y entre mis compañeros oradores había muchos políticos y académicos, del momento actual y del pasado, que estaban allí para debatir acerca de todo tipo de cuestiones, desde Corea del Norte hasta la libertad de prensa y la seguridad cibernética. Uno de ellos era Mike Rogers, excongresista de los Estados Unidos, quien realizó una presentación esclarecedora sobre muchos de los riesgos a los que nos enfrentamos hoy en día en el ámbito digital, tanto para la seguridad personal como para la nacional. Como expresidente del Comité de Inteligencia del Congreso, se enfrentaba a estos problemas urgentes a diario. (Por desgracia, el Comité se ha convertido en un campo de batalla político, lo que crea una situación muy peligrosa, ya que la seguridad no debería usarse como arma en la lucha partidista).
Fue positivo escuchar la opinión de Rogers sobre muchos de los temas que he comentado aquí, incluidos los peligros que presentan los actores estado-nación que consideran el hacking agresivo como una prioridad nacional. Rogers citó Rusia, China, Irán y Corea del Norte como las fuentes más comunes de estas amenazas, que tienen por objetivo recabar información de inteligencia, el robo de propiedad intelectual y dinero y, en algunos casos, provocar daños físicos mediante el sabotaje de sistemas, como las redes eléctricas.
Rogers también habló de la seguridad y la privacidad del consumidor, y acudió con un divertido objeto para ilustrar su afirmación. Preguntó a la audiencia si sabían quién era la «espía con más éxito de toda la historia» y, a continuación, sacó una muñeca Barbie. La versión «Hello Barbie» salió al mercado en 2015 y podía hablar con los niños mediante una conexión wi-fi y el reconocimiento de voz. Se produjeron dos problemas importantes. Primero: el juguete recogía mucha información personal en estas conversaciones. («¡Háblame de tu familia!») Segundo: los fallos de seguridad descubiertos, que permitían a los hackers acceder a los datos del usuario y convertían a Barbie en una eficaz superespía doméstica.
El año pasado, otra muñeca conectada a internet, llamada Cayla, se prohibió en Alemania por preocupaciones relacionadas con la privacidad, que naturalmente son mayores cuando se trata de proteger a los niños. Hace pocos días, una situación similar condujo a importantes comercios minoristas de Estados Unidos a detener la venta del juguete CloudPets, después de que Mozilla Foundation protestara por sus prestaciones de espionaje y filtraciones de datos. Estos casos llamaron la atención, pero el problema fundamental es la falta de normas para informar a los consumidores, así como la atribución de responsabilidades cuando las cosas van mal. Como dijo el representante de Mozilla, «algunos juguetes inteligentes son mejores que otros en lo que respecta a la seguridad, pero tuvimos la sensación de que CloudPets era un ejemplo atroz. Nuestro objetivo era ponernos en contacto con los comerciantes minoristas para asegurarnos de que sabían exactamente el tipo de producto que estaban vendiendo».
Un informe cita comentarios en la red de «Hello Barbie» que son un ejemplo perfecto de lo que Rogers y yo advertimos: la gente se preocupa más de las características y de «ahorrar dos segundos», en palabras de Rogers, que de la privacidad. «Muchos padres, sin embargo, finalmente han decidido comprar la muñeca. “He leído todos los comentarios acerca del hacking, pero, por desgracia, si el Gran Hermano quiere espiarme ya lo estará haciendo a través del teléfono inteligente”». Cada vez que un consumidor dice algo como esto, un hacker se pone las pilas…
Paradójicamente, parecemos estar mucho menos preocupados por nuestra privacidad cuando somos adultos, a pesar de tener mucha más información valiosa que proteger. Tampoco parece que tengamos un mayor autocontrol que el de los niños que lloran desesperadamente para conseguir el juguete más novedoso. Descargamos aplicaciones y actualizaciones, no nos paramos a leer las informaciones de seguridad y nos sorprendemos cuando en las noticias nos explican la cantidad de información que estas aplicaciones tienen sobre nosotros y que se están vendiendo a otras compañías y organizaciones políticas.
Incluso tenemos una versión menos divertida de espías domésticos, dispositivos que son mucho más populares y potencialmente invasivos que cualquier juguete. Cuando Rogers hizo su pregunta retórica sobre la «espía con más éxito de toda la historia», muchos de nosotros entre el público susurramos «¡Alexa!», el asistente virtual omnipresente que se ejecuta en los dispositivos Amazon Echo, así como en teléfonos y en prácticamente cualquier dispositivo informático. Si añadimos Siri de Apple, Google Home de Google y Cortana de Microsoft, parece que todos estamos rodeados por estos asistentes virtuales. Ya se han producido algunos incidentes de abuso divertidos, y otros no tan divertidos, en relación con estos dispositivos.
La feroz competencia entre estos gigantes tecnológicos estadounidenses genera dos circunstancias completamente contradictorias. La primera es que tendrán que trabajar muy duro en la seguridad, porque cualquier vulneración supondrá un trasvase de clientes hacia la competencia. La segunda es que la prisa por introducir nuevos dispositivos y funciones antes que la competencia provoca inevitablemente brechas de seguridad. Es un equilibrio frágil, que se inclina en función de cómo reaccionan los consumidores y los organismos públicos ante las infracciones de la seguridad y la privacidad. Si las empresas perciben que no se las castiga por los fallos de seguridad, tienen pocos incentivos para prevenirlos. Así funciona el libre mercado, para bien y para mal.
El sentido común nos dice que cuanto más se generalicen estos dispositivos, más problemas de seguridad habrá. Pero, como sucede a menudo, el sentido común aquí no es del todo correcto. Al principio, probablemente se producirá un gran volumen de incidencias, pero es posible que, paradójicamente, el porcentaje de problemas vaya descendiendo a medida que la tecnología evolucione y se estandarice. Las normativas serán más claras, los consumidores y las empresas aprenderán sus obligaciones y riesgos, y la cadena de responsabilidades será más transparente.
Esta tendencia me recuerda a aquello que los investigadores de patrones de tráfico llaman el «efecto del ciclismo holandés» o, más genéricamente, “cuantos más, menos peligro”. Siempre que las ciudades se plantean añadir más carriles bici, los detractores de la iniciativa advierten que habrá más accidentes. Y, si bien puede haber un aumento inicial en las cifras globales, los estudios muestran que el porcentaje de accidentes por ciclista desciende y, a continuación, estas mismas cifras globales también empiezan a bajar. Cuando los conductores y los peatones se acostumbran a los ciclistas y las leyes y los usos se adaptan a ellos, el entorno se convierte en un lugar más seguro para todos. Los conductores en ciudades con relativamente pocos ciclistas, como Nueva York, normalmente no esperan cruzarse con bicicletas y no están pendientes de ellas; por lo tanto, no conocen sus derechos o responsabilidades en relación con las bicicletas ni la forma de interactuar con ellas. Pero en Ámsterdam o Copenhague, donde hay tantas o más bicicletas que coches en circulación, todo el mundo sabe lo que le espera y las costumbres están establecidas y se respetan. (Excepto en el caso de los turistas extranjeros, que a menudo se asustan por las riadas de bicicletas).
Esto genera un círculo virtuoso, por el cual cuanto mayor sea la seguridad, más personas irán en bicicleta. Podemos concluir, para terminar esta metáfora ampliada, que cada vez serán más las personas que utilicen dispositivos digitales a medida que vayan viendo que estos dispositivos son seguros y comprendan sus reglas de funcionamiento real para estar protegidos y mantener sus datos a salvo.
Todavía no hemos llegado a ese punto, pero a juzgar por la reciente ola de nuevos acuerdos de términos de servicio publicados en todos los servicios y sitios, estamos avanzando. Son una respuesta a la legislación del «Reglamento general de protección de datos», o RGPD, de la Unión Europea, que entró en vigor el 25 de mayo de 2018. Es seguro que se producirán cambios y mejoras, como sucede con cualquier ley nueva tan amplia y global como esta, pero es un buen comienzo para la atribución de responsabilidades en el lado corporativo de cara a aportar a los usuarios más conciencia y control sobre sus propios datos. Mi próxima columna se centrará en las ventajas y desventajas del RGPD y otras leyes. Uno de los aspectos más importantes de esta ley es que no libera a los consumidores de su responsabilidad de mantenerse informados y activos con respecto a su privacidad y seguridad. La información no vale mucho si no se actúa sobre ella.
Las normativas pueden ayudar a protegernos a todos a largo plazo, pero es igualmente esencial desarrollar buenos hábitos personales de seguridad cibernética, igual que un conductor o un ciclista experimentado desarrolla buenos hábitos de conducción. Es ilegal que un camión se salte un semáforo en rojo, pero aún así, es mejor que antes de cruzar la calle miremos siempre a ambos lados. De lo contrario, aunque la ley podría considerar al conductor responsable del accidente, sería un consuelo un poco absurdo si hemos quedado tan aplastados como un blini en la autopista de internet.