Estas semanas ha sido noticia la infección de teléfonos de distintas personalidades públicas con el software espía Pegasus. Primero lo denunciaron algunos líderes del independentismo catalán y sus abogados. Después, miembros del Gobierno estatal. Nada menos que la Ministra de Defensa, el de Interior y el mismísimo Presidente del Gobierno.
¿Cómo funciona Pegasus?
El software espía o spyware Pegasus es uno de los más potentes que se conocen. Puesto que puede activarse en cualquier teléfono móvil sin intervención del usuario, aprovechando vulnerabilidades de cualquier app. Es decir, puede instalarse en un smartphone a través de apps tan aparentemente inofensivas como la calculadora o la linterna, con la simple acción de descolgar una llamada, o cuando hacemos clic en un enlace enviado por SMS. Como parece que fue el caso de Jeff Bezos, cuyo móvil fue presuntamente infectado con este spyware por el gobierno de Arabia Saudí).
Una vez instalado en un smartphone, Pegasus tiene el control absoluto del dispositivo: puede activar el micrófono, la cámara o la geolocalización, y acceder a todo el contenido del terminal y las contraseñas.
Este programa espía es comercializado por la empresa israelí NSO Group, con la previa autorización del Ministerio de Defensa de Israel, que se supone que vela por su venta únicamente a Gobiernos, para su uso contra objetivos de inteligencia. No se conoce el precio de cada licencia de Pegasus, pero sí se sabe que hablamos de cantidades fuera del alcance de casi cualquier empresa o particular.
Con los datos que manejamos, parece improbable que Pegasus se utilice para espiar un teléfono móvil de un ciudadano de a pie. Pero esto no significa que estemos a salvo de vulneraciones de nuestra privacidad. Todos estamos expuestos a la amenaza del software espía, el phishing o las brechas de seguridad que conllevan el «robo» de nuestros datos. Y, sobre todo, estamos expuestos a un tratamiento masivo de los datos que facilitamos a todo tipo de apps y dispositivos.
El derecho a la privacidad y la protección de datos
La importancia del derecho a la privacidad se enfoca de maneras muy distintas según la región del mundo en la que nos encontremos, y sus paradigmas políticos y sociales. Por ejemplo, en Estados Unidos tienen claro que la protección de datos no ha de obstaculizar el comercio. Mientras que en China se diría que desconocen totalmente el concepto de privacidad.
Europa, por su parte, lleva a gala ser la región del mundo donde más se protege este derecho que ya en su día se recogió en la Declaración Universal de Derechos Humanos. La Unión Europea, con el RGPD (Reglamento General de Protección de Datos) se ha autoproclamado como guardiana de la privacidad. De ahí que los servicios de protección de datos hayan cobrado tanto protagonismo.
España cuenta, además, con la LOPD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que refuerza en algunos aspectos las previsiones del RGPD. Es decir, en Europa y en España contamos con una de las legislaciones más proteccionistas del mundo respecto de la privacidad. ¿Significa esto que por ser ciudadanos españoles nuestros datos están seguros? La respuesta es que no necesariamente.
Las normas sobre privacidad tienen un propósito loable, y cuentan con algunos mecanismos para hacerse cumplir. Existen organismos de supervisión para vigilar su cumplimiento e imponer sanciones a quienes incumplan la normativa, como es el caso de la Agencia Española de Protección de Datos.
El consentimiento para el tratamiento de datos
Pero para proteger nuestra privacidad es imprescindible que tomemos determinadas medidas a título individual. Partiendo del conocimiento de los riesgos y las formas de prevención. Y para ello debemos ser conscientes de la realidad cambiante en que vivimos. Y de los peligros que entraña el tratamiento masivo de datos.
Es frecuente que una persona piense: «no tengo nada que esconder». Bajo este pretexto -y siempre que no se hagan con las claves de nuestra banca online-, nos parece inofensivo que nuestra FitBit tenga datos sobre nuestra práctica deportiva o hábitos de sueño. Así como tener un altavoz inteligente que puede grabar conversaciones en nuestro domicilio, o publicar fotos y opiniones de todo tipo en redes sociales.
Ninguna norma puede ser efectiva protegiendo nuestra privacidad, si regalamos nuestros datos a cualquier app o dispositivo. La normativa europea y española permiten al usuario autorizar el tratamiento de sus datos a una empresa, siempre que exista un consentimiento por parte de aquél. Y este consentimiento debe cumplir cuatro requisitos: ser libre, específico, inequívoco e informado.
El cumplimiento de los 3 primeros va a depender en gran medida de cómo sea recabado ese consentimiento y del cumplimiento de las normas por quien lo recoge. Pero un consentimiento para el tratamiento de datos solo podrá ser informado si el usuario hace un esfuerzo mínimo por informarse. ¿Significa esto que tenemos que leer la Política de Privacidad de cualquier app antes de instalarla? Idealmente sí. ¿Y si no hay Política de Privacidad? Debería ser señal suficiente para no descargar esa aplicación.
Y es que puede que a título individual no tengamos nada que esconder, pero que «quien tiene la información, tiene el poder» lo sabemos desde los tiempos de Hobbes. El tratamiento masivo de datos personales que permite la inteligencia artificial puede acabar perjudicándonos en aspectos que ni vislumbramos, y será gracias a los datos que hemos «regalado».
Las consecuencias de exponer nuestra privacidad
Como ejemplo, existen casos reales de venta de datos por apps que pueden conllevar consecuencias totalmente imprevisibles para los usuarios. O al menos para aquellos que hagan un uso de las mismas poco informado o desde la premisa de que no tienen nada que esconder.
Las apps de citas Tinder, Grindr y OkCupid han vendido datos sobre orientación sexual, estatus de VIH o preferencias sexuales de sus usuarios, quienes se registran con nombre, fecha de nacimiento, fotografías y geolocalización. No se sabe a quién se vendieron estos datos, pero es difícil calcular las consecuencias que pueden conllevar para los usuarios. Desde la posibilidad de resultar discriminados dentro de su empresa, hasta la de ser condenados a muerte en determinados países.
Estos días, a resultas de la inminente sentencia sobre el aborto en Estados Unidos, se cuestiona la venta de datos de apps de registro de ciclo menstrual, donde se monitorizan los datos de las usuarias sobre sus relaciones, la posibilidad de embarazo, o la evolución del mismo. Se sabe, por ejemplo, que la app Flo, con más de cien millones de usuarias, vendió datos a grandes tecnológicas. Estos datos podrían identificar claramente a las mujeres que hayan abortado, al igual que podrían hacerlo sus búsquedas en Google, sus itinerarios en Uber desde su casa a la clínica en cuestión, o el pago con su tarjeta bancaria.
Estos son solo dos casos reales en los que se ha podido constatar el peligro que supone despreocuparnos de nuestra privacidad. Pero podemos encontrar ejemplos infinitos:
- ¿Qué pasaría por ejemplo si los datos de nuestra Fitbit o nuestro Apple Watch acaban en manos de aseguradoras? Pues que no nos asegurarán si consideran que no hacemos suficiente actividad física, o que nuestro ritmo cardiaco indica algún tipo de cardiopatía.
- ¿Y qué pasará si publicamos contenido personal o poco profesional en nuestras redes sociales? Probablemente, en un proceso de selección para un puesto de trabajo sean tenidas en cuenta, y puedan determinar que se descarte la candidatura.
En definitiva, no es necesario que seamos objetivos de Pegasus para que nuestra privacidad esté en juego y podamos sufrir las consecuencias de su vulneración. Vivimos en el capitalismo de la vigilancia, y las leyes no son suficientes para protegernos: es necesario tomar consciencia del valor de la privacidad, dejar el mantra de que no tenemos nada que esconder, y aplicar, como en cualquier otro ámbito de nuestra vida, la herramienta fundamental del sentido común.
Descubra nuestro trabajo en https://vento.es/