Durante meses, Google ha estado tratando de repudiar la creciente indignación de la comunidad técnica, pero el 8 de octubre, esta presa finalmente se derrumbó, enterrada bajo la
noticia de un error en la red de Google+ raramente utilizada, como resultado de lo cual la información personal de medio millón de usuarios podría hacerse pública. Google encontró y cerró la vulnerabilidad en marzo, aproximadamente al mismo tiempo que la
desagradable historia con Cambridge Analytica estaba ganando impulso. Sin embargo, con la llegada de las noticias, las pérdidas aumentan. La versión de usuario de Google+ se está
cerrando , los legisladores de privacidad en
Alemania y
EE. UU. Ya
están buscando formas de presentar demandas, y los ex funcionarios de la Comisión de Bolsa y Valores de EE. UU.
Especulan abiertamente sobre lo que Google hizo mal.
La vulnerabilidad en sí parece relativamente pequeña. La esencia del problema era una API específica para desarrolladores, con la cual era posible acceder a información no pública. Lo que es importante, no hay evidencia de que alguien lo haya usado para acceder a datos personales y, dada la base de usuarios muertos, no se sabe qué cantidad de estos datos personales podrían verse en absoluto. Teóricamente, cualquiera podría tener acceso a la API, pero solo 432 personas lo solicitaron (repito, esto es Google+), por lo que podemos suponer que ninguno de ellos pensó en eso.
Un problema mucho mayor para Google no fue un delito, sino un intento de ocultarlo. La vulnerabilidad se corrigió en marzo, pero la compañía no reveló esta información durante otros siete meses, hasta que The Wall Street Journal
entró en manos de una
discusión sobre este error. Aparentemente, la compañía entendió que estaba en mal estado: ¿por qué más borrar la red social de la faz de la tierra? - pero acerca de qué salió mal exactamente y cuándo, todo está muy confundido, y esta situación revela problemas más profundos relacionados con la forma en que technomir trata esas jambas relacionadas con la privacidad.
Parte de la frustración proviene del hecho de que, desde un punto de vista legal, Google está limpio. Hay muchas leyes sobre la necesidad de informar vulnerabilidades, principalmente
GDPR , pero también hay diferentes leyes a nivel de país; sin embargo, según sus estándares, lo que sucedió con Google+ no puede llamarse, estrictamente hablando, una vulnerabilidad. Las leyes hablan de acceso no autorizado a la información del usuario, describiendo una idea simple: si alguien roba su tarjeta de crédito o teléfono, tiene derecho a saberlo. Pero Google solo descubrió que estos datos podrían estar disponibles para los desarrolladores, y no que los datos realmente se filtraron en alguna parte. Y sin signos evidentes de robo, la empresa no está obligada por ley a informar esto. Desde el punto de vista de los abogados, esto no era una vulnerabilidad, y era suficiente para resolver este problema en silencio.
Hay argumentos que se oponen a la divulgación de tales errores, aunque a juzgar por la mente trasera, no son tan convincentes. Todos los sistemas tienen vulnerabilidades, por lo que la única buena estrategia desde el punto de vista de la seguridad es buscarlos y solucionarlos constantemente. Como resultado, el software más seguro será aquel en el que se descubrió y reparó el mayor número de errores, incluso si parece contrario a la intuición de un observador externo. Será un error obligar a las empresas a informar cada error: resulta que los productos que más se preocupan por los usuarios serán los más castigados.
Por supuesto, durante muchos años, Google mismo se ha involucrado en la divulgación repentina de los errores de otras compañías en el marco del proyecto Project Zero; en particular, por lo tanto, los críticos están tan ansiosos por atacar la evidente hipocresía de la compañía. Sin embargo, el equipo del Proyecto Cero le dirá que informar a terceros es un calibre completamente diferente, y dicha divulgación generalmente debería alentar la corrección de errores y construir una reputación para los hackers nobles que buscan errores.
Esta lógica es más adecuada para los errores en el software que para las redes sociales y los problemas de datos personales, pero en el mundo de la ciberseguridad es bastante común, y no sería una exageración decir que influyó en el tren de pensamiento de Google cuando decidieron reemplazar esta historia debajo de la alfombra.
Pero después de la desagradable caída de Facebook, parece que los argumentos del mundo de la jurisprudencia y la ciberseguridad son prácticamente irrelevantes. El acuerdo entre las empresas de tecnología y sus usuarios es más frágil que nunca, y esas historias la perjudican aún más. El problema no es una pérdida de información, sino una pérdida de confianza. Algo salió mal, pero nadie en Google dijo eso. Y además de informar de WSJ, tal vez, nada se hubiera sabido sobre esto. Es difícil evitar una pregunta retórica desagradable: ¿qué más no nos dicen?
Es demasiado pronto para juzgar si Google enfrentará una respuesta negativa a este incidente. Un pequeño número de víctimas y la relativa poca importancia de Google+ nos permiten decir que es poco probable. Pero incluso si esta vulnerabilidad no fuera crítica, estos problemas representan una amenaza real para los usuarios y las empresas en los que confían. La confusión sobre cómo llamarlo (un error, una fuga, una vulnerabilidad) se superpone al hecho de que es aún menos claro qué es exactamente lo que las empresas deben hacer por sus usuarios, cuándo la vulnerabilidad de la privacidad es significativa y cuánto control tenemos sobre nuestros datos. Estas preguntas son críticas en nuestra era tecnológica, y si los últimos días nos han enseñado algo, es que la industria todavía está tratando de encontrar respuestas a estas preguntas.