¿Qué tal, malditos y malditas? Nosotros muy bien, sobre todo porque hoy es martes y eso significa… ¡nuevo consultorio tecnológico! Seguimos respondiendo a las preguntas que nos enviáis para entender el mundo digital. Hoy os hablamos sobre qué es UPnP, una funcionalidad que algunos dispositivos como las consolas nos piden activar, y sobre la posibilidad de pagar productos o servicios con nuestros datos personales, en lugar de con dinero.
Siempre estamos encantados de recibir vuestras preguntas para resolverlas en futuros consultorios. Recordad que podéis enviárnoslas a través de este formulario, mandando un correo a [email protected], con un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319).
¿Es cierto que podremos pagar productos con nuestros datos personales?
“Los datos personales son la nueva mina de petróleo”, “nuestros datos los tienen todas las empresas tecnológicas”, “si el producto es gratis, entonces el producto eres tú”. Todas estas frases resuenan en nuestra cabeza cuando nos referimos a nuestra vida en el mundo digital. De hecho, en un reciente estudio que hemos llevado a cabo en Maldita.es, nos dimos cuenta de que las personas son conscientes de que sus datos personales “están circulando por la red sin control”, pero no intentan revertirlo porque tienen la sensación de que ya no hay vuelta atrás y que es normal que haya que entregar algo a cambio a las empresas para usar sus servicios gratuitos.
Con esa filosofía, al aceptar que nuestros datos son la moneda de cambio para usar las plataformas digitales, cada vez está más presente el debate de pagar servicios con nuestros datos en vez de con euros.
En este sentido, desde el pasado 1 de enero de 2022 está en vigor en los países de la Unión Europea la Directiva 2019/770, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales, que en España se traspuso a través del Real Decreto 7/2021, de 27 de abril. En ella, se reconoce que existe un modelo de negocio por el cual “estos se suministran también cuando el consumidor no paga un precio, pero facilita datos personales al empresario”.
La norma, “al tiempo que reconoce plenamente que la protección de datos es un derecho fundamental”, afirma que se “debe garantizar que los consumidores, en el contexto de dichos modelos de negocio, tengan derecho a medidas correctoras contractuales”. Esto significa que a los usuarios que obtienen un servicio de forma gratuita a cambio de datos personales se les reconoce el mismo derecho que tienen como consumidores, como si lo hubiesen pagado con dinero.
Elena Gil, abogada y doctora en Derecho de Nuevas Tecnologías, explica a Maldita.es que, antes de que entrase en vigor esta directiva, “la figura sobre la que se articulaba todo era el consentimiento para el uso de datos personales, pero estaba entredicho la legalidad de esto cuando existía un tratamiento más allá de lo necesario para prestar el servicio, cuando además, si no lo otorgabas, no se permitía el acceso al mismo”.
“Con esta nueva directiva, pasamos del consentimiento al contrato de suministro de los servicios digitales, lo que además implica que las personas adquieren derechos en el marco de la protección de consumidores'', añade Gil. Además, señala que “esta normativa es parte de las normas de consumo, no de protección de datos, por lo que habrá que ver cómo va encajando con el Reglamento General de Protección de Datos (RGPD)”.
Cuando hablamos de modelos de negocio en base a los datos personales, solemos pensar en plataformas como Facebook o Google. Pero la realidad es que numerosos servicios y empresas utilizan nuestros datos para diferentes fines, como la publicidad personalizada o porque les son útiles para ampliar su negocio. Por lo tanto, las posibilidades de este planteamiento, en el que nuestros datos actúen como dinero, son infinitas.
Por ejemplo, en España poco a poco vemos proyectos piloto y casos en los que se intenta poner esto en práctica. MyDataMood es una empresa “intermediaria de datos” que ofrece a sus clientes obtener servicios usando como medio de pago sus datos y no dinero. Por ejemplo, ofrecen una suscripción por seis meses a la versión digital del periódico El Mundo a cambio de rellenar un formulario con nuestros datos personales. En vez de pagar la suscripción mensual de 7,99€ del periódico, les damos datos de contacto, dirección, etc. Luego pueden usarlos para hacernos ofertas personalizadas.
Fuera del mundo digital, Accenture, una multinacional de consultoría estratégica, también ha explorado esta vía. La empresa lanzó un piloto en el que colocaba una máquina de vending de comida que aceptaba nuestros datos en vez de monedas. Puedes compartir tu correo electrónico, tu nombre, tu género o tu teléfono a cambio de una chocolatina, por ejemplo. Aunque no es un servicio digital, sí que refleja cierta tendencia hacia “normalizar” el uso de nuestros datos personales como medio de pago. Ahora bien, ¿cuánto vale una chocolatina en datos? ¿Vale más nuestra dirección que nuestro nombre? ¿O nuestro género?
Pues eso es algo que todavía no nos hemos planteado. Una cosa es aceptar que servicios como Facebook o Google Drive son gratuitos porque obtienen a cambio nuestros datos personales, y otra muy diferente es adaptarnos a que podamos pagar con ellos una suscripción digital o en una máquina de vending.
“Es una cuestión clave, porque los consumidores no pueden conocer cuánto valen sus datos: todo depende de para qué vayan a ser utilizados, si se van a vender y a quiénes, si se van a cruzar con otras bases de datos…, todo es muy opaco ahora mismo”, expone Gil. “No somos nada conscientes de los riesgos del uso de datos masivos, más allá de que sabemos que nos sirven anuncios personalizados, pero no sabemos el alcance de este uso en otros aspectos como manipular corrientes de opinión de masas, ataques de a la seguridad o guerras de desinformación”, comenta la abogada.
Ángela Álvarez, de MyDataMood, agrega que lo que hay que hacer es “poner blanco sobre negro con mucha transparencia antes de decidir: o cedes tu teléfono o correo electrónico a estas empresas para que hagan este uso con ellos, o pagas ‘x’ cantidad en euros”. “Así, nos hacemos una idea sobre el valor de los datos y podemos elegir con conciencia si preferimos usar nuestro email o pagar con dinero antes que ceder nuestra información a una determinada empresa”, añade.
Álvarez expone que “el valor de tu email no aparece hasta que no se une con otros: si quieres contratar un seguro, pongamos que vale 10€, pero una vez contratado, puede valer 150€ porque ya se sabe que esta persona con este correo tiene este seguro médico, y así con todo”.
Por ahora, estas situaciones son minoritarias y están algo lejos de convertirse en algo normal o estándar, sobre todo si las empresas que ofrecen estos servicios no habilitan estas vías para obtenerlos, y todavía no hay muchas más normas ni experiencias prácticas sobre la materia. No obstante, en camino está la Data Governance Act, un reglamento europeo para regular las transferencias y usos de los datos personales.
En el borrador presentado por la Comisión Europea, se habla de la creación de la figura de los “intermediarios de datos”, que sirva para “ayudar a los particulares a ejercer los derechos que les confiere el RGPD”, pero también que sean los encargados de gestionar el intercambio de datos entre usuarios y empresas.
Este sería el papel, por ejemplo, de empresas como MyDataMood, que servirían como puente entre usuarios y prestadores de servicios digitales. Según el borrador, “se centran en tratar de mejorar las acciones individuales y el control de las personas sobre los datos que les conciernen”, al ayudar a estas a ejercer la gestión del consentimiento al tratamiento de datos personales pero también a rectificar, suprimir o limitar el uso de los datos personales que tengan las empresas sobre los usuarios.
Con la Directiva 2019/770 ya aprobada y la Data Governance Act en camino, la regulación sobre el uso de datos personales como moneda de cambio para determinados servicios digitales se asienta en Europa, ante el parcial fracaso del RGPD de evitar que se utilicen como elemento de compra/venta. Lo que está por ver es cómo se adaptan las empresas y plataformas tecnológicas para ofrecer servicios a cambio de datos personales, y si seremos capaces de adaptarnos a aportar nuestro teléfono o nuestro correo electrónico en lugar del número de nuestra tarjeta de crédito para acceder a un producto digital.
¿Qué es UPnP, por qué muchas consolas como la PS5 lo activan y qué riesgos tiene para nuestra seguridad?
UPnP corresponde a las siglas Universal Plug and Play en inglés, “enchufar y listo”, en su traducción al español. “Es un sistema para conectar de forma automática casi cualquier cosa a la red, de ahí su nombre: conectar y listo para usar”, explica Rafael Navarro, administrador de sistemas y redes y maldito que nos ha prestado sus superpoderes.
“Al ser automático, además de gestionar las propiedades del dispositivo que conectas a Internet, también permite a este que abra y cierre puertos de nuestro router”, comenta Tomás Balaguer, también maldito e ingeniero de Infraestructuras Digitales.
¿Pero qué son los puertos y por qué se abren o cierran y qué papel juegan en nuestra conexión? “Un puerto es un sistema de transmisión de la información que le sirve al ordenador para saber a qué tiene que conectarse en Internet”, aclara Navarro. “Cada programa o servicio puede utilizar alguno de los más de 45.000 puertos disponibles, aunque hay algunos fijados como el puerto 80 para la navegación web o el 465 para la conexión segura de correo electrónico, pero también el 25565 para jugar a Minecraft”, añade.
Vamos a verlo más claro con un ejemplo: pongamos que nuestra dirección IP es el nombre de nuestra calle (por ejemplo, Gran Vía) y el puerto es el número de nuestra casa (el 3). Lo mismo para los servidores donde están alojados los servicios o páginas web. Por ejemplo, la dirección IP de Google es 142.250.184.163, y el buscador se encuentra alojado en el puerto 80, pero es posible que en esa dirección IP también esté alojado un servicio de sincronización de fecha y hora, en el puerto 123 o cualquier otro portal en cualquiera de los puertos disponibles.
¿Y eso en qué nos afecta en nuestro hogar? Al igual que los servidores, también tenemos una dirección IP cuando nos conectamos a Internet a través de nuestro router, y podemos abrir puertos específicos para que pueda circular determinada información por ellos. Por ejemplo, con el caso de una consola o un aparato al que queramos acceder desde fuera. Volviendo al ejemplo de nuestra dirección postal, la cuestión es que al dejar este puerto disponible podríamos decir que una de las ventanas de nuestra casa queda abierta para la transmisión de información, con lo que eso conlleva, y así para cada puerto que abramos.
Balaguer especifica que “estos dispositivos, como las consolas, suelen traer esta característica para aumentar la velocidad de la conexión y que haya el mínimo retraso en la comunicación entre tu videoconsola y el servidor en el que estás jugando”. No obstante, esto no quiere decir que si no tenemos UPnP activado no podamos jugar con normalidad.
“Los routers siempre tienen los puertos necesarios abiertos para que podamos navegar por la red, así que las consolas utilizarán estos generales que utilizan el resto de dispositivos en vez de los suyos personalizados si UPnP está desactivado, por lo que la única consecuencia de desactivarlo sería que el juego fuese algo más lento”, aclara el ingeniero.
“El problema del UPnP es que por defecto tienen un nivel de seguridad bajo o muy bajo, y por desconocimiento no se configura de forma adecuada”, advierte Navarro. Al dejar esta puerta abierta de nuestra red, “podría implicar que se acceda de forma no autorizada a la misma a través de este dispositivo, y suframos algún tipo de ataque o pérdida de nuestros datos”, prosigue. Al ser automático, no tenemos control sobre qué puerto está abierto y cuál cerrado, y en qué momento se usan unos u otros.
En 2013, un equipo de seguridad de la compañía Rapid7 detectó una vulnerabilidad en UPnP que permitía a los atacantes infiltrarse en las redes privadas, entrando a través de los puertos abiertos por esta funcionalidad y atacando a entre 40 y 50 millones de dispositivos en todo el mundo. “Aunque pueda ser cómodo y más eficiente, activar UPnP puede conllevar un riesgo severo de seguridad”, advirtieron los investigadores en su reporte.
Este mismo año, Akamai, una empresa de ciberseguridad y sistemas CDN, descubrió que a través del UPnP de ciertos routers vulnerables, grupos de ciberdelincuentes estaban usando estos puertos abiertos para realizar ataques hacia la red de ese router (como instalar programas de malware en los ordenadores conectados, robar contraseñas o instalar ransomware que cifre los archivos) y como puente para atacar a otras redes.
Entonces, ¿qué hacemos cuando un dispositivo nos pide que habilitemos UPnP para mejorar la conexión? “Todo esto se enmarca en que tenemos que tener una red segura: desde cambiar el nombre y la contraseña por defecto de nuestro router a supervisar qué dispositivos se conectan al mismo”, comenta Balaguer.
“Tenemos que evaluar si tenemos los conocimientos necesarios para manejar este tipo de funcionalidades antes de lanzarnos, para evitar sustos”, añade el ingeniero de Infraestructuras Digitales. Este experto también aconseja: “Si estamos seguros y vigilamos de forma recurrente nuestra red, podemos activarlo, pero siempre teniendo en cuenta sus riesgos”.
¡Un segundito más!
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes el maldito Tomás Balaguer, ingeniero de Infraestructuras Digitales, y Rafael Navarro, administrador de sistemas y redes.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.