Maldita Tecnología
06/10/2020

Pagar con la mano, actividad fuera de Facebook y pruebas contra bots: ya está aquí el 18º consultorio de Maldita Tecnología

Bienvenidos, malditas y malditos, un martes más a nuestro consultorio tecnológico, donde resolvemos cada semana todas aquellas preguntas que os rondan la cabeza sobre el mundo online (y los efectos que este tiene en el mundo no conectado). Hoy os contamos si vale la pena pagar con la cara o con nuestras manos en algunos sitios, por qué Facebook sabe de cosas que hago fuera de su red social y por qué algunas páginas nos obligan a hacer pequeños rompecabezas para acceder a un sitio o descargar una foto.

El resto de preguntas podéis mandarlas al correo [email protected], a Twitter, Facebook o a través de este sencillo formulario.

¿Es tan útil pagar con la palma de la mano, como propone Amazon?

A raíz de que Amazon haya dicho que quiere que en algunas de sus tiendas en Estados Unidos se pueda pagar usando solo la mano, nos habéis preguntado hasta qué punto es seguro hacerlo, además de si es útil. Por ejemplo, en Madrid hay un proyecto en pausa ahora mismo para que podamos pagar con nuestra cara en los autobuses urbanos. Os explicamos qué tiene de bueno y de malo dar ese tipo de datos para hacer pagos.

El uso de datos biométricos como la palma de nuestra mano o los rasgos faciales tiene aplicada una capa de protección extra en el Reglamento General de Protección de Datos (RGPD). Es decir, que si se van a usar, se tiene que hacer una revisión muy precisa sobre si el fin es proporcional: ¿tiene sentido que me pidan mi huella dactilar para algo o podría hacerse mejor de otra manera?

Para usar esta información, tú como cliente tienes que consentir que una empresa como Amazon o el propio consorcio de transportes de Madrid use tus datos para los fines que ellos te marcan. La cuestión es: ¿aunque les dieras tu consentimiento, querrías que se trataran unos datos tan sensibles simplemente para pagar?

Todo depende de cuánto te fíes de la empresa a quien vas a cederlos, ya que tienes que tener en cuenta que es la que los va a tratar. “Un problema de los sistemas biométricos es el almacenamiento de las características físicas, los patrones biométricos a identificar. El problema también se da en otros sistemas no biométricos, por ejemplo las contraseñas”, explica a Maldita Tecnología Andrés Marín, profesor de Ciberseguridad en la Universidad Carlos III de Madrid y maldito que nos ha prestado sus superpoderes.

“También se debe tener en cuenta, que pese a que las empresas que manejan estos datos (principalmente por control de accesos) tienen unos estándares de seguridad especiales para ellos, su precio en el mercado negro es muy alto, por lo que en los ataques a empresas, son un objetivo prioritario”, nos explica otro maldito, Jorge Francos, consultor y analista de sistemas.

¿Qué hay del uso de un dato biométrico en sí? ¿Es seguro? Francos asegura que “para la operación en sí” son más seguros que otro tipo de datos porque son únicos para cada persona. Eso sí, esa es un arma de doble filo: si los datos son robados o suplantados “quedarían inservibles porque no se pueden cancelar y crear uno nuevo como si nos clonaran la tarjeta de crédito”. 

Seguro que alguna vez habréis visto una película de espías en la que para acceder a una cámara subterránea de máxima seguridad hace falta una huella dactilar concreta o incluso un escáner de un iris. Una vez se consiguen de forma fraudulenta, no hay vuelta atrás. “Si te roban tus huellas dactilares no las puedes cambiar, y además es difícil enterarte si te las han robado”, añade Marín.

Volviendo a la vida real: ¿cómo podrían llegar a robarnos un dato identificativo tan personal? La Oficina de Seguridad del Internauta (OSI) lo explica en una publicación en su blog: primero es necesario “tener acceso” a él. La dificultad varía según el dato biométrico: en el caso de la huella dactilar, nos pasamos el día toqueteando cosas, pero si se necesita la palma de la mano completa se requiere otro tipo de análisis. 

Nuestros rasgos faciales, por otro lado, serían incluso más difíciles de suplantar en directo (si vas a pagar en el autobús, por ejemplo). A pesar de ello, ya hay estudios preliminares que concluyen que un deepfake puede engañar a sistemas de reconocimiento facial, por lo que una identificación podría darse por buena aunque estuviese manipulada.

En definitiva, los datos biométricos son más seguros que otro método de autentificación a la hora de hacer un pago, ya que robarlos o suplantarlos es mucho más difícil que acceder a una tarjeta de crédito. Aun así, hay que tener en cuenta dos factores importantes: si alguien se hace con ellos, nuestra seguridad estará mucho más comprometida porque no hay manera de sustituirlos o desvincularlos de nuestra identidad. Y segundo, supone confiar totalmente en que la empresa que usa tus datos biométricos solo los va a usar para el fin que te dicen, ya que supone darle acceso a otra intermediaria a una información muy sensible sobre ti.

¿Por qué para acceder a algunas páginas web me piden que identifique imágenes de semáforos, autobuses o bicicletas?

Sabemos que estáis hasta el gorro de intentar hacer cosas por Internet y que no os paren de interrumpir cajitas emergentes que os piden identificar pasos de cebra, semáforos, bocas de incendio y otras cosas igual de aleatorias. ¿Por qué?, ¡si lo único que quieres es bajarte una foto! Tranquilos que no hay nadie trolleando detrás de esta medida, es una forma de autentificación para que los proveedores de servicios comprueben que no somos bots. Os explicamos.

Estos módulos que te saltan en la pantalla se llaman test CAPTCHA. Sus siglas se corresponden en inglés con la frase “test de Turing público y automático para distinguir a los ordenadores de los humanos” ("Completely Automated Public Turing test to tell Computers and Humans Apart"). El test de Turing se diseñó para poner a prueba a las máquinas: si un humano no es capaz de distinguir que está interactuando con una máquina en vez de una persona, esta lo habrá superado. Con los CAPTCHA, se ‘pone a prueba’ a la persona.

En varias ocasiones hemos hablado de que los bots se pueden usar en Internet para muchas cosas, desde manipular acciones políticas (a su favor o en su contra), a rastrear páginas web para comprobar los precios de los productos que vende una tienda online. Por eso, hay algunas páginas que buscan identificarlos para evitar su acción y asegurarse de que quien está visitando una página web es una persona real.

Se hace con diferentes objetivos, además: uno es asegurarse de que no hay nadie intentando acceder a tus cuentas de manera automatizada, por ejemplo. De ahí que, a veces, para iniciar sesión en una página web te pida resolver ese puzle aunque ya hayas puesto tu usuario y contraseña. Suele pasar, sobre todo, cuando copiamos y pegamos nuestras contraseñas de otros sitios, porque no detecta lo que escribimos.

Otras veces, que te pidan completar un CAPTCHA no está tan relacionado con la seguridad, sino con motivos económicos, como plantea una investigación de la Universidad de California. Si usas un servicio en Internet de forma gratuita, los proveedores de ese servicio necesitan asegurarse de que este no va a explotarse y que pueda sacarle rendimiento con publicidad o monetizando los datos de sus usuarios. Por tanto, no le interesa que lo use un programa automatizado que no va a aportar esa información.

Los verás de distintos tipos: algunos CAPTCHA usan letras aleatorias que aparecen distorsionadas o tachadas para que las identifiquemos, otros te muestran un puzle de imágenes para que identifiquemos objetos o detalles en ellas, etc.

Las identificaciones no siempre son complejas: dentro del concepto “CAPTCHA” se conoce también lo que se llama sistema reCAPTCHA, que solo te muestra un botón en el que hacer click para confirmar que “No soy un robot”. Digamos que es una versión más sofisticada de este test, ya que no tendrás que identificar manualmente nada. El sistema capta que eres una persona por la forma en la que mueves tu ratón hacia la cajita en la que hacer click, así como por los datos que recoge de tu navegación.

“Los CAPTCHA funcionan porque los ordenadores pueden crear imágenes distorsionadas y procesar una respuesta, pero no pueden leer o solucionar un problema del modo que lo hace un humano para superar la prueba”, define Google sobre este test. La compañía compró el sistema reCaptcha en 2009 y lo utilizó en la digitalización de textos: si un texto era ilegible para una máquina, nosotros le dábamos una pista introduciendo las letras que veíamos en el recuadro.

No son infalibles, eso sí, y por eso cada vez se usan imágenes más difusas o conjuntos de letras más inteligibles, según explica en este reportaje la revista especializada The Verge. A pesar de que sigan queriendo que identifiques semáforos, los esconderán detrás de vegetación o en una esquina de la imagen, porque ya hay programas de inteligencia artificial que consiguen encontrar los componentes en una foto. 

Otro método que se añade para reforzar acciones más críticas (como el inicio de sesión en Twitter, por ejemplo) son los sistemas de verificación en dos pasos, como el de mandar un SMS a tu móvil para que introduzcas un código manualmente y demostrar tu identidad.

¿Por qué tiene Facebook acceso a cosas que hago en otras aplicaciones o páginas fuera de la red social?

En los últimos meses no habéis preguntado por algún que otro mensaje que advierte que Facebook tiene acceso a información de otras aplicaciones y cosas que compartimos o hacemos fuera de la red social. Por ejemplo, de tiendas en las que hemos comprado o de la aplicación de nuestro banco, y no solo eso, sino que nos da una lista de cuáles son todos esos sitios. Esa opción se puede comprobar con una herramienta de la red social llamada “Actividad fuera de Facebook”. Os explicamos de qué va.

Cuando navegamos por Internet e interactuamos con páginas web (al leer noticias, comprar ropa, buscar billetes de avión, etc.) generamos datos que registran en cierto modo cómo es esa interacción. Te hablamos de ello al explicarte lo que son las cookies y la huella digital y por qué a las empresas eso le sirve para cosas como mandarte publicidad

Hay muchos (pero muchos) sitios que comparten esa información con Facebook y cada uno lo hace con su propio propósito: algunos porque quieren tener más información sobre sus usuarios para saber qué publicidad les encaja mejor y otros porque quieren conocer y ampliar su audiencia para saber qué le interesa.

Captura de pantalla del menú "Actividad fuera de Facebook".

Facebook puede proporcionar esos datos a las empresas: puede decirles qué publicaciones y qué anuncios se han compartido más, con cuáles se ha interactuado más veces, en qué publicaciones similares hemos pinchado, etc. En base a esa información, una empresa que quiera vender su producto puede decidir si crea más anuncios con un mensaje concreto, si aumenta la cantidad o cómo dirigirse a sus clientes. Por eso, a muchas compañías y organizaciones les sale a cuenta compartir información sobre nuestras visitas.

Sin embargo, el hecho de que estemos constantemente recibiendo contenido y publicidad personalizada en Internet implica que debemos tener derecho a saber de dónde sale toda la información que está alimentando ese contenido. Ocultarlo le ha valido más de un disgusto a Facebook, por ejemplo, que se vio involucrada en un escándalo mundial ligado a las elecciones estadounidenses de 2016 y a la consultora Cambridge Analytica.

En 2019 puso en marcha una herramienta llamada “Actividad fuera de Facebook” para que sus usuarios pudiesen ver qué sitios están compartiendo información con la compañía. Ojo, no dicen qué tipo de información, solo definen que el intercambio existe.

Para acceder a esa herramienta tenemos que ir al menú de “Configuración” de nuestra cuenta y de ahí al apartado “Mi actividad en Facebook”. Además de unas cuantas opciones sobre cómo acceder a la información que Facebook guarda sobre nosotros, tenemos la opción “Actividad fuera de Facebook”.

Una vez dentro, veremos que nos aparece una lista de aplicación o sitios web que “han compartido tu actividad con Facebook”. Puede que te encuentres alguna empresa que no te suene absolutamente de nada. Si es así, tienes que tener en cuenta que Facebook también recibe información de agencias de márketing y datos que a su vez están haciendo una recopilación de datos para otras empresas. Es decir, que aunque tú no hayas visitado la tienda de animales “X” y esta no te suene, puede que esa compañía tenga información de contacto sobre ti a raíz de una agencia con la que trabaja que sí que la tiene.

También verás ahí los sitios web en los que hayas iniciado sesión desde la red social. Del inicio de sesión a través de Facebook y Google también te hemos hablado en Maldita Tecnología.

Toda esta actividad podemos “desvincularla” de nuestro historial de modo que esa información que viene de otras empresas ya no esté asociada a nuestra cuenta. Eso no hará que dejemos de ver anuncios, por ejemplo, pero sí cortará parcialmente el que estén asociados a otras cosas que hacemos por Internet.

Hay una cosa importante a tener en cuenta sobre la actividad que tenemos fuera de Facebook: la compañía obtiene esta información sobre tu navegación tengas cuenta en la red social o no. Los rastreadores que Facebook da a las empresas para conocer nuestra actividad en sus sitios también dan información sobre el rendimiento de la página, las visitas, el alcance de los anuncios, etc.

De ahí que si elegimos desvincular la actividad de nuestro perfil, la compañía asegura que pueden seguir utilizando este tipo de datos “sin vincularlos a la cuenta de una persona para informar a las empresas del rendimiento de su sitio web, su aplicación o sus anuncios”.

¡Esperad un segundo!

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tienes cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo han colaborado con sus superpoderes los malditos Andrés Marín y Jorge Francos.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Primera fecha de publicación de este artículo: 06/10/2020.

Otros artículos de Maldita.es