“Es difícil para los consumidores obtener información clara y concreta por parte de las empresas sobre la seguridad y la privacidad de sus productos conectados. Con esta guía, esperamos ayudar a los consumidores a navegar este panorama al comprender qué preguntas deben hacer antes de comprar un dispositivo”, explican desde la Fundación Mozilla. Esta organización sin ánimo de lucro, que mantiene servicios digitales que intentan ser respetuosos con la privacidad, como el navegador Firefox o el cliente de email Thunderbird, ha publicado la tercera edición de su guía “Privacidad no incluida”, en la que analiza 76 de los productos tecnológicos más populares en los comercios estas navidades.
“Sabemos que la gente solo quiere saber qué productos son seguros y cuáles no. Somos Mozilla, no una empresa de revisión de productos de consumo, por lo que no vamos a decirte compra esto, no compres eso”, aclaran. En vez de ello, han elaborado una lista de “estándares mínimos” que, a juicio de sus expertos en privacidad, deberían cumplir todos los productos y servicios digitales que utilizamos a diario. Además, la guía ordena los productos según una valoración del grado de confianza que inspiran en los usuarios.
De la guía se extrae que, por regla general, todos los productos que las grandes empresas han puesto en el mercado de cara al mercado de navidad cumplen esos estándares, incluso los fabricados por aquellas que acumulan brechas de seguridad o son conocidas por el gran número de datos que acumulan sobre sus usuarios. Con una excepción: los productos Ring de Amazon. Esta gama de dispositivos con cámara diseñados para conectarse con Alexa, el asistente virtual de la compañía, que incluye un timbre con cámara o pequeñas cámaras de seguridad para colocar en el interior y exterior de las viviendas, acumulan problemas de seguridad y privacidad.
“Ring, propiedad de Amazon, tiene antecedentes de no proteger la privacidad de los usuarios”, recalca la guía. Se refiere al hecho de que Amazon almacenó en su nube, sin cifrar, datos de usuarios de Ring, incluidas grabaciones de vídeo, permitiendo a sus empleados acceder a esos vídeos y descargarlos. “Además, no son tan transparentes como nos gustaría que fueran con sus prácticas de privacidad y eliminación de datos. Dicen que no hacen reconocimiento facial pero han contrado a un 'jefe de investigación de reconocimiento facial'. Con todo, esta es una cámara de seguridad que plantea demasiadas preguntas sobre privacidad y seguridad, en nuestra opinión”.
En el campo de las cámaras de seguridad, la guía puntúa mucho mejor las de la marca Wyze, por ejemplo: “Para una cámara de seguridad conectada de 20 dólares [disponible en España por unos 25 euros], estas cámaras parecen hacerlo bastante bien en cuanto a privacidad y seguridad”. “Con cualquier cámara conectada se debe ser un poco cauteloso”, recuerdan, “sin embargo, la mayor preocupación con esta cámara realmente podría ser que te dejes llevar, compres un montón de ellas porque son muy asequibles y te pongas bajo vigilancia 24/7. Te convertirías en tu propio Gran Hermano”.
Dejando a un lado los productos Ring, otros dispositivos que se han convertido en sospechosos habituales en materia de privacidad, como los altavoces inteligentes de Google, Amazon, Facebook o Apple o la vídeoconsola Xbox de Microsoft (que sufrieron un gran escándalo en verano tras confesar que su personal transcribía a texto escrito los audios privados de sus usuarios) cumplen todos los requisitos de seguridad y privacidad que Mozilla había preestablecido.
Sin embargo, los expertos de la fundación recomiendan unos productos por encima de otros, y el altavoz inteligente Symfonisk, fabricado por Ikea y Sonos, recibe su bendición. “Tanto IKEA como Sonos parecen tomarse en serio la privacidad y la seguridad con este producto. Cumple con nuestras estándares mínimos de seguridad y ninguna de las compañías comparte datos con terceros. En general, no hay mucho que pueda salir mal con este producto”, señalan.
Entre los dispositivos que robotizan parte de las tareas del hogar, otro de los que recibe una buena crítica es el robot aspiradora iRobot de Roomba: “Cumple con nuestros estándares de seguridad y la compañía parece tomarse en serio la privacidad y la seguridad”, recalcan. La guía recuerda que Roomba sufrió un pequeño bamboleo hace unos años, cuando se filtró que los mapas que sus robots aspiradora hacen de la casa del usuario se subían a la red y la compañía pretendía venderlos a terceros. “Desde entonces han dado marcha atrás en esto”, explican desde Mozilla, “aunque todavía se habla de lo que podría suponer compartir este tipo de datos agregados de forma anónima”.
Juguetes y dispositivos para mascotas
Los productos más problemáticos que Mozilla ha detectado son aquellos que, en principio, no son los más avanzados tecnológicamente pero que a pesar de ello pueden convertirse en pequeños espías. Así ocurre por ejemplo con muchos de los productos para mascotas, que incluyen cámaras o micrófonos pero no las suficientes medidas de ciberseguridad que las protejan lo máximo posible de un hackeo, o políticas de privacidad que impidan que los datos que recogen se conviertan rápidamente en mercancía que acaba en manos de data brokers.
Pocos de los comederos inteligentes, cajones de tierra para gatos inteligentes o collares inteligentes que incluye la guía son realmente seguros. “La empresa no respondió a nuestras preguntas sobre privacidad y seguridad, por lo que no pudimos saber si este dispositivo de seguimiento cumple con nuestros estándares mínimos. También podrían compartir tus datos con fines de marketing”, explican los expertos de Mozilla sobre una que vende estos collares. “Teniendo en cuenta que el dispositivo rastrea a tu cachorro adonde quiera que vaya (y muy probablemente, tú con él), son dos aspectos preocupantes”.
Otro de los productos analizados por los investigadores, esta vez con cierta sorna, es un robot que hace de retrete para gatos y evita que su dueño tenga que pasar por el trance de cambiar la tierra al minino. “Desafortunadamente, este producto cruza tantas líneas rojas como la caja de arena en sí misma cuando Fluffy está lidiando con un malestar estomacal”, se mofan. Pese a su alto precio (unos 550 euros), el producto no cumple prácticamente con ningún parámetro de ciberseguridad y privacidad.
Por último, la guía también ha detectado algunos juguetes que, por sus capacidades para conectarse a Internet, pueden representar problemas de privacidad que involucran a los menores. Este es un riesgo sobre el que tanto la Agencia Española de Protección de Datos como el Instituto Nacional de Ciberseguridad han alertado y publicado guías con recomendaciones para reducirlos. “Los juguetes que incorporan conexión a Internet y funcionalidades de inteligencia artificial tienen la capacidad de comunicarse con otros dispositivos, al igual que la de conectarse a diferentes servicios de la red. Esta nueva situación puede poner en riesgo la privacidad y seguridad, tanto del menor, como de su entorno familiar”, ha recalcado recientemente el INCIBE.
En este campo, la investigación de Mozilla ha evaluado negativamente un pequeño robot cuyo objetivo es enseñar a los menores a programar. “Desafortunadamente, Artie tiene algunas líneas rojas para nosotros”, avisan. “Es un producto con WiFi incorporado, pero no sabemos si Artie cifra los datos que envía. Además, Artie parece funcionar como un punto de acceso WiFi abierto que no requiere contraseña. Esto plantea la preocupación de que Artie podría ser pirateado y cualquier información que recoja, enviada a través de WiFi de Artie podría ser accesible para cualquiera”, avisan desde Mozilla.
Con este mimsmo objetivo, aprender a programar, la guía recomienda dos productos de la marca Kano: los kits para programar de Harry Potter y de Star Wars. ¿Cuál es el riesgo de estos productos? “No mucho en realidad. Los niños, grandes y pequeños, podrían aprender a codificar mientras fingen ser Harry o Hermione o incluso Dumbledore. ¡Nada malo en ello!”.
Otro juguete que preocupa a los investigadores está fabricado por Lego y permite a los menores montar tres figuras de Star Wars. El set incluye dispositivos que permiten programar algunas funciones de robótica en las figuras a través de una app, algunas de las cuales usan el micrófono. No obstante, los investigadores de Mozilla no pudieron encontrar ninguna política de privacidad asociada a los datos que se generan a través de esa app, ni ningún sistema de cifrado para los audios recogidos por el micrófono. “Con todo, la posibilidad de que reveles la ubicación de la sede de la Resistencia jugando con estos Legos es bastante pequeña”, ironizan.
Cinco elementos clave de seguridad
“Nosotros, como consumidores, debemos exigir privacidad y seguridad a aquellos que fabrican nuestros productos. Es así como comenzaremos a hacer que Internet y nuestras vidas sean un poco más seguras en este mundo digital”, piden desde la fundación Mozilla. Su guía incluye cinco parámetros clave bajo los que han evaluado los 76 productos y que, aconsejan, se deben supervisar en cada compra de productos tecnológicos.
Estos elementos son la Encriptación (“el producto debe usar cifrado en todas sus funciones y comunicaciones de red. Esto asegura que las comunicaciones a través de él no puedan ser escuchadas o modificadas”); Actualizaciones de seguridad (“debe asegurar actualizaciones automáticas durante un período razonable después de la venta, lo cual debe estar habilitado de forma predeterminada”); Contraseñas fuertes (“las contraseñas predeterminadas no únicas deben modificarse automáticamente como parte de la configuración inicial del dispositivo”); Gestor de vulnerabilidades (“debe incluir un punto de contacto para informar sobre vulnerabilidades y gestionar incidentes”) y Política de privacidad propia (“el producto debe tener información de privacidad que se aplique específicamente al dispositivo, no una genérica escrita para cubrir solo la web de la compañía”).
Para comprobar qué productos se ajustaban a los estándares, Mozilla los revisó uno por uno, buscando sensores como micrófonos o cámaras que no aparezcan en la vista preliminar del producto y puedan no contar con las medidas de ciberseguridad adecuadas o quedar descubiertos en su política de privacidad. Analizó el tráfico de datos que sale de ellos para comprobar si los envían a terceros sin avisar, o si se cuidaban de separar y proteger los datos sensibles (como aquellos referentes a las constantes vitales o la salud) de aquellos que no lo son. “El hecho de que un dispositivo tenga una cámara, micrófono o rastree tu ubicación no significa que te espíe. Simplemente significa que podría hacerlo y que debes ser consciente de eso”, exponen.