Artículos

Apps, privacidad y sensacionalismo

A principios de verano (invierno en el hemisferio sur) se habló hasta la saciedad de FaceApp, la app rusa que permitía visualizar cualquier cara como supuestamente estaría a diferentes edades, y que generaba dudas sobre el tratamiento de los datos que recopilaba, básicamente, fotografías no necesariamente del usuario, sino de cualquiera que este quisiese subir a la app. Ahora, el nuevo escándalo llega por Zao, otra app, en esta ocasión china, que ofrece, utilizando la tecnología de los deepfakes, superponer tu cara de manera razonablemente creíble en lugar de la del actor o actriz en una serie de escenas de películas y series conocidas, con una colección de escenas que incluyen a Leonardo DiCaprio, Marilyn Monroe, Sheldon Cooper en The Big Bang Theory, o determinados momentos de Juego de Tronos, entre otras. La app está creada por Momo, Inc., una aplicación que permite hablar con personas próximas, que suele utilizarse para dating, y que cotiza en NASDAQ.

El mecanismo de este tipo de apps es siempre parecido: una funcionalidad generalmente muy atractiva, que lleva a una viralización y a alcanzar los primeros puestos en las tiendas de aplicaciones. A partir de ahí, el planteamiento es qué hacen esas apps con la información que subimos a ellas, lo que suele requerir, como mínimo, estudiar los términos de servicio – que por supuesto, nadie se había leído antes de descargar y utilizar la app – y a partir de ahí, confiar en lo que dicen, algo que, cuando hablamos de la legislación de países como Rusia o China, no necesariamente inspira a muchos usuarios occidentales una gran confianza.

En el caso de FaceApp, las posibilidades de un mal uso resultaban relativamente escasas: la app, en realidad, no capturaba demasiada información, y ni siquiera tenía garantizado que la foto que un usuario procesaba fuese efectivamente suya. ¿Podría obtener una colección de fotografías de caras con las que entrenar algoritmos de reconocimiento facial? Sí, posiblemente, pero de ahi a pensar en posibles robos de identidad o usos siniestros similares, las posibilidades, en realidad, eran bastante limitadas, por la falta de datos de contexto fiables con los que acompañar esas imágenes que la app conseguía captar.

Cuando hablamos de Zao, lo que encontramos es una oportunidad para poder explicar algunos conceptos interesantes sobre seguridad y privacidad: en primer lugar, se trata de una app china, un país que, desde el punto de vista occidental, cuenta con una reputación terrible a la hora de hablar de cuestiones como el reconocimiento facial y la privacidad, y de una app que ha sido restringida por WeChat citando riesgos de seguridad, aunque eso no significa que esos riesgos efectivamente existan. En general, esto demuestra que muchas plataformas empiezan a preocuparse más por detectar presuntas cláusulas abusivas en las apps que distribuyen, no tanto que realmente sea un riesgo como tal.

En segundo lugar, que el elemento que genera la inquietud es fundamentalmente una cláusula en los términos de servicio que la app tenía inicialmente en las que el usuario cedía expresamente los derechos del contenido que generase de manera «gratuita, irrevocable, permanente, transferible y re-licenciable». Este tipo de cláusulas son habituales en toda aplicación que haga algo, prácticamente lo que sea, con el contenido que un usuario sube: todas las redes sociales, por ejemplo, poseen esa cláusula u otras similares en sus términos de servicio, simplemente porque si no la tuvieran, no podrían permitirnos publicar ese contenido, porque podríamos inmediatamente exigir a la compañía derechos sobre esa publicación. No, ni Facebook o Instagram van a comercializar nuestras fotos por el hecho de que hayamos firmado esos términos de servicio, ni mucho menos podríamos impedirlo, como algunos parecen creer, por compartir en nuestro perfil un ridículo texto supuestamente legal afirmando que te opones a ello.

Tras algunas noticias, y sobre todo, tras un aluvión de críticas negativas en las tiendas de aplicaciones, Zao ha actualizado sus términos de servicio: ahora especifica expresamente que no utilizará las fotografías ni los vídeos de sus usuarios para fines que no sean mejorar la aplicación o para usos previa y expresamente acordados por los usuarios, y añade que si los usuarios eliminan el contenido que cargaron, la aplicación también lo borrará de sus servidores.

En la práctica, este tipo de cláusulas supone un problema muy relativo: ¿podría una compañía, por ejemplo, utilizar contenido de un usuario en su publicidad, o venderlo a un tercero? Posiblemente, pero por lo general, ante una denuncia por ese tipo de usos, la mala prensa que generaría sería un desincentivo suficientemente importante como para tratar de evitarlo. ¿Quiere decir eso que debemos ignorar ese tipo de cláusulas? En absoluto: las posibilidades de un mal uso comienzan con lo que dicen ese tipo de cláusulas que nadie se lee, y terminan mucho más allá, con cuestiones como lo que podría ocurrir si la compañía no tiene unas prácticas de seguridad demasiado buenas y la información es, por ejemplo, robada. Recientemente, en un caso para nada comparable, las deficientes prácticas de seguridad de una compañía, BioStar 2, dedicada a gestionar controles de acceso a almacenes y edificios de oficinas, permitieron que un grupo de investigadores accediesen a nada menos que a una base de datos con veintisiete millones de fichas que incluían información biométrica y pudiesen incluso alterar esa información, lo que daba la posibilidad, por ejemplo, de incluir unas nuevas huellas o una fotografía en la ficha de una persona y poder acceder como si fueses ella a un edificio.

Este tipo de problemas resultan mucho más habituales en el caso de una compañía en la que hemos rellenado una ficha completa que permita acceder a un gran número de datos, que en el de una app puramente lúdica en la que simplemente subimos un vídeo o una imagen, que en muchos casos ni siquiera tiene que ir acompañada de ningún dato identificativo adicional. Desprovista de más datos, una fotografía puede ser utilizada, como comentaba anteriormente, para entrenar un algoritmo, pero realmente, para poco más – de nuevo, a menos que hayamos dado permiso a la app, mediante esos términos de servicio que nadie se lee, para que acceda a otros datos nuestros, por ejemplo, a través de otras apps.

¿Están apps como Zao o FaceApp intentando robar nuestra identidad? No, seguramente no, por mucho que algunas noticias se echen las manos a la cabeza con la idea de subir una foto a una app. Subir un pequeño fragmento de vídeo o una fotografía a una app, sin más información de contexto, sin nuestro nombre y sin ningún tipo de comprobación fehaciente de nada es bastante difícil que llegue a representar un riesgo de seguridad. Si nos hemos logado en la app con un perfil más completo, por ejemplo, como el de Facebook o el de Google, puede ser algo más comprometido, y ni siquiera asegura que se esté intentando hacer ningún tipo de mal uso. No puede descartarse, de acuerdo, pero no es como para escribir artículos alertando a todo el mundo sobre un mal uso, porque solo se consigue, en muchos casos, desinformar y crear paranoias. Por lo general, estaremos hablando simplemente de desarrolladores que han tenido una idea divertida, que han logrado hacerla viral, y que han vivido un momento de éxito, algo que puede conllevar importantes beneficios. A partir de ahí, ¿conviene, cómo mínimo, revisar quiénes son, en qué país están, o echar un vistazo a los términos de servicio o a los permisos que solicitan al ser instaladas? Pues sí, y no solo en esas apps: en cualquiera que instalemos.

En este tipo de temas, lo que debemos hacer es intentar educar a los usuarios, y salir gritando «que viene el lobo» cada vez que surge una app viral es algo que seguramente, no contribuye demasiado a ello. El caso de Zao nos ofrece simplemente la posibilidad de entender un poco mejor los términos de servicio de apps con contenido social, en las que la información que aportamos es posteriormente publicada por nosotros mismos, y sobre todo, nos permite comprobar que el tema de los deepfakes ha avanzado hasta tal nivel, que muchos deberían empezar a darse cuenta de aquello de «creer a sus propios ojos» se ha convertido ya en algo muy relativo.

Via