La identidad digital (ID), la privacidad y la confianza en internet es una cuestión complicada y ambibalente. Cuando la red empezó a popularizarse, una de las mayores preocupaciones que afloraron era la capacidad de anonimato que proporciona: que un depredador sexual pudiera hacerse pasar por una quinceañera para buscar presas, que una timadora pudiera hacerse pasar por una ancianita despistada en el nuevo mundo y ante las mismísimas narices de la ley podían moverse cómodamente la delincuencia, el terrorismo, todo tipo de conspiraciones…

Sin embargo, ahora que la digitalización forma una parte cada vez más relevante de nuestras vidas, hemos descubierto que el verdadero gran problema en el espacio digital es acreditar la identidad. Poder demostrar de manera fiable que una persona o una entidad son quienes dicen ser y tienen capacidad y autoridad para hacer lo que dicen que pretenden hacer. Y abordar cuestiones más complejas, como la posibilidad del voto digital, para la que resulta imprescindible la identificación indubitada del votante, al tiempo que se preserva el anonimato de su voto secreto. Aunque para Esteban Moro, “no existe esa dicotomía. El anonimato es un derecho y la identidad digital, una herramienta para cuando nos conviene ser identificados”.

Esteban Moro es investigador en el grupo interdisciplinar de Sistemas Complejos de la Universidad Carlos III de Madrid (UC3M) e investigador visitante en el MIT, donde participa en el proyecto ‘Atlas de la Desigualdad’ (atlas of inequality). Su opinión sobre anonimato o ID fue expresada en la jornada ‘Identidad Digital, Privacidad y Confianza’ de UC3M, donde participó en una mesa redonda con los también investigadores de la Universidad, María José Santos Morón, experta en Derecho y, en particular, en contratos, y Teresa Sandoval, investigadora principal del grupo Journalism and Social Analysis.

En cuanto a la duda entre ID y anonimato, Santos aclara que “depende con qué fin. Para adquirir bienes y servicios, o abrir una cuenta online hay que identificarse, porque de otro modo podría incurrirse en actividad fraudulenta. Para una búsqueda online, casi mejor el anonimato…”. Pero, ojo, también advierte de que “quien abre una cuenta en internet está celebrando un contrato con el proveedor del servicio, con independencia de que haya un precio el sentido monetario o no. Cuando los servicios se ofertan como gratuitos, por lo general el usuario está pagando al proveedor del servicio con sus datos personales. El problema es que la mayoría de los usuarios no son conscientes de que están autorizando el tratamiento de sus datos y poniendo en juego su intimidad, al aceptar la ‘política de privacidad’, que no se lee o suele estar redactada de manera bastante confusa por lo que no se llega a saber qué datos personales va a usar la empresa ni con qué finalidad. Y esto ocurre no sólo con servicios que se ofertan como aparentemente gratuitos y también con otros de pago”. No obstante, también aclara que el usuario está protegido por las leyes de protección de consumidores, aunque sean servicios gratuitos, y por la Agencia de Protección de Datos. Incluso cabe reclamar indemnizaciones si se puede acreditar un daño por, por ejemplo, una filtración.  

“Un factor importante es diferenciar el dato a nivel privado frente al dato agregado, que tiene valor social y es el que nosotros estamos utilizando”, aclara Moro, refiriéndose al Atlas de Desigualdad, en el que, a través de la identificación de los móviles se detecta el movimiento de personas con más recursos o menos en los diferentes barrios.

 “Voy a poner un ejemplo, que es el censo”, prosigue, “construido a partir de datos privados de dónde vive la gente, nivel de renta, si están casados, en paro… El dato que publica el censo es un agregado que permite conocer cuánta gente que vive en una zona está desempleada. Tiene un valor social importantísimo. Está sucediendo con la pandemia, para saber cuánta gente entra en un hospital por el covid-19. Es importante separar lo que es el dato privado, el dato individual, de las agregaciones, que permiten extraer información social sobre sobre los procesos que están sufriendo nuestras vidas. Es lo que nosotros hacemos sobre la desigualdad, utilizando ningún dato privado. Reportar datos agregados a nivel de zonas sobre la distribución de renta de las personas que visitan un sitio. Uno de los problemas principales en las bases de datos de datos privados es que son tan grandes y están agregadas, que si empiezas a preguntarle esas cosas privadas al final puedes incluso llegar a identificar a una persona. Es lo que pasa con los datos que nos vamos dejando las redes sociales”. Son datos, añade, que además pueden usarse para muchos otros fines, como organización del transporte y otras utilidades.

Una solución tecnológica “para poder trabajar con estos datos sin incurrir en ningún problema es la computación distribuida. Los datos no están en un repositorio central. En ningún momento los agentes que los ven pueden reconstruir la totalidad de la base de datos, de manera que no se pueda desanonimizar a nadie. Lo prohíbe por diseño, no como una opción”.

Otra cuestión importante es la creación de tendencias de opinión, a partir de fuentes difusas, mal identificadas, con desinformación y fake news.  Sandoval subraya que “la efectividad de todas estas granjas de creación de contenido falso es bastante notable, porque son tantos los datos que se recopilan de los usuarios, que al final cada uno puede acabar recibiendo justo esta noticia falsa que le va a decantar por un candidato en unas elecciones, o para comprar un producto. Quiero llamar la atención sobre lo económico que resulta producir noticias falsas. Sale más caro a escribir noticias verdaderas y hay muchos intereses para manipular a las audiencias, no solamente los partidos políticos. También Think tanks, ONGs y empresas que pueden querer que se genere mucho ruido en el escenario de las redes sociales. Eso enturbia la voz auténtica de la ciudadanía”.  

Además percibe que “esta psicografía que se está haciendo de las personas, a través de las redes sociales, va a empezar a utilizarse cada vez en más sectores, incluido el periodismo, los medios. Para las empresas periodísticas, que llevan décadas decayendo en su modelo de negocio, se está viendo que el verdadero nicho es esa publicidad personalizada, lo está empezando a hacer el New York Times, sabiendo qué noticias le hacen sentir bien a cada lector con sistemas de predicción de inteligencia artificial, y también el producto más adecuado para mostrarle en este momento. Entramos también en un mundo en el cual vamos a poder influir desde los medios, que siempre han tenido detrás a grandes sectores y empresas. Seguramente veremos un auge de los medios en la próxima década, por ese interés que van a tener el resto de empresas y sectores con poder para llevar a la gente hacia un lado o hacia otro”.  O dicho más rotundamente, “estamos viviendo el inicio de una manipulación de las personas a través de los datos que se obtienen de las redes sociales, un nuevo mercado en auge para poder manipular a las masas a través del conocimiento absoluto del lector de cada noticia”.

Las tecnologías

En una segunda mesa redonda de la jornada, con participación de empresas, se trató la cuestión de las tecnologías aplicadas a cuestiones de ID y ciberseguridad.  Miguel Mendoza, que trabaja en técnicas de identificación biométrica en Thales, está, por supuesto, firmemente convencido de este tipo de herramienta “para verificar e identificar a una persona digitalmente”. Contando con que “si es un medio privado, tiene que ser mediante consentimiento que haya dado esta persona. Y si es un organismo administrativo como puede ser el ministerio de Hacienda de Interior, utilizando bases de datos donde están perfectamente registrados y comprobados”.

Avisa, no obstante, de que “no existe el método biométrico perfecto. La biometría es una herramienta muy aceptable porque es poco intrusiva: en nuestra vida estamos acostumbrado a pasar delante de cámaras. Nosotros como proveedores de algoritmos para identificación biométrica, si lo creemos útil y la pandemia ha ayudado a que algo que estaba iniciándose haya recibido una aceleración muy importante y está entrando en nuestras vidas a un nivel espectacular. En los próximos años vamos a ver cómo accedemos a un avión sin mostrar nuestros documentos. Solamente con nuestros datos biométricos, que estarán almacenados en una base de datos y que nos permitirán hacer una serie de operaciones que ahora vemos realmente inviables”.

Para Mendoza, lo esencial en el uso de sistemas biométricos de identificación es “que las bases de datos que se van a utilizar tienen que estar completamente securizadas, de forma que no se permita el acceso a hackers que siempre va a haber. En Thales llevamos una de las bases de datos más importantes de España y la tenemos totalmente compartimentada de tal forma que los datos personales están en una base de datos, los datos de búsqueda están en otra, están separadas y siempre trabajamos con datos alfanuméricos”.

En cuanto al sistema con más futuro, considera que es “el reconocimiento facial. Hemos asistido a una serie de controversias en cuanto a su mala utilización o no, pero la buena utilización del reconocimiento facial va a ser el factor biométrico del futuro porque es poco intrusivo. En el reconocimiento mediante huella tenemos que poner el dedo en un dispositivo, si utilizamos la y el iris, el problema es si nuestro ojo resultara dañado… mientras que todos, en el día a día pasamos por delante de miles de cámaras que captan nuestras imágenes sin nosotros saberlo. En el caso de ciertas instalaciones de seguridad, como el ministro de Defensa o Interior sí que deberíamos recurrir a dos factores biométricos para cerciorarnos y asegurar más la identificación de la persona”.

Fran Ramírez, investigador de seguridad en Telefónica, en un departamento llamado de ‘ideas locas’, y que rechaza el uso de la palabra “hacker” como sinónimo de atacante (“¡Ojalá un hacker entrara en mi sistema!”, exclama), pone el foco de la ciberseguridad en “la concienciación del usuario”. Explica que “en ocasiones dependemos al 100% de ese usuario que hace click en un enlace que no debe, en el contexto de un correo falso haciendo referencia a una entidad bancaria. Hay que hacer hincapié en la educación técnica del usuario. Y en el tema del voto digital o virtual, también es un indicador de que no estamos preparados aún al 100% como para tener una identidad digital totalmente segura y totalmente fiable”.  

Otra cuestión es el propio entorno de internet, donde al acudir a muchas páginas web puede saltar el mensaje de que no es segura, que su certificado no es válido, y “esto es algo que a veces no nos tomamos en serio y es de vital importancia. El usuario no entiende las consecuencias de acceder a un sitio web que no tiene un certificado. Por ejemplo, que esa página web no sea a la que quiera acceder, sino que la ha suplantado. El primer indicador es el navegador que te va a decir que es certificados no es no es válido. Personalmente, pienso que deberías de abandonar y contactar con el administrador. La clave está más en educar a las empresas y a los organismos, para que apliquen correctamente el certificado. Es algo vital. Para una empresa podría implicar incluso pérdida de clientes”.  Desde el lado del usuario, remacha que “tenemos que fijarnos siempre en el dominio del navegador. Digamos que, por ejemplo, el dominio ha variado en alguna letra, una palabra, entonces no es exactamente donde quieres ir, aunque a veces hay subdominios que pueden confundir un poco”.

En los asuntos de ciberseguridad y sobre los riesgos de suplantaciones de identidad, subraya Ramírez, “siempre la realidad supera a la ficción”. Destaca el caso del robo de identidades que se produjo en Twitter, cuando alguien logró meterse en las cuentas de Obama, “el número uno del mundo, con 123 millones de seguidores”, Elon Musk y Apple, con el riesgo de que sus seguidores pudieran ser encaminados maliciosamente hacia determinados sitios o documentos. “Parece que fue alguien de dentro”, aclara, para añadir otro caso, “en Valencia, con el robo de cuatro millones de euros, simplemente -entre comillas el simplemente- utilizando phising, un correo”.

“En los robos de identidad siempre hay dos partes, tú como persona que recibe el servicio, y el proveedor, la empresa, que tiene que evitar que te robe la contraseña. No es cuestión de si van a atacarte, sino de cuándo va a ocurrir. Tenemos que enfocar la identidad digital igual que tenemos en cuenta la identidad fisica”. Para quedarse más tranquilo, recomienda una herramienta, haveibeenpwned.com (¿Ha sido comprometido mi correo, o contraseña?), “donde introduces el correo electrónico y hace un completo seguimiento de todos los servicios que han sido atacados y comprometidos en los que ha aparecido tu correo. Funciona estupendamente”.

La tercera participante en la mesa, que por desgracia padeció severas dificultades técnicas para hacer llegar sus palabras, es María Rojo, CEO de Enthec, una empresa del parque tecnológico de UC3M, cuya actividad se enfoca particularmente en la identidad digital en el entorno laboral. La cual, explica, “es muy importante ya que en muchos casos las personas usan sus recursos corporativos, como el email u ordenador de trabajo, para fines personales. Usan la cuenta corporativa para registrarse en webs de terceros, de índole personal como redes sociales o páginas de compras y así están vinculando su identidad personal con la de su empresa. El problema reside en que un atacante puede robar esos datos de terceros (leaks) y tratar de acceder a la empresa. Entonces la afectada es la compañía y no tanto la persona de forma directa”.

Una cuestión que se pone en primerísimo plano a raíz de la pandemia y el traslado masivo de empleados, de la oficina al teletrabajo. “Sí, el covid ha cambiado por completo la forma de trabajar de muchas empresas y empleados. En la intimidad del hogar, muchas personas acentúan esos comportamientos y hacen uso de ese material para fines personales. Se han llegado a detectar casos de uso de una cuenta corporativa para cosas como redes sociales, páginas de contactos personales e incluso de contenido sexual. La sensibilización y formación a las personas sobre ciberseguridad puede ayudar a proteger a las empresas ante un mal uso de su identidad personal digital”, explica.

“Se han dado casos de extorsión”, añade. “Al acceder con los datos de empresa a webs de contenido discutible les han encontrado a través de redes profesionales, como LinkedIn, y les extorsionan para sacar datos de negocio de la empresa e incluso datos de contenido intelectual como pueden ser planos de prototipos”. También hay “otro tipo de ataques, vinculados a la repetición de la misma contraseña para todo, mezclado con una mala política dentro de la empresa. En estos casos los atacantes han accedido a correos corporativos, pudiendo descargar toda la información de esos emails, en los que se pueden encontrar datos muy sensibles referidos empleados, monetarios, clientes… Esto, por cierto, supone un incumplimiento de la GDPR”, concluye.