A estas alturas de la vida, es difícil sorprenderse cuando te encuentras una ventana emergente con los términos de uso y de privacidad. Nadie se lee estos mamotretos compuestos por jerga legal escrita por abogados, aunque deberíamos.

Porque en estos largos textos a veces se ocultan condiciones, salvaguardas y trampas que permiten a los desarrolladores hacer prácticamente lo que quieran; pero ya estamos acostumbrados, así que simplemente pulsamos "Aceptar" y seguimos a lo nuestro.

El ingeniero de software Robert Heaton se encontró con un texto semejante mientras instalaba los drivers de su tableta gráfica, y estuvo a punto de hacer lo mismo; pero entonces pausó. ¿Por qué tenía que aceptar políticas de privacidad para un dispositivo que era básicamente un ratón? ¿Qué estaba haciendo este dispositivo para necesitar de esa salvaguarda legal?

Las tabletas Wacom registran lo que haces

Y entonces, Heaton investigó. Se trataba de una tableta fabricada por Wacom, y lo primero que hizo fue leerse los términos. Lo bueno es que era un texto relativamente corto; lo malo, que abría la puerta a todo tipo de acciones que mucha gente podría considerar excesivas.

La parte más llamativa fue la sección 3.1, que da permiso a Wacom para obtener información de nuestro dispositivo, incluyendo datos de uso, y enviarlos por Internet a Google Analytics, el servicio que permite rastrear el comportamiento y acciones de los usuarios.

Eso ya sería sospechoso de por si, pero Heaton se dio cuenta de que Wacom no especificaba exactamente qué información iba a recopilar; los términos suelen dejar ese tipo de detalles fuera para tener más libertad de recopilar la información que quieran en cada momento.

Así que la única manera que tenía de saber qué estaba registrando su tableta era realizar un ataque "hacker", en este caso lo que se conoce como un "Man in the middle"; básicamente consiste en poner un servidor proxy que capture el tráfico que sale del ordenador, lo filtre y lo registre, y lo vuelva a enviar al servidor de Google Analytics.

El artículo de Heaton se explaya más en el aspecto técnico de la investigación, pero lo importante es que descubrió que el driver de la tableta estaba registrando todo lo que hacía.

Para empezar, registraba cuando el driver se iniciaba y se apagaba, y lo enviaba a la cuenta de Google Analytics de Wacom; algo raro, pero hasta cierto punto justificable ya que puede ayudar a la compañía a sacar conclusiones sobre el uso de sus dispositivos.

Lo que no es tan justificable es que el driver registre todas las apps que había iniciado en el ordenador, junto con la hora exacta y un identificador único para el usuario. En otras palabras, gracias a esto Wacom sabe exactamente cuándo has abierto Chrome, por ejemplo; una acción que puede asociar a ti directamente gracias al identificador incluido.

¿Es necesario?

Este es el tipo de cosas que una política de privacidad tan amplia permite; al no indicar exactamente qué "datos de uso" iba a rastrear, Wacom se reservó el derecho de registrarlo prácticamente todo. Incluso alguien que se leyese el texto podría pensar que se refiere sólo a datos de uso de la tableta, pero en realidad no dice eso.

Registrar las apps que usamos puede parecer que no hace daño a nadie; y puede ayudar a Wacom a saber qué apps usan sus usuarios con sus tabletas, y mejorarlas para adaptarse a estos programas.

Pero estos datos también pueden ser usados de manera maliciosa; la inclusión de un identificador único permite rastrear a un usuario concreto, y saber qué es lo que hace con su ordenador, desde los juegos que disfruta o las apps médicas que usa.

Pero incluso aunque los empleados de Wacom no usen esa información de manera maliciosa, el mero hecho de que se registra sin decirlo de manera expresa ya puede ser suficiente para que la compañía tenga que dar explicaciones, algo que aún no ha hecho en el momento de escribir estas palabras.