¿Protección de datos o antivirus?
¿Acaso algún usuario privado se lee las interminables declaraciones sobre protección de datos al comprar o instalar software? Especialmente si se trata de software de seguridad, ya que este promete no solo proteger frente a ataques de Internet, sino también la esfera privada. Los expertos en seguridad de AV-TEST se han abierto paso entre la maleza de las declaraciones de protección de datos y el análisis genera dudas acerca de si está justificado el voto de confianza del usuario.
Una protección exhaustiva exige un acceso amplio
Los fabricantes de paquetes de seguridad atraen a los usuarios finales con reclamos tipo "Proteja sus datos y su esfera privada" o "Proteja su identidad". Las suites de seguridad en Internet han pasado de ser meros antivirus con cortafuegos a ser completas soluciones de seguridad dada las actuales amenazas en línea existentes. Hace tiempo que ya no se trata solo de defender el ordenador y los datos frente a ataques de malware y de hackers. Diversos agresores centran su atención en cuentas online y en perfiles de medios sociales administrados a través de ordenadores, tabletas y móviles, que tienen que ser protegidos, por ejemplo, contra intentos de phishing. Además, las empresas publicitarias persiguen a usuarios de Internet de forma cada vez más agresiva mediante software de seguimiento, que espía en secreto el comportamiento de navegación y uso, así como la configuración del dispositivo y otros datos sensibles (Potentially unwanted application, PUA).
Por ello, un buen programa de seguridad hoy en día no solo tiene que defender de ataques, sino también evitar una salida indeseada de datos valiosos. Para poder desempeñar todas estas funciones, un software de seguridad requiere un amplio acceso al sistema a proteger y, por tanto, a los datos privados del usuario. En vista de la amenaza real existente, a este no le queda más remedio que confiar en la promesa de protección del proveedor y permitirle conocer ampliamente el sistema y los datos que contiene. No obstante, esto solo debe ocurrir asumiendo que todos los derechos de acceso se utilizarán únicamente con el fin de detectar y expeler posibles amenazas.
A más del 50 por ciento no le interesan las condiciones de contratación
Como ocurre con el resto de software, antes de instalar un programa de seguridad hay que aceptar las Condiciones Generales de Contratación (CGC) y la declaración de protección de datos. Solo entonces se puede instalar y usar el software. A partir de entonces entra en vigor la promesa de protección del fabricante seleccionado. Según un estudio encargado por la Verbraucherzentrale Bundesverband (vzbz), la Federación alemana de Asociaciones de Consumidores, y publicado en 2014, un 53 por ciento de los encuestados aceptan las CGC antes de instalar un programa sin tan siquiera haberlas leído. Tratándose de un software que, entre otras cosas, promete proteger datos personales, la tasa de clics sin leer debe de ser aún mayor. Al fin y al cabo, los usuarios esperan de los fabricantes que cumplan su promesa publicitaria de proteger sus datos privados.
Examen de 26 programas de seguridad
Mediante un exhaustivo análisis, el Instituto AV-TEST ha examinado la declaración de protección de datos en inglés de 26 programas antivirus para ofrecer una completa visión del mercado. En realidad se examinaron 24 declaraciones de protección de datos, puesto que dos de los paquetes de seguridad no contenían ninguna declaración de este tipo, ni en la página web del fabricante ni durante la instalación del programa.
El examen se centró en la cuestión de qué derechos adquieren los proveedores de software de seguridad de sus clientes mediante la declaración de protección de datos. En este sentido se comprobó especialmente
• qué datos puede recopilar legalmente el fabricante,
• qué derechos se reservan para el uso de los datos,
• qué derechos conceden a sus usuarios, como el evitar, restringir o al menos ser informados sobre la recopilación de datos.
Al peinar las declaraciones legales de múltiples páginas, los expertos en privacidad distinguieron entre los tipos de datos que se registraban. Así, los proveedores exigen acceso a datos sobre el propio usuario, su comportamiento en el dispositivo a proteger, así como el dispositivo en sí. Esta perspectiva hace referencia explícita a los derechos que se conceden los fabricantes a guardar y usar datos. Si estos datos realmente se recopilan o no, no fue objeto de este análisis. Estas y otras preguntas se aclararán en las subsiguientes conversaciones con los fabricantes.
Se recopila más de lo necesario
En casi todas las declaraciones de protección de datos, los fabricantes se conceden un montón de derechos de acceso a datos que no son necesarios para el uso de un software de seguridad. En su lugar, los fabricantes afirman que estos sirven para optimizar el producto, promocionar otros productos del fabricante o bien de compañías asociadas, puesto que la transferencia de los datos a terceros es un derecho que todos los proveedores examinados se conceden a través de la declaración de protección de datos.
Acerca del usuario en sí se suelen recopilar los datos de contacto como el nombre, la dirección de correo electrónico y los datos de compra o de pago. Igualmente interesantes para los fabricantes son otros datos de contacto, entre ellos, el número de teléfono. Estos datos son sin duda de interés para acercar otros productos al usuario, pero apenas son necesarios para el uso de los programas. Esto lo demuestra, entre otras cosas, el hecho de que no todos los fabricantes recopilan estos datos.
Se registran las preferencias sexuales y las huellas dactilares
No obstante, muchos proveedores van demasiado lejos. Según los análisis de AV-TEST, algunos de los fabricantes incluso se conceden acceso a datos biométricos almacenados en el ordenador correspondiente. Para qué necesita un programa antivirus huellas dactilares digitales no quedó claro al revisar los programas. El cómo puede ayudar en la caza de programas maliciosos el conocer el sexo, la profesión, así como la raza y orientación sexual del usuario, es algo difícil de explicar hasta para los más avispados expertos de marketing, que quieren acceder a dicha información.
Usuarios bajo observación
También en lo que respecta al registro del comportamiento del usuario se procura extraer el máximo. 15 de 24 fabricantes exigen acceso al historial del navegador de sus usuarios. Seis quieren tener acceso a sus solicitudes de búsqueda. Y cinco proveedores se reservan el derecho a explorar el correo electrónico. El acceso completo a la agenda personal es una opción que consideran por lo menos dos. Además, los fabricantes de antivirus se interesan por los datos de los medios sociales de sus clientes, entre ellos, los datos de las cuentas y publicaciones. Un fabricante incluso se concede el derecho a hacer publicaciones en nombre del usuario. Algunos también quieren inmiscuirse en el chateo e incluso acceder al historial de chats.
Control absoluto del dispositivo
La parte más sencilla, sin duda, es justificar el furor recopilatorio de los fabricantes en el caso de información sobre el dispositivo a proteger y las aplicaciones que contiene; al fin y al cabo se trata precisamente de evitar que programas maliciosos jueguen sus pasadas camuflados como aplicaciones normales. La recopilación de datos básicos como la dirección IP, el identificador del dispositivo, el sistema operativo y el software instalado parece, por tanto, tener sentido, si bien ni mucho menos todos los fabricantes exigen acceso a estos datos sobre el dispositivo en sus declaraciones de protección de datos. El registro de las coordinadas GPS (5 de 24 fabricantes) y la ubicación de WiFi (4 de 24 fabricantes) también se puede explicar para las funciones de localización de dispositivos perdidos o robados. No obstante, los usuarios deben tener claro que esta protección del dispositivo la pagan con la trazabilidad del patrón de desplazamientos.
En diez de 24 declaraciones de protección de datos, los fabricantes se reservan el derecho a elaborar "estadísticas de uso". Si bien no definen claramente qué datos se registrarán y si se trata de la utilización del programa de seguridad en sí, del uso del dispositivo o de la recopilación de otros datos totalmente distintos. En este, como en muchos otros puntos, las afirmaciones de las declaraciones de protección de datos de todos los fabricantes son extremadamente vagas.
La protección de datos requiere comprensibilidad y transparencia
No es de extrañar que nadie lea las CGC y las declaraciones de protección de datos. Por un lado, los usuarios se ven abrumados por la mera cantidad de páginas. En el marco de este examen, la media era de 12 páginas por declaración de protección de datos. Además, los fabricantes dan la impresión de no querer ser entendidos.
Un control de lectura de los textos, realizado adicionalmente con los correspondientes programas de análisis, demostró que muchas declaraciones de protección de datos son demasiado complejas. En otras palabras, las declaraciones apenas eran comprensibles para usuarios normales. Las largas frases y los numerosos términos especializados dificultan adicionalmente la lectura de los ya de por sí largos textos.
Además, la mayoría de los fabricantes deja sin responder importantes preguntas acerca del tipo y duración del almacenamiento de los datos. ¿Dónde y hasta cuándo se guardan los datos? ¿Se cifran y, en tal caso, cómo? ¿Qué datos se transfieren a terceros y quiénes son los socios del fabricante? Muchos de los fabricantes de productos de seguridad no daban una respuesta satisfactoria a todas estas preguntas en sus declaraciones de protección de datos.
Menos es más
De forma general, la recomendación a los fabricantes solo puede ser que acorten y hagan más comprensibles las declaraciones de protección de datos. Hace tiempo que así lo demanda la asociación estadounidense International Association of Privacy Professionals, abreviada IAPP. Y esto mismo planteó en Alemania el año pasado el Ministerio Federal de Justicia y Protección al consumidor en el marco de la Cumbre Nacional de TI. Desde su presentación en noviembre, el Ministerio ofrece en su página web una plantilla como muestra de una declaración de protección de datos compacta y fácil de comprender.
Además, los fabricantes de programas de seguridad que prometen a sus usuarios la protección de la esfera privada podrían autopromocionarse siendo ellos mismos comedidos con los datos que solicitan y almacenan. Por un lado, la máxima de evitar datos es, en todo caso, un principio básico del derecho a la protección de datos. Por otro lado, los fabricantes podrían incluso publicitarse afirmando que recopilan el menor número de datos personales posible.
Menos datos, más protección
Anett Hoppe
Experta en IT Security de AV-TEST
Los proveedores de programas de seguridad disfrutan de la confianza de sus clientes y tienen un extenso acceso a sus sistemas y datos. Este margen de confianza debería ser compensado por los proveedores mediante declaraciones de protección de datos claras, opina Anett Hoppe, experta en IT Security de AV-TEST:
Muchos usuarios parten de la base de que un software antivirus no solo defiende la seguridad del usuario, sino también su esfera privada. ¿Es cierto?
Hasta ahora no se ha realizado ningún estudio al respecto. Y, efectivamente, en AV-TEST recibimos regularmente consultas de usuarios inseguros acerca de e-mails sospechosos o funciones de programas dudosas. Por el contrario, las consultas sobre el manejo de los datos del usuario por parte del proveedor del software de seguridad provienen en su mayoría de empresas e instituciones públicas. Pero también hay cada vez más usuarios privados críticos que preguntan qué quiere hacer quién con sus datos. De toda manera, los fabricantes de programas de seguridad para usuarios finales siguen disfrutando de un inmenso margen de confianza por parte de sus clientes, algunos de forma injusta, como revela nuestro análisis.
¿Qué datos se recopilan y qué ocurre con ellos?
Algunos de los datos recopilados son necesarios para que el programa de seguridad preste sus servicios. No obstante, hasta los más ingeniosos fabricantes deberían tener dificultades en explicar la relevancia del sexo y la fecha de nacimiento para el funcionamiento del software antivirus. Se trata de diferenciar a qué datos quiere acceder un fabricante según la declaración de protección de datos y cuáles recopila realmente. Nuestro examen muestra los derechos que los fabricantes se reservan frente a los clientes.
¿A qué tipo de formulaciones deberíamos prestar atención en las declaraciones de protección de datos y qué criterios sirven de orientación?
En primer lugar, recomendamos guiarse por las cuestiones sobre protección de datos cuando se registra y configura un producto. Esto empieza por los datos sobre la propia persona introducidos durante la instalación; con frecuencia se rellenan de forma automática todos los campos del formulario de registro, aunque no sean obligatorios. Además, los usuarios deberían al menos echar un vistazo a la declaración de protección de datos. Solo conociéndola se puede decidir si realmente se debe subir la agenda o las fotos privadas al servidor de un fabricante.