domingo, junio 01, 2014

Unos pensamientos personales sobre buenos y malos

Cuando me piden participar en el evento X1RedMasSegura, hago lo que sea por estar allí. No me importa que sea en sábado o que haya pasado toda una semana de viaje trabajando por el otro confín del mundo. Busco un hueco y voy. Ese es uno de los pocos sitios en los que se tiene claro quiénes son los buenos y quiénes los malos en la red, y de la forma mejor posible se arma una agenda para intentar enseñar a todo el mundo sobre los malos que acechan en la red.

En otras partes no está tan claro, y no me deja de apenar cuando compañeros de profesión intentan justificar malas acciones contra los usuarios abusando hasta el extremo de los resquicios legales y excusas de dudosa credibilidad. Me apena y mucho, pero así es el mundo donde nos ha tocado lidiar.

Tus datos, tu bien económico

Cuando alguien me habla de los datos personales como si no fuera un bien económico, me hace sentir que piensa que soy un bobo. Como si de verdad él pensara que yo voy a tragarme que un dato personal no es una riqueza que debemos proteger, pues una vez que nos hayan desposeido de ella, nos los han quitado para siempre. Si alguien ya comercia con los datos de una persona, y gana dinero con ellos, ya nunca va a poder ganarlo ella.

Esto es así, porque probablemente una persona no se cambie de nombre en su vida, ni podrá volver a tener otra fecha de nacimiento, ni cambiará su número de identidad en los documentos oficiales, ni cambiará muchas veces de domicilio, ni de correo electrónico si es una persona normal, e incluso ni de número de teléfono. Los datos de una persona son de pocos o ningún cambio a lo largo de una vida, y si ya se tienen capturados, no merece la pena pagar por ellos.

Por ello la legislación es tan cuidadosa a la hora de su tratamiento y debe ser el dueño de los datos el que de forma consciente decida qué hacer con ellos. Se debe informar correctamente al usuario de la captura de todos ellos, de su protección y de su utilización, especialmente cuando esos datos se transfieren a terceros. Cuando una empresa dice que va a entregar los datos personales a "terceros" socios, esa cadena de confianza debe extenderse para el usuario.

No se puede decir que No

Cuando una empresa ofrece una app gratis, a cambio de la captura de los datos, debe quedar claro en los términos del servicio y el usuario debe tener la posibilidad de no aceptarlos. En apps en las que el usuario NO puede estar disconforme después de ser informado, está siendo forzado a aceptar algo que a lo mejor no desea.

Los creadores de crapware, adware o spyware para robar datos, utilizan técnicas como estas en la instalación de las apps. Éste es un cuadro de dialogo que supuestamente debe servir como contrato entre el usuario y una de las apps de la empresa de la que hablé el otro día.

Figura 1: Cuadro de aceptación sí o sí de la Política de privacidad.

Sin embargo, hay quien insiste en decir que eso es completamente legal. Son capaces de decir que el usuario debe poder ser capaz de matar la ejecución de la app en el sistema operativo sin aceptar. Esta segunda captura, es aún más significativa.

Figura 2: Pulse aceptar y no volverá a ver este mensaje

Y me apena. Me apena ver a compañeros de profesión intentando justificar malas acciones por parte de gente que abusa de los que menos saben.

Los envío a terceros sí o sí

Si el usuario no acepta esa política de privacidad, el creador de la app nunca podrá llevarse esos datos a sus servidores ni a ningún tercero que esté pagando al creado de la app por ellos. Esto, es algo que hace la app de Menéate que publiqué en el post del otro día. Algo ilegal, y que implica un robo de datos de sin consentimiento del usuario.

Figura 3: Los datos se envían a terceros incluso sin consentimiento del usuario

Compañeros de profesión insisten en justificar ese robo, bajo neglicencia o error de los creadores de las apps, que no han sabido darse cuenta de que la librería del servidor de publicidad que ellos integran y usan en sus apps para ganar dinero hace eso. Este es el comentario que he tenido que leer de un compañero de profesión, que por supuesto lo hace en anónimo.

Figura 4: Justificación de por qué se llevan los datos (por los que cobran) las apps 

Y me apena. Me apena ver como cargan todas las responsabilidades al usuario al que debemos defender y defienden al que gana dinero robándole los datos.

El bien a cambio del bien o nada a cambio de nada

Otra de las cosas importantes es que en el acuerdo - suponiendo que el usuario fuera consciente de la captura de los datos y accediera a ellos - hay de por medio una transacción: Una app o servicio a cambio de tus datos. Este es el motivo por el que el usuario va a entregar los datos y el valor económico que tiene la comercialización de los mismos al creador de la app. Si la app no funciona o no hace lo que dice, el contrato debe romperse o ser nulo.

Pero no es así, vemos que aún hay apps publicadas, descargables, y firmando acuerdos para llevarse datos, que están en otros markets de Android y que no funcionan, donde usuarios que acepten las condiciones de la política de seguridad, con mensajes tan claros como estos, verán como luego no hay nada.

Figura 5: Las mismas apps que Google Play ha tirado disponibles en 1mobile

Los datos volaron a la empresa y a los terceros, y luego no hay nada a cambio. Esto de robar un bien que tenga algún valor económico a cambio de algo que luego no se entrega, me parece cercano a ser lo que yo entiendo por una estafa.

Pero no, aún hay compañeros de profesión que ven en ello una persecución a las pobres personas que intentan ganarse la vida de esta forma, abriéndose un hueco en el mundo de la publicidad y el marketing.

Un punto y seguido

Al final los que se dedican a esta clase de turbios negocios, campan entre nosotros con malas artes, defendidos incluso por las esquinas de la ley que quieren hackear llevándola al límite, buscando los apoyos de gente que erosione la importancia de sus actos, con campañas de reputación y estirando hasta el máximo.

Yo prefiero tener muy claro en qué lado estoy y a quién tengo que ayudar, e ir a juntarme con los que también lo tienen claro a sitios como X1RedMásSegura y similares para seguir haciendo lo que hacemos. Esta semana espero contaros más cosas.

Saludos Malignos!

15 comentarios:

Anónimo dijo...

Totalmente de acuerdo.

Anónimo dijo...

Esta claro Chema, somos muchos los que te apoyamos en esto.

MARIA dijo...

Pues esperamos la continuación de la historia, que parece muy interesante

Anónimo dijo...

Si tú no dijeras bien alto y claro estas cosas, habría gente que nunca se habría enterado "qué clase de condiciones han aceptado".
Estarían bien "textos legales para Penny" sin dobles negaciones, sin varias condicionales encadenadas, comprensibles y breves.
Gracias por cuidar de todos nosotros!!!

Braulio dijo...

No quería seguir con este tema, pero este post es peligroso para la seguridad de los lectores.

El market alternativo al que Chema esta enlazando, roba aplicaciones de Google Play, las reempaqueta metiendole su propio código, muy malicioso, y las distribuye en su propio market en paginas como las que Chema ha linkado. Ojo al descargar de ahi nada, si lo hacéis, hacedlo con mucho cuidado y sabiendo lo que hacéis.

Y en cuanto a Mobeleader. ¿Son unos estafadores todos los desarrolladores de Android e iOS (hay unos cientos) que usan sus librerías publicitarias y que sin saberlo están enviando datos personales de los usuarios directamente a los servidores de Mobeleader ?

Saludos

Chema Alonso dijo...

@braulio

1) 1Mobile es un market que promociona apps que los desarrolladores dan de alta. Como hicieron ellos libremente. Nada de robadas.

http://www.1mobile.com/developer/

2) No son estafadores los que usan Mobeleader, solo los que usan las funciones y envían los datos a la empresa sin consentimiento del usuario.

De verdad... ¿Qué no entiendes?

Saludos!

Anónimo dijo...

@Braulio. Hay un punto en tu discurso que no tiene justificación ni se sostiene.

El hecho de no conocer la ley no te exime de la obligación de cumplirla y de sus responsabilidades al quebrantarla.

Según tú "les han metido un gol" a estos dos pobres desarrolladores... por utilizar la biblioteca "que es la mala que roba datos". Pues si ellos utilizan una biblioteca así y no saben qué hacen siguen siendo responsables, tanto ellos como quien la use, porque el hecho es que las aplicaciones que la utilicen van a tener el comportamiento ilegal y delictivo de robar datos, por lo tanto son responsables y están comentiendo un delito.

Además, sino saben lo que hace la biblioteca son además unos incompetentes y temerarios por no saber qué es lo que usan y qué consecuencias puede tener. Si no sabían, pues que supieran porque la responsabilidad es de ellos y están comentiendo presuntamente un delito.

En cualquier caso, si lo hicieron sin saber o sabiendo, espero que los empapelen, les caiga una buena sanción y así aprenderán que uno no se puede meter si no se informa y conoce lo que está haciendo y ya sería con agravante el hecho de que sí supieran que estaban comentiendo una actividad delictiva y sino... a lo hecho pecho.

Dicho esto, que creo que el discurso de Braulio es aburrido porque apela sólo a la pobre ignorancia de unos muchachos (que no sabemos si son dos tíos en realdiad o una empresa con un montón de pasta, esto es lo que tiene Internet) lo que no me gusta de Chema, y ya lo he dicho en varios comentarios anteriores, es que a veces, hace pedagogía sólo de casos de presuntos estafadores pero que son unos mindundis.

Al leer las EULAS y Avisos Legales de grandes empresas como Microsoft, Tuentie, Twitter, Facebook piensas como mínimo que son tan abusivas como estos de Bilbao.

Además, aun no he visto ningún comentario de Chema sobre la biblioteca en cuestión, que por lo que parece lleva 10 años funcionando y hace muchas de esas cosas tan malas y quitanto que los dos de Bilbao en cuestión sean unos presuntos estafadores, de la biblioteca ni una palabra.

Como mínimo esperaría acciones legales contra esa empresa también, pues si unos son responsables, los otros también.

Braulio dijo...

@Anonimo:

Le he enviado a Chema, y lo puede publicar si quiere, un pequeño-gran analisis de como funciona la libreria de Mobeleader, es mas, yo mismo me he dado de alta, me la he descargado, la he estudiado e instalado en una app de prueba, he leido la documentacion que ofrecen tanto tecnica como publicitaria, y te aseguro, que en ningun sitio avisan a los desarrolladores de que van a enviar datos personales a sus servidores.
Esta empresa solo habla de publicidad en varios tipos de banners, nunca en captacion de datos.

Tambien he hecho la labor de buscar mas apps de otros publishers que tuviesen esa libreria, y en todas se hace un metodo post a sus servidores enviando info. En las ultimas versiones de la libreria los datos los envia cifrados, en las antiguas que alguna queda los envian igual que los de usatek.

Te aseguro que yo para usar esa libreria solo he tenido que referenciarla, dar un nombre a una variable que es el nombre de la app, e iniciarla y ha empezado a mandar datos.

No se si la culpa es de usatek o no, pero hay varios desarrolladores utilizando esta plataforma publicitaria y no creo que todos ellos sean estafadores como tampoco creo que lo sean en usatek.

Yo si puedo demostrar todo esto. Y Chema tiene las pruebas de lo que estoy diciendo.

Anónimo dijo...

A mí me parece muy coherente que un buen profesional que realiza su trabajo con responsabilidad y dedica mucho esfuerzo todos los días a ello, denuncie a quienes no lo hacen de forna tan profesional. Efectivamente el desconocimiento de las implicaciones que tienen sus actos o sus elecciones, no exime de la responsabilidad.
Además, aún cuando no digan explícitamente lo que hacen con los datos al usar esa librería, alguna razón habrá o ventaja para hacerlo. Si hay trampa, hay que averiguar cuál es.
Un desarrollador no puede llamarse "profesional" y no responsabilizarse de sus errores. Lo más fácil es culpar a otros, lo hacemos con frecuencia. Pero hacer las cosas bien y ser un buen profesiinal implica mucha dedicación y asumir responsabilidades.
Los que no son culpables son los usuarios.

Anónimo dijo...

Hombre Braulio, yo te aseguro que para formatear un disco duro sólo tengo que dar la orden de formatear un disco duro y ya está. Sé del alcance que tiene dar esa orden.

Si el uso de la famosa biblioteca es tan sencillo, bravo por ellos, han hecho una biblioteca muy fácil de usar.

El tema es que si la usas debes ser consciente del alcance de usarla, no me importa que sea fácil, difícil de usar o que sólo tenga "referenciarla, dar un nombre a una variable que es el nombre de la app, e iniciarla".

Por otra parte, ese procedimiento de iniciar la biblioteca no es nada extraordinario cuando usas funciones de terceros.

Usas el interfaz que te ponen a disposición y lo ejecutas, tal como la biblioteca.

Lo digo porque parece que con eso eximes a los usuario de la biblioteca de toda responsabilidad... y la tienen.

Anónimo dijo...

Braulio, por ponerte un ejemplo sobre la responsabilidad o no del uso de la biblioteca.

Como dices que eres conocedor del tema de seguridad informática, etc, conocerás el caso de los muleros. El famoso timo del nigeriano, que Chema tiene una entrada con todo lujo de detalles en este mismo blog.

Para el que no lo conozca un resumen burdo: se trata de mafias que se hacen pasar por personas que necesitan sacar el dinero de un país. Entre medias lo pasan por España por ejemplo y necesitan que alguien lo recoja en su cuenta corriente. Un incauto con avidez de dinero lo recoge, se queda una parte por hacer ese favor y envía el resto a otra cuenta, con que básicamente el dinero queda blanqueado.

Sí es una estafa, pero el incauto ha cometido un delito y lo juzgan, multan y empapelan. Es el timo de la estampita de toda la vida, pero tiene su responsabilidad. Si a estos dos de Bilbao les pasó lo mismo, mala suerte, pero deberín haber estado más atentos, y desde luego, viendo cómo se manejan no parece el caso, pero eso ya lo debería decir un juez.

Si fuera yo juez, al caldero con ellos.

Anónimo dijo...

"...trabajando en el otro confín del mundo.." .. pero ¿se puede ser más fantasma?..
Claaaro!! al ser uno de los mejores hackers del mundo... ja,ja,ja...

Chema Alonso dijo...

@anónimo, no seas ridículo hombre. Venía de trabajar en Colombia. Mi agenda es pública. No hagas más el tonto.

Saludos!

pruebas dijo...

En primer lugar gracias Chema, yo estuve el viernes en X1RedMasSegura, y mira por donde se oyó cuando le preguntaban ¿qué tal? y contestaba que venía del aeropuerto desde Colombia.
Y en segundo lugar, no se porqué no se entiende que a los usuarios hay que ayudarles, no engañarles. Y que un buen profesional en esto de la informática lo que debe hacer es facilitar la vida al usuario. Qué muchos usuarios leyendo este blog y otros del mismo talante se enteran de eso que intentan "los malos" para aprovecharse de los "ingénuos" usuarios.
Que las leyes están para algo, y la responsabilidad también, que el desconocimiento no exime de ella.
Y que a unos nos gusta estar con los buenos y a otros con los malos.
Por cierto, que buena idea eso de usar "pestillos". Gracias de nuevo.

obat tradisional kanker prostat dijo...

hello,, i'm just visit,, have a nice day :D

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares