"Si ese acceso indebido ha comprometido la confidencialidad de los datos, al tener acceso a ellos el atacante, como podría ser el caso de los altavoces de Google, y el acceso se ha materializado efectivamente, se debería comunicar la brecha de seguridad tanto a los usuarios como a la autoridad de control competente", señala el abogado Gerard Espuga. Foto de Y2kcrazyjoker4 - Trabajo propio, CC BY-SA 4.0

Una brecha de seguridad vuelve a poner el foco en las políticas de privacidad opacas de Google

"Resultan de todo menos “concisas, transparentes", según el abogado Gerard Espuga

Virgilio González

06/1/2023 06:48

Actualizado: 07/1/2023 08:37

A finales del pasado diciembre, el investigador Matt Kunze reveló en su blog que había recibido 107.500 dólares (poco más de 101.000 euros) de Google por informarles de una brecha de seguridad que descubrió en el sistema de sus altavoces ‘inteligentes’ Google Home.

Según este experto, un defecto en el producto, ya corregido por la compañía tecnológica, permitía que un tercero podía controlar remotamente el sistema al crear una cuenta nueva en el dispositivo, con la cual podía acceder al micrófono del aparato, hacer transacciones ‘online’ y enviar órdenes a otros artefactos conectados, que dentro de la nueva concepción del «internet de las cosas» puede ir desde las luces de un apartamento hasta su puerta de entrada.

Lo que hacía falta para esto eran los datos sobre el nombre asignado al producto, su certificado y la identificación de «nube», con la que se relacionaba a la aplicación móvil. Kunze dibuja una línea de tiempo en su publicación donde ilustra que envió el primer informe el 8 de enero del 2021 y que recibió la recompensa el 20 de abril el mismo año.

Gerard Espuga, socio del área de derecho digital del despacho Beta Legal, apunta que no consta que Google haya informado a los usuarios de esta brecha, que posiblemente pudo haber sido explotada desde la fecha en que se empezó a comercializar, apareciendo en Estados Unidos en noviembre del 2016.

«Si ese acceso indebido ha comprometido la confidencialidad de los datos, al tener acceso a ellos el atacante, como podría ser el caso de los altavoces de Google, y el acceso se ha materializado efectivamente, se debería comunicar la brecha de seguridad tanto a los usuarios como a la autoridad de control competente, sin perjuicio de que, previamente, se tengan en cuenta, entre otros, la categoría de los datos a los que se ha accedido indebidamente o la cantidad de datos que se han podido exfiltrar», dice.

En este sentido, comenta que las políticas de privacidad de Google «resultan de todo menos “concisas, transparentes, inteligibles y de fácil acceso”, con lo que se estaría dificultando a los usuarios ejercer sus derechos al tener que navegar en un laberinto nada intuitivo por parte del usuario en que se describe de manera general la política de la compañía sin tener en cuenta servicios concretos».

En Europa, las directrices 2/2021 sobre los asistentes de voz virtuales (AVV) son las últimas regulaciones emitidas por las autoridades de control. Espuga las tiene en cuenta al señalar que «quedan patentes los reiterados incumplimientos de Google con la normativa sobre protección de datos».

Como ejemplo, señala las sanciones de 150 millones de euros impuestas por la autoridad francesa de protección de datos por dificultar el rechazo por parte de los usuarios a la instalación de cookies, las de la Agencia Española de Protección de Datos, por importe de 10 millones de euros, por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión en relación con el proyecto Lumen, así como los pronunciamientos sobre los incumplimientos por parte de responsables que usen Google Analytics respecto a las transferencias internacionales de datos.

¿Qué datos recogen los asistentes de voz virtuales?

«Los asistentes de voz, en general, pueden tratar una gran cantidad y tipología de datos personales», dice Espuga, diferenciando entre los datos facilitados por el usuario, datos observados, como los registros de actividades y las actividades en línea, y los datos inferidos o derivados, que se obtienen mediante la elaboración de perfiles de los interesados.

«Los asistentes pueden tratar datos de usuarios registrados, de otros que no lo están pero actúan deliberadamente con el mismo y de otros que interactúan por error pero que, en su caso, pueden ser identificados a través de la combinación de datos en poder del proveedor, que utilizará los datos, con total seguridad, para sus propios fines sin informar ni contar con el consentimiento de estos dos últimos interesados, sin perjuicio, claro está, de que ello tenga un componente añadido de dificultad», explica.

Además, Espuga señala que el tratamiento de datos de categoría especial, como los de salud, por ejemplo, precisa del consentimiento del usuario, siendo este componente la única de las excepciones contempladas por el artículo 9.2 del Reglamento General de Protección de Datos que aplica a los AVV. El tratamiento de datos biométricos mediante el registro de la voz para la identificación del usuario también deberá contar con una de las susodichas excepciones para proceder.

En todo caso, la finalidad del tratamiento de los datos de voz deben determinarse con claridad sin ser otra que la atención a las solicitudes formuladas. Pero el entrenamiento de modelos de inteligencia artificial y la elaboración de perfiles destinados a la publicidad comportamental son finalidades adicionales y no complementarias que se han observado en la programación de estas herramientas.

Espuga señala como ejemplo las sanciones recaídas sobre Meta este 4 de enero, nombre con el que Facebook llevó a cabo su cambio de marca, en base a una ilícita legitimación para el envío de publicidad comportamental sin que los usuarios lo consintieran. La Comisión de Protección de Datos de Irlanda les impuso dos multas por un total de 390 millones de euros por violaciones a la privacidad.

Al tener uno de estos AVV, lo recomendable es revisar la configuración de privacidad por defecto a través de Google Home para otorgar únicamente los permisos necesarios para el funcionamiento del altavoz, elegir los datos a compartir con terceros, borrar historiales de búsqueda así como las ubicaciones o desactivar los resultados personalizados. También se debe desconectar el micrófono o el dispositivo cuando no esté en uso y utilizar contraseñas y redes wifi seguras.

Noticias Relacionadas: