La vulnerabilidad que existía en Google+ expuso los datos privados de medio millón de usuarios. No parece mucho si los comparamos con los 50 millones de usuarios afectados en Facebook por el escándalo de Cambridge Analytica, pero el problema no es el alcance de estos fallos de seguridad, sino la forma en la que las empresas los gestionan.
En Google no cumplieron con la GDPR: no tenían que hacerlo puesto que la normativa no estaba en vigor cuando se produjeron los hechos. Hemos hablado con un abogado especializado en este ámbito y las conclusiones son claras: Google no hizo nada ilegal, pero su falta de transparencia es un problema grave que precisamente se busca corregir con la GDPR.
Sin respuesta de Google (de momento)
Lo cierto es que esa transparencia que ahora ha salpicado a Google lo hizo en el pasado y lo hará en el futuro a muchas otras. En Xataka nos hemos puesto en contacto con los responsables de Google para plantearles varias preguntas al respecto, pero de momento no nos han respondido.
Entre ellas, por ejemplo, ¿cómo sabe un usuario si alguien no autorizado ha tenido acceso a sus datos? ¿Cuál ha sido la cifra de usuarios españoles afectados? ¿Se va a comunicar a los usuarios afectados el problema? ¿Pueden (o deben) ellos hacer algo al respecto, como cambiar contraseñas?
Ni Google ha aclarado esas cuestiones en el artículo que publicaron hace unos días en su blog oficial, ni hemos podido conseguir contestación concreta a ellas, pero actualizaremos el artículo si esas respuestas nos llegan.
Una brecha menor que abre un debate mayor
El descubrimiento de estas vulnerabilidades parece haber sido la excusa perfecta para que Google cierre Google+. La red social que quiso competir con Facebook apenas tenía actividad, y ahora se transformará en un producto orientado a empresas. Eso no quita para que el escándalo haya provocado potenciales demandas en Alemania o Estados Unidos, donde los reguladores que protegen la privacidad de los usuarios están planteando acciones legales.
Curiosamente el escándalo lo ha detonado un problema de seguridad que casi podríamos calificar como menor. La vulnerabilidad afecta a una API de Google+ para desarrolladores, y solo 432 personas pidieron acceso a dicha API para sus servicios conectados a Google+. En Google indican que no hay evidencias de que dicho fallo de seguridad haya sido utilizado para extraer información privada, y lo cierto es que la reducida actividad de Google+ minimiza aún más las consecuencias del problema.
Pero como decíamos, no importa la magnitud del problema, sino la forma en la que Google lo ha atajado. La empresa afirma haber corregido la vulnerabilidad en marzo de 2018, pero solo ha reconocido que existía meses después. Lo ha hecho a raíz de la noticia original de The Wall Street Journal en la que se desvelaba el problema.
Google no incumplió la GDPR, pero no fue transparente
La pregunta, claro, es: ¿habrían dicho algo acerca de la vulnerabilidad si el WSJ no hubiera sacado a relucir el tema? ¿Seguiría Google+ abierto y sin fecha anunciada de desaparición?
No podemos saberlo, pero una vez más se produce una situación en la que una empresa solo reacciona cuando el escándalo sale a la luz. La transparencia de Google —como la de otras muchas grandes de la tecnología— queda en entredicho, y eso es lo que hemos querido aclarar.
Para aclarar la situación hemos hablado con Abel Loeches (@AbelLomar), abogado y socio en la consultora de derecho digital AKELA (@Akela_Asesores).
Para empezar Loeches nos confirmaba que Google no incumplió el nuevo Reglamento General de Protección de datos (GDPR, por sus siglas en inglés), ya que este es aplicable desde el 25 de mayo de 2018. Como los hechos no se produjeron después de esa fecha, Google no estaba obligada a cumplir aún con esa normativa. De hecho, como nos explicaba este experto,
Google quiso evitar un escándalo similar al de Facebook con Cambridge Analítica y, dado que en marzo de 2018 no había ninguna norma vigente que le obligara a hacer lo contrario, Google ocultó esta brecha de seguridad a las autoridades de control y a los propios usuarios.
Cuando se produjeron los hechos Google no estaba obligada a notificar esa incidencia de seguridad, "pero la compañía sí que debía registrarla, tratarla y corregirla; lo que aseguran haber hecho". El problema de fondo, como revela Loeches, es que
No se puede hablar de incumplimiento de una norma no aplicable, aunque sí se puede afirmar que Google no actuó de manera transparente o con responsabilidad proactiva, dos de los nuevos principios que establece también la GDPR.
Todo ello parece "salvar" a Google de una posible multa por exponer la privacidad de los usuarios, aunque la cosa cambiaría si como dice Loeches a día de hoy se detectase que esa brecha de seguridad sigue activa. "Dejaremos que las Autoridades de Control de los diferentes estados miembros de la UE actúen si lo consideran oportuno abriendo un procedimiento de inspección", concluía este abogado, que nos recordaba que no sería la primera vez que la Agencia Española de Protección de datos sanciona a un gigante tecnológico estadounidense.
Google (y el resto) tendrá que cambiar de actitud con la GDPR
La empresa por tanto no violó la GDPR y no parece expuesta a sanciones, pero la cosa cambiará a partir de ahora. La entrada en vigor de esta normativa hará que tanto ella como todas las empresas que manejan datos de sus usuarios activen diversas medidas para protegerlos.
Eso implica la implantación de medidas de control "organizativas, técnicas y legales" para mitigar o reducir esos riesgos, y como nos recordaba Loeches,
Entre estas medidas, encontramos la obligación de aplicar un protocolo de notificación de brechas de seguridad de manera que, en caso de producirse algún nuevo incidente de seguridad, deba notificarse en su caso a la Autoridad de Control competente o incluso a los interesados afectados por el mismo.
Eso nos deja una pregunta adicional: ¿debe Google notificar un incidente de seguridad en todos los casos? Este tipo de transparencia es la que precisamente va en contra de esa filosofía de "segurridad por oscuridad" que siguen muchas empresas y que se basa en el secreto para garantizar la seguridad.
Muchos expertos independientes de seguridad como Bruce Schneier defienden la transparencia total a través de la llamada "revelación completa" (full disclosure), y destacan cómo este modelo y el escrutinio público "son la única forma eficaz de mejorar la seguridad". Hay modelos distintos como la "revelación responsable (responsible disclosure) más dirigida a expertos de seguridad que encuentran vulnerabilidades y dan tiempo a las empresas para que las corrijan antes de hacerlas públicas.
Para las empresas, no obstante, el debate está servido y como reconocía Loeches este tema "es más complejo". Eso sí, él mismo recuerda que "cada compañía tiene la obligación de contar con un Protocolo de Notificación de Brechas". Este procolo permite evaluar el impacto de una incidencia, y en función de ello se valora si se reporta a la Autoridad e Control o "en caso de riesgo grave para los interesados, notificarles también a los mismos". Loeches aplicaba ese principio al caso que nos ocupa:
Por tanto, si hubiera brecha, Google debe analizar la incidencia de seguridad y en base a su Protocolo notificar o no (probablemente el resultado sería que debe notificar a Autoridad e interesados, pero es algo que no podemos saber porque no tenemos acceso a su documento interno)
Mientras tanto, lo cierto es que el debate sobre seguridad y transparencia queda al descubierto, y puede que la GDPR logre allanar el camino en este ámbito y hacer que efectivamente todas las empresas sean no solo mucho más escrupulosas con los datos de sus usuarios, sino también más transparentes a la hora de comunicar incidencias.
Ver 10 comentarios