Privacidad en mensajería anónima: ¿me guardas un secreto?

Síguenos en |     

Secret, otras apps de mensajería anónima y su privacidad

Actualizado: según su nueva Política de Privacidad del 5 de Junio de 2014

La mensajería anónima está de moda.

Si lo de hablar cara a cara estaba en desuso, ahora se quiere hacer ya sin nombre ni apellidos. 😛

Secret, Whisper o Rumr, entre otras, están en los últimos tiempos en boca de muchos por ser la nueva evolución ¿lógica? de las apps de mensajería al incluir ‘de serie’ el aspecto anónimo. ¿Pero en qué consiste la mensajería anónima? La idea de base es compartir opiniones o realizar comentarios sin que se conozca la identidad del autor. Luego cada aplicación añade su particularidad. Por ejemplo, una aplica ese concepto en un WhatsApp al uso pero con seudónimos, en otra compartimos anónimamente con nuestros contactos (no identificados) secretos inconfesables, mientras que en otra hacemos llegar a Internet en general nuestro secreto más profundo para que otras personas puedan simpatizar o no con lo expresado.

El punto común es que todo eso se hace siempre sin que nadie se identifique, ni el autor ni los simpatizantes o detractores. Por ejemplo, si anónimamente pongo de vuelta y media a un compañero de trabajo, en Secret ese mensaje se comparte con contactos de mi agenda que tienen la app (aunque yo no sé quiénes son), además de con extraños (según decide un algoritmo). Alguna de esas personas puede hacer «Me gusta» en ese comentario, entonces ese secreto se extiende a su red de contactos, y así hasta el infinito. Pero siempre sin saber quién es quién.

En el fondo se parece mucho al fenómeno de los Informers en Facebook o de la aplicación española Gossip.

Alguien puede pensar que servicios así no dejan de ser más que «tontunas», pero la verdad es que Secret es una de las apps de moda por el Valle del Silicio y por ejemplo Whisper ha obtenido más de 20 millones de dólares de financiación (a finales de 2013).

Por tanto parece que tenemos mensajería anónima para rato.

Como es fácil imaginar, las posibles consecuencias legales de este tipo de servicios son llamativas. Poder tirar la piedra y esconder la mano es tentador y un fantástico caldo de cultivo para ilícitos contra la imagen u honor de alguien, la revelación de comunicaciones secretas o la distribución de información confidencial de peso. Pero dejo estos asuntos para los compañeros del ramo. 😉

A mí lo que me interesa es la privacidad de estas aplicaciones, ¿en verdad puede uno rajar de quien quiera y el servicio no sabe quién lo ha hecho? ¿Son estos servicios nidos de impunidad, más cuando normalmente no se llegará al delito grave?

Pues la verdad es que en el fondo muy privados tampoco parecen.

Vamos a hacer dos cosas, en primer lugar exponer toda una serie de elementos llamativos de los términos y condiciones de Secret, la app de referencia en esto de la mensajería anónima. En segundo lugar, presentar una comparativa de 5 apps del gremio en la que se ven a vista de pájaro cómo se diferencian unas y otras en los usos de privacidad.

¡Vamos allá!

Secret presenta unas Condiciones de Uso y una Política de Privacidad relativamente largas, ¿qué se puede destacar de esos textos? Lo siguiente:

  • El servicio está pensado para mayores de 13 años, a no ser que cuenten con el consentimiento paterno. Suena a app ideal para menores.
  • Tu secretos tuyos son, pero los licencias a Secret gratuitamente, de forma no exclusiva, con carácter indefinido, irrevocable y sublicenciable. Por tanto se convierten en “secretos” de largo recorrido.
  • Pueden cambiar las reglas del juego de tanto en tanto, pero normalmente avisarán en la cabecera, actualizando la fecha de última revisión, otras veces avisándote expresamente. ¿Cuales son esos otros casos? Desconocido. Los cambios son efectivos desde que se publica la nueva versión de las condiciones.
  • Secret dispone de un programa para descubrir y comunicar vulnerabilidades, no responde a señales de “Do Not Track” generadas por los navegadores y te somete a arbitraje (de la Asociación Americana de Arbitraje) en caso de controversia que no pueda resolverse en un periodo de 60 días.
  • Entrando ya en materia, la información que proporcionas se divide en la que voluntariamente das al registrarte, escribir un post o pedir atención al cliente. Es decir: el email, el número de teléfono, tu agenda de contactos para encontrar amigos (cuyos emails y teléfonos se hashean antes de dejar el dispositivo y que periódicamente se revisa) y tu geoposición si activas la función “Nearby”. La geoposición ahora no requiere necesariamente de tu consentimiento con la nueva redacción. 
  • Luego hay la información que se recoge de forma automática al usar el servicio. Es decir: tipo de navegador, horas de acceso, páginas vistas, tu IP, dispositivo usado, identificadores únicos del mismo, SO, red móvil empleada, geolocalización, todo lo que cookies u otros rastreadores capten, entre otros. Antes estos datos no se almacenaban o únicamente por un corto periodo de tiempo, ahora se han eliminado esas previsiones. Por tanto hay que entender que ahora sí se almacenan. 
  • ¿Para qué se usa toda esa información? Lo básico es prestar el servicio en toda su extensión (seguridad, funciones o atención al cliente, por ejemplo), analítica del uso y actividad, mejoras del servicio, combinarla con otras fuentes que mejoren la comprensión del uso (!) y el almacenaje de los datos.
  • Secret almacena los datos en servidores de Google, con la particularidad de las imágenes, que lo hacen privadamente en la nube de Google (se ha ce la distinción). Todo ello cifrado con TLS antes de su escritura. Más sobre la protección de los datos aquí. Ahora se han eliminado las referencias al carácter cifrado y en servidores físicamente seguros de ese almacenamiento.
  • En general almacenan tus datos en tanto en cuanto sean necesarios para cumplir los propósitos indicados (más genérico no se puede ser). Los datos de log (como navegador o sistema operativo usado) los almacenan 7 días. Mientras tanto, los que tú proporcionas al servicio, los mantienen mientras lo sigas usando.
  • En cualquier momento puedes eliminar la cuenta, lo que llevará unos 30 días llevar a cabo. Ahora bien, como la información se encuentra en los servidores de Google y ésta tiene sus propias políticas de retención, que se elimine de sus servidores puede llevar más de 30 días.
  • Tus datos pueden compartirse de distintas formas. Según la IP de tu proveedor de servicio, tu localización (en términos generales) y tus posts, se comparten de forma anónima con otros usuarios. De forma disociada, tus datos se comparten con proveedores que necesiten la información para prestar el servicio. En caso de venta, fusión o para autenticar tu número de teléfono, también se compartirán.
  • Además tus datos e identidad se pueden compartir en casos derivados de una cuestión legal (como un proceso judical o la posible ilicitud de un contenido), más allá de que tú lo consientas expresamente o la información transmitida al conectar Secret a un tercer servicio (Facebook, por ejemplo).
  • Por muy disociados, agregados o anonimizados que estén tus datos, Secret puede llegar a asociar tu email, teléfono u otra información personal con tu identidad, especialmente si un tribunal se lo pide. En ese caso, dicen que te contactarán antes para que puedas prepararte.
  • La información recogida se almacena en Estados Unidos, y consentimos esa transferencia internacional de datos, aunque Secret al menos está adherida al Acuerdo de Puerto Seguro, lo que debería ofrecer mayores garantías sobre el tratamiento de nuestros datos.
  • Todos los datos se hashean antes de ser almacenados, al igual que la agenda de contactos. Un trabajador de Secret sólo puede acceder al email y número de teléfono de un usuario si cumple con su propio sistema de moderación y doble autenticación, además de que no pueden descubrir el enlace entre un post y un usuario.
  • De hecho, así como está configurada la seguridad, sólo los dos fundadores de Secret pueden hoy en día acceder al enlace que une un contenido con un concreto usuario.
  • Todo el contenido es eliminado, pero cambia el tiempo para su eliminación por el hecho de usar servidores de terceros, con la excepción del contenido “desenlazado”, que queda en un limbo de identidad y propietario y por tanto no es posible en principio eliminarlo.
  • Desenlazar es decirle a Secret que desasocie tus posts y tu cuenta de usuario, lo que te hace ganar el mayor nivel de anonimidad pero supone perder el control sobre ese contenido. Ahora bien, los comentarios o Me Gusta que hayas hecho no son desenlazables y cualquier post futuro que escribas seguirá asociado a tu cuenta.

Por tanto Secret, si quiere, puede saber quién anda detrás de un comentario. Por mucho sistema de seguridad que se haya establecido. La única escapatoria, en teoría, es la opción de desenlazar los posts de una cuenta. Ahora bien, teniendo en cuenta la cantidad de datos automatizados proporcionados al servicio, parece que hay herramientas para identificar usuarios en concreto.

Pasemos ahora a la comparativa de servicios del ramo en los que se suman a los ya indicados Yik Yak y Blink (integrada en Yahoo), los únicos todavía no disponibles en España pero con un importante mercado en los países anglosajones:

Mensajería_anónima_términos_y_condiciones

Algunos puntos a destacar:

1. – Todos están basados en Estados Unidos (aunque también hay alguna app del gremio en castellano, como Secretos)

2. – Ninguno exige la mayoría de edad para usar el servicio

3. – Yik Yak no tiene Política de Privacidad como tal (hace poco no tenía ni Condiciones de Uso), de ahí el desconocimiento sobre mucha información

4. – Quizá con la excepción de Whisper, todos puede llegar a recoger una cantidad respetable de datos identificativos

5. – Todos almacenan los datos en Estados Unidos, aunque sólo dos le dan un nivel de protección equivalente a la normativa europea

6. – Las políticas de retención de datos siguen sin existir o en todo caso se formulan en términos amplios o muy condicionales

7. – Todos los servicios pueden llegar a compartir los datos con terceros más allá de los prestadores de servicios necesarios para el día a día.

En conclusión, no parece que estemos ante una flor de un día, pero sí ante algo que justo está naciendo y quizá de ahí que peque de cierta inconsistencia legal, con servicios bastante trabajados (Secret) y otros muy populares pero primerizos en sus usos (Yik Yak). La supuesta anonimidad a mí me da la sensación que es ilusoria, ya que casi nadie deja escapar numerosas métricas que permitirían identificar concretamente a un usuario (y eso ya sin hablar de los datos entregados voluntariamente). Por tanto uno tiene que plantearse qué le aporta una herramienta como ésta más allá del divertimento inicial y el cotilleo sin etiquetas. Ya que privacidad no creo que sea. Quizá para superar la censura en determinados contextos o como fuente de rumores en sectores profesionales pueda tener utilidad.

Para desahogarse en secreto creo que los métodos analógicos como un café cara a cara, o quizá el más dramático de los gritos en medio de la montaña, siguen siendo igual de útiles. 😛 Y definitivamente dejan menos rastro.

¡Feliz cotilleo!

—–