LinkedIn al desnudo: ¿Brecha de seguridad o usuarios imprudentes?

Recientemente se han publicado bases de datos con información de unos 700 millones de usuarios de LinkedIn, nada menos que el 92% del total mundial de sus clientes. La compañía afirma que su servicio es víctima de una práctica llamada web scraping: el rastreo y recopilación automáticos de datos que uno encuentra en 'abierto' en la red. En este caso, esta red social está especialmente expuesta a este tipo de situaciones porque, precisamente, está pensada para dar visibilidad a empresas que buscan empleados y, sobre todo, a particulares en busca de contactos y empleo. Es decir, uno publica su currículo ahí para que se vea. ¿Es un problema de seguridad de la empresa o lo que pasa es que nos exponemos demasiado?

La respuesta inmediata es que LinkedIn sí tiene responsabilidad ya que es quien trata esos datos. La propia empresa reconoce la existencia de este mal uso de la información de sus clientes. En un comunicado, asegura que parte de esos datos han sido obtenidos mediante scraping o rastreo de datos disponibles a simple vista en internet (como, por ejemplo, los currículos, artículos y demás datos identificables en la propia red social) mediante redes de bots.

Al cruzarlos con otras bases de datos se puede inferir nueva información personal delicada. En este caso, esa información reúne nombres completos, sexo, direcciones de correo electrónico, números de teléfono e información laboral.

No obstante, y dada la enorme cantidad de datos que acumulan las compañías de internet sobre cualquiera, se podrían también deducir las filias y las fobias de cada uno, la orientación sexual, la geolocalización o incluso la tendencia política.

LinkedIn afirma con rotundidad que "esto no es una violación de datos" y que "no se expusieron datos privados de miembros de LinkedIn". Pero, y aquí está lo relevante, confiesa que la información expuesta "se extrajo de LinkedIn [o sea, de datos que publican los usuarios cuyo acceso es abierto] y de otros sitios web" para después cruzarlos. El pasado mes de abril se denunció la venta de una base de datos con 500 perfiles de usuarios de esta compañía, y LinkedIn asegura que este nuevo caso es similar e incluye datos extraídos del fichero de abril.

La compañía recuerda que hacer scraping con datos de esta red social viola sus propios términos de uso e insiste en que “cuando alguien intenta tomar datos de miembros y usarlos para propósitos que LinkedIn sin permiso”, trabaja para “detener su actividad y responsabilizarlos”.

Las normativas europea y española consagran una definición amplia de la “violación de los datos personales” (art. 4 12 del Reglamento General de Protección de Datos europeo, la norma de mayor rango en este caso). El Reglamento describe estas situaciones como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".

El responsable del tratamiento de esos datos —LinkedIn, en este caso— tiene la pues obligación de evitar la "comunicación" de los datos recogidos de su servicio mediante rastreo automático para otras finalidades que no sean las del afectado (en este caso, el uso ilegítimo sería la venta masiva de perfiles personales en el mercado negro). La cuestión es cómo lo hace LinkedIn. O mejor dicho, cómo no lo hace.

Como mínimo, dificultar el scraping

"Técnicamente, una empresa puede dificultar, más que impedir, el scraping", comenta a Público el ingeniero y abogado Sergio Carrasco, que añade: "Lo que sí que puede es detectarlos, por ejemplo, si uno se encuentra muchas peticiones o éstas vienen de la misma dirección IP o el mismo navegador; si el rastreo se ha hecho hábilmente podrían haber realizado pocas peticiones a la vez, cambiando de alguna forma la configuración del navegador, aunque así se tardaría muchísimo tiempo".

Por tanto, las redes sociales que sirven de plataforma para nuestros comentarios, gustos, tendencias y currículos pueden y deben detectar los rastreos automáticos. Y además, según la normativa europea, una vez detectados esos problemas tienen que comunicarlo; en este caso nos hemos enterado gracias a una exclusiva de privacysharks.com.

¿Y los usuarios afectados qué pueden hacer? No se trata de un problema de contraseñas (que, como siempre, recomendamos cambiar con periodicidad), por tanto sólo se puede tratar de localizar quién tiene esos datos y ejercer los derechos ante ellos, especialmente si es un sujeto legítimo. O sea, que si una empresa compra esa base de datos y la usa corre el riesgo de que cualquier afectado pueda actuar contra ella.

"La otra opción, aunque la veo complicada, es denunciar a LinkedIn ante la Agencia Española de Protección de Datos (AEPD) por falta de diligencia si no hay medidas que dificulten el scrapping", apunta Carrasco. Algunas de estas medidas pasan por monitorear tráfico desde algunas IP sospechosas o introducir captchas en las peticiones al servidor, entre otras.

Dos denuncias en España

La AEPD ha confirmado a Público que, de momento, ha recibido dos denuncias por esta última publicación masiva de datos personales. Al tener su establecimiento principal europeo en Irlanda, será la autoridad de protección de datos de ese país quien lidere las investigaciones y quien determine si hay sanción o no; la AEPD, por su parte, solicitará su consideración como autoridad de control interesada debido a las dos denuncias mencionadas.

Mientras tanto, este uso masivo e ilegítimo de nuestros datos personales sólo se pueden evitar si uno no existe en Internet, y eso es prácticamente imposible: no sólo publicamos sobre nosotros sino sobre los demás, y los demás (también las Administraciones Públicas, en ocasiones) sobre nosotros.

Quizá, como afirma Carrasco, la solución pase por hacer más complicada la recogida automática y masiva de esos datos personales, por un lado, y por otro convencer a los usuarios para que configuren su privacidad en cada servicio.

Hace años, Facebook decidió cambiar la política de privacidad de las cuentas: todos los perfiles eran públicos por defecto pero ahora, al abrir uno, hay que configurar qué quieres que todo el mundo vea y qué no. Los usuarios no tienen la culpa de que sus datos no estén protegidos debidamente. Carrasco sugiere: "A lo mejor LinkedIn tendrían que segmentar la privacidad por defecto, como obligan las normas".