Consumer Reports evalúa productos, servicios para la privacidad y la seguridad de los datos
CR trabaja junto con otros expertos cibernéticos, lo que crea una nueva norma industrial de fuente abierta para hacer que los dispositivos conectados sean más seguros
Un día de agosto del 2015, Jared Denman recibió una llamada aterradora a su trabajo, de su esposa, que se encontraba en casa con su hija de 2 años. Se escuchaba una canción en el monitor para bebé de la pareja: era «Every Breath You Take» del grupo The Police. El monitor era de los que se conectan a Internet para que los padres puedan ver y hablar a su bebé o a la niñera cuando están lejos de casa. El dispositivo había sido controlado por un pirata informático malicioso, y la letra de la canción era particularmente amenazadora: «Cada juego que juegas, cada noche que te quedas, te estaré vigilando».
Incidentes como este pueden ilustrar la necesidad de los consumidores de estar más atentos y vigilar mejor cuando se trata de seguridad digital. Pero si esta infracción pudo sucederle a Denman, que es un administrador de TI con una comprensión sofisticada de las prácticas de seguridad computarizada, probablemente, puede pasarle a la mayoría de los consumidores.
Algunos fabricantes venden sus productos, como el monitor para bebé de Denman, con vulnerabilidades que permiten un ataque tal como el proceso de configuración, que no requiere que los usuarios cambien el nombre de usuario y la contraseña predeterminada. Y no solo los hogares con monitores para bebé son vulnerables. También los son los hogares con enrutadores, las cámaras de seguridad, las aplicaciones de salud y ejercicio e incluso los automóviles.
Estos tipos de ataques «probablemente, les están sucediendo a cada vez más personas, y ellos no saben nada de esto», dice Denman.
En nuestra encuesta reciente de CR Consumer Voices, el 65% de los estadounidenses dijo que confían poco o nada en que sus datos personales sean privados y que no se distribuyan sin su consentimiento. Creemos que es injusto y poco realista esperar que los consumidores estén de forma constante a la defensiva cuando los productos y servicios que utilizan no están diseñados con privacidad básica y protecciones de seguridad integradas. Consumer Reports escribe de forma regular sobre las vulnerabilidades de seguridad más importantes y aconseja a los lectores sobre las buenas prácticas que pueden ayudarlos a proteger sus datos y su privacidad. Pero como organización, intentamos hacer aún más.
Es por eso que ahora lanzamos la primera fase de un esfuerzo colaborativo para crear una nueva norma que resguarde la seguridad y la privacidad de los consumidores, y esperamos que la industria utilice esa norma cuando fabrique y diseñe productos digitales, tales como dispositivos conectados, programas y aplicaciones móviles.
El objetivo es ayudar a los consumidores a comprender cuáles son los productos digitales que se esfuerzan por proteger su privacidad y seguridad y les proporcionan mayor control sobre los datos personales. Esta norma puede ser utilizada eventualmente por CR y otros cuando desarrollen protocolos de prueba para evaluar y calificar productos, lo que ayudará a que los consumidores estén más informados a la hora de realizar decisiones de compra.
Sabemos que no somos los primeros que intentamos apuntar los productos y servicios digitales hacia una mayor seguridad y privacidad. En años anteriores, tanto agencias gubernamentales como otras organizaciones privadas han realizado esfuerzos para elaborar guías en conjunto, pero, en general, estos han estado enfocados en una sola área, como políticas de privacidad o la seguridad de dispositivos conectados. Ninguno consiguió mucho apoyo. Y algunas protecciones están retrocediendo, la Comisión Federal de Comunicaciones (FCC) bloqueó recientemente una nueva regla que hubiera añadido protecciones de seguridad de datos para los usuarios de Internet.
Consumer Reports ha estado trabajando con varios asociados y ha tomado un enfoque comprensivo, tratando de utilizar las mejores ideas en iniciativas previas. Creemos que estas normas abordan una brecha real en el mercado. Aquí hay un resumen sobre la forma en la que creamos este proyecto y en la que funcionarán estas normas.
¿Cuál es el propósito de una «norma»?
Mira alrededor y verás normas de productos en casi todos los campos. Su propósito es definir qué es lo que tienen en común los productos buenos y, por lo general, estas normas evolucionan con el tiempo. Por ejemplo, las normas actuales de seguridad federal aseguran que los vehículos tengan cinturones de seguridad, varias bolsas de aire y control de estabilidad eléctrico para ayudar a proteger a los conductores y los pasajeros.
Las normas y los protocolos de prueba para evaluar productos pueden ser creados por agencias gubernamentales pero no siempre, en especial, si el gobierno no aborda el problema en el mercado de forma apropiada. Consumer Reports tiene mucha experiencia en cuanto a la promulgación y al trabajo con normas más fuertes para todo tipo de productos.
Proporcionamos y apostamos por aportes científicos en el desarrollo de pruebas dinámicas de seguimiento utilizadas por el Gobierno para evaluar todos los automóviles, incluidos los SUV. También desarrollamos nuestros propios protocolos cuando consideramos que las normas actuales no protegen lo suficiente a los consumidores. El protocolo de seguridad que desarrollamos para realizar pruebas comparativas de accidentes en los asientos de automóvil para niños estaba diseñado para reflejar las experiencias reales de los consumidores mejor que las pruebas gubernamentales y ha estimulado el diálogo productivo con los fabricantes.
Ahora estamos llevando este tipo de enfoque hacia la privacidad. Si Consumer Reports y otras organizaciones de interés público crean una norma razonable y les informan a las personas cuáles son los productos que la cumplen de la mejor forma, la presión y las elecciones de los consumidores pueden cambiar el mercado. Hemos visto esto repetidas veces en nuestra trayectoria de 80 años.
Maria Rerecich, quien dirige las pruebas electrónicas en Consumer Reports, está ayudando a liderar el proyecto. «Todos los tipos de productos y servicios recogen datos del consumidor y se basan en software para funcionar», dice. «Pero nadie ha definido la forma en la que las compañías deben fabricar estos productos para que sean realmente buenos para los consumidores en términos de privacidad y otros aspectos». Entre esos productos, se incluyen diversos elementos, tales como televisores inteligentes, enrutadores, cámaras de seguridad, termostatos y asistentes digitales (piense en Amazon Echo y Google Home), así como programas puros, como aplicaciones y navegadores web.
Comprender esto es más importante que nunca. Aunque las lavadoras y los automóviles conectados a Internet pueden parecer excelentes novedades hoy en día, estos dispositivos, como también las aplicaciones y los servicios que los apoyan, se están convirtiendo en lo habitual. Hace 2 años, alrededor del 40% de los televisores en venta era un conjunto «inteligente» o «conectado», de acuerdo con Gap Intelligence, una empresa de investigación de mercado. Para diciembre del 2016, el número se elevó al 60%, y es probable que aumente más. Los electrodomésticos, como las ollas de cocimiento lento y los refrigeradores, están empezando a incorporar ese tipo de conectividad también.
Nuestra norma de privacidad: un rápido resumen
¿Qué les solicita a las compañías nuestra norma digital de protección al cliente? Como un ejemplo, pensamos que los dispositivos que se conectan a Internet, tal como el monitor para bebé de Denman, deberían requerir que los consumidores elijan el nombre de usuario y la contraseña durante la configuración. No se puede crear una cuenta bancaria en línea sin crear una contraseña segura; eso también debería ser así para una cámara que transmite un video desde adentro del hogar.
La nueva norma también les solicita a las compañías que eliminen los datos de los consumidores de sus servidores a pedido del interesado, que protejan los datos personales con encriptación, ya que los datos se envían a través de Internet, y que sean completamente transparentes sobre la forma en la que comparten la información personal del consumidor con otras compañías.
Finalmente, esta norma se puede utilizar para ayudar a Consumer Reports y otros grupos a desarrollar procedimientos de prueba específicos y reproducibles. Luego podemos evaluar los productos y darles a los consumidores la capacidad para comparar productos entre ellos sobre la base de factores como la protección de la privacidad, de la misma forma en la que ya les brindamos información sobre otros aspectos del desempeño del producto. En manos de los consumidores, ese tipo de información es una herramienta poderosa. Puede ayudar a una persona y puede formar el futuro.
Construida a través de alianzas
Colaboramos con 3 de los líderes digitales más importantes del mundo en el área de protección al consumidor: Disconnect, una compañía que realiza herramientas digitales que los consumidores pueden utilizar para bloquear rastreadores de datos y evitar otras invasiones de privacidad; Ranking Digital Rights (RDR), un proyecto de investigación sin fines de lucro que explora a través de las políticas de privacidad y otra información que las compañías divulgan a los usuarios; y Cyber Independent Testing Lab (CITL), una organización de prueba de seguridad de programas sin fines de lucro.
CITL fue fundada por el experto en seguridad informática, Peiter «Mudge» Zatko, y la matemática, Sarah Zatko. «La comunidad de seguridad ha estado intentando por años hacer que las personas se preocupen más por la seguridad de los programas y ahora, por fin, lo hacen», dice Mudge. «Pero la comunidad de seguridad no les proporciona a los consumidores cosas significantes para hacer sobre esto. No puedes decirles a las personas que todo está incendiado y luego no tener nada positivo para que hagan los consumidores. Queremos brindarles a todos los tipos de consumidores la información que necesitan para tomar decisiones inteligentes de seguridad sobre los productos que deben elegir y utilizar».
Eso puede darles poder a los consumidores (y a las compañías, una nueva forma de competir entre ellas). «Hemos descubierto que las compañías tienen enfoques muy distintos para proteger la privacidad y la libertad de expresión», dice Rebecca MacKinnon, la fundadora de Ranking Digital Rights. Establecer una norma industrial, dice ella, es la mejor forma para «alentar a las compañías a actuar de forma más responsable».
Para crear la norma, todos los socios en este esfuerzo se reunieron repetidamente durante meses para formar un esquema de trabajo. Luego cada organización tomó diferentes porciones para realizar pruebas aplicándolas a productos reales. El grupo apuntó a los televisores inteligentes, los navegadores web y las aplicaciones compartidas. Algunas de las tareas de Disconnect fueron observar el tráfico de red generado por los productos para identificar la presencia de rastreadores de datos, determinar si la información privada había sido encriptada, analizar los permisos y buscar violaciones atroces a la privacidad.
RDR se enfocó en las políticas de privacidad a través de las 3 categorías de productos, CITL evaluó los navegadores para comprobar si estaban construidos de manera segura y Consumer Reports analizó múltiples categorías de productos para verificar si eran susceptibles a vulnerabilidades conocidas de seguridad. La idea era pulir la norma al utilizarla en evaluaciones reales.
«Junto a nuestros compañeros, nos estamos embarcando en este viaje ambicioso para asegurar que los consumidores permanezcan en el asiento del conductor cuando se trata de la seguridad de sus datos personales», dice Marta L. Tellado, presidente y directora ejecutiva de Consumer Reports.
Este es solo el inicio de la conversación. Consumer Reports y sus compañeros no son dueños de la norma; nadie lo es. La estamos lanzando en un documento público y compartido. E invitamos a que otros nos den retroalimentación, añadan sus ideas y mejoren la norma.
Nuestros colaboradores
Construir una norma de producto y un programa de prueba es un trabajo importante y difícil que requiere experiencia. También es un trabajo caro. La prueba de CR, el trabajo investigativo y la investigación están financiados por donaciones y suscripciones de miembros. Pero para lanzar este programa, nos hemos beneficiado de la visión y la generosidad de la fundación Craig Newmark Foundation y Craig Newmark Philanthropic Fund, así como de la Ford Foundation. Craig Newmark es un miembro de la junta de Consumer Reports. Los legados de Henry y Edsel Ford establecieron la Ford Foundation hace 80 años, pero la organización filantrópica es independiente de la Ford Motor Company.
Más detalles sobre la norma
La norma completa rellena varias planillas largas y complicadas. Pero si deseas una versión simplificada, aquí hay un resumen:
1. Los productos deben estar diseñados para ser seguros
En los últimos 2 años, los investigadores de seguridad demostraron que podían entrar en los vehículos y controlar el volante y los frenos. Y los criminales han tenido mucho acceso a las cámaras web de las laptops, los enrutadores y otros productos. Los actores malos siempre van a estar presentes, así que los consumidores merecen productos que estén fabricados con seguridad como prioridad.
Cómo aborda esto nuestra norma. Una forma de evaluar la seguridad de un sistema es pedirle a un experto que ingrese y vea qué tan difícil es hacerlo. Consumer Reports puede involucrarse en ese tipo de «prueba de penetración» para algunos de nuestros proyectos. Pero ese tipo de investigación lleva tiempo y trabajo, así que no es práctico si deseas evaluar una gran cantidad de productos.
Para verificar rápidamente la seguridad de muchas piezas de programa, CITL ha construido herramientas automatizadas que detectan si se han seguido las prácticas de seguridad bien aceptadas que reducen los riesgos de atacantes, programas maliciosos y otras amenazas.
A Mudge le gusta comparar programas con automóviles. No se puede diseñar un automóvil que sea 100% seguro, dice él, pero se pueden seguir procedimientos conocidos para mejorar la seguridad. «Si tienes un auto que no tiene bolsas de aire, cinturones de seguridad o frenos antibloqueo, tú, como consumidor, debes saber esto», dice. Las herramientas de CITL verifican si una parte del software tiene el equivalente de dichas características de seguridad y evalúa si están bien fabricadas e instaladas. Una buena calificación de CITL no quiere decir que el programa no pueda ser pirateado en su totalidad, pero sí quiere decir que está diseñado para ser más seguro y resistente a los ataques.
Consumer Reports buscará formas de incorporar las herramientas de CITL y también otros métodos de seguridad en nuestras pruebas.
La norma también realiza unas preguntas directas, por ejemplo, si los datos del consumidor están encriptados para protegerlo de criminales y si la compañía detrás del producto actualiza de forma continua su programa con parches de seguridad a medida que aparecen nuevos tipos de programas maliciosos.
2. Los productos deben preservar la privacidad del consumidor
En el 2015, Consumer Reports descubrió que los televisores inteligentes, del tipo que se conecta a Internet, estaban recolectando información sobre todo lo que veían los usuarios. Creemos que los consumidores deben saber qué datos personales se están recolectando y tener un control razonable sobre ello.
Cómo aborda esto nuestra norma. Las normas hacen preguntas de cualquier producto o servicio que recolecte datos en sus usuarios. Por ejemplo, ¿la compañía le informa al consumidor la cantidad exacta de datos que se están recolectando? ¿La compañía recolecta esa información para hacer que el producto o el servicio funcionen de forma correcta o por algún otro motivo? Y cuando el consumidor cierra una cuenta (al renunciar a un servicio de redes sociales, por ejemplo), ¿todos esos datos se eliminan?
3. Los productos deben proteger la idea de propiedad
Si tienes un lápiz, puedes compartirlo, regalarlo o quebrarlo y escribir con los cabos. Pero el concepto de propiedad se ha vuelto confuso cuando se trata de productos que utilizan chips y software. Por ejemplo, muchos automóviles, electrodomésticos e incluso maquinarias agropecuarias confían en software protegido para trabajar y, debido a que es ilegal manipular programación protegida, se les puede prohibir a los consumidores diagnosticar y reparar máquinas que hayan comprado o contratar a una tienda independiente para hacer el trabajo. Las leyes de derecho de autor son importantes, pero también se puede abusar de ellas. En general, cuando los consumidores compran productos, creemos que deberían poder cambiarlos, arreglarlos o revenderlos.
Cómo aborda esto nuestra norma. La norma se enfoca en un número de preguntas relacionadas con la propiedad. Esto incluye si se les permite a los consumidores arreglar un elemento ellos mismos o si tienen a una persona independiente que lo arregle, si la compañía intenta evitar que el usuario revenda el producto a alguien más y si la compañía es clara y transparente sobre cómo y cuándo denegar el acceso del usuario a un producto o un servicio que el consumidor compró o usó.
4. Las compañías deben actuar con ética
La intención de las 3 primeras declaraciones es crear un contexto para evaluar la forma en la que las compañías que generan productos digitales respetan y protegen a sus propios clientes. La cuarta declaración hace responsable a las compañías por la forma en la que interactúan con todo el mundo.
¿Por qué? Creemos que así como muchos consumidores quieren saber si su ropa fue fabricada en Estados Unidos, o si su café se produjo utilizando las prácticas de comercio ético, también se preocupan por los valores como la libre expresión. Por ejemplo, un cliente de una compañía puede querer saber si resiste la censura digital en países totalitarios y, más cerca de casa, si notifica al público de forma rápida luego de una violación de la información.
Cómo aborda esto nuestra norma. Los detalles dependen del tipo de producto en el que se enfoque. Entre las preguntas, se incluye si las políticas de privacidad son fáciles de encontrar y entender, si la compañía con la que está haciendo negocios es rápida para transmitir la información si se produce una violación de la información y qué tipos de medidas toma para proteger la libertad de expresión.
¿Qué sigue?
Hacer pública la norma de protección al consumidor no es solo un gesto de transparencia (aunque creemos que es importante). Es una parte esencial de todo el proyecto.
La norma está escrita como un primer borrador. Esperamos que todos, desde los ingenieros, los grupos industriales y los padres preocupados, se involucren en moldear versiones futuras de la norma. Hemos publicado las normas en GitHub, un sitio web que se utiliza mucho por desarrolladores de programas para compartir ideas y trabajar en proyectos grupales. Debido a que GitHub puede ser difícil de navegar para los usuarios nuevos, también hemos diseñado un sitio web que contiene la misma información.
Algunas personas pueden hacer sugerencias, mientras otras pueden desviarse y experimentar con propuestas alternativas. Alentamos la devolución y la mejora.
Lo que importa, por ahora, no es que cada detalle sea correcto. Lo importante es que la norma digital de protección al consumidor se extienda. Casey Oppenheim, un cofundador y director ejecutivo de Disconnect, señala que la nueva norma puede afectar a una gran cantidad de prácticas de ingeniería y de políticas de privacidad para miles de productos.
«Si la gente piensa que hemos perdido lo más importante o que estamos equivocados, les diremos “genial, hablemos. Queremos mejorar con ustedes”».
Lo que surja en última instancia debería ser un conjunto claro de las mejores prácticas que reflejen los derechos básicos de los consumidores a la privacidad y la seguridad, y más. Los detalles evolucionarán tan rápido como lo hacen la tecnología y el debate sobre estos asuntos.
La norma debe ser lo suficientemente fácil para que los consumidores sin experiencia técnica la entiendan y, al mismo tiempo, lo suficientemente sofisticada para guiar a las organizaciones de prueba, tales como Consumer Reports, ya que desarrollamos protocolos de prueba precisos. Queremos calificar los productos teniendo en cuenta medidas como la seguridad y en casi la misma forma en la que evaluamos los productos en cuanto a la seguridad física y el desempeño.
Eso les dará a los consumidores el poder para hacer elecciones basadas en información sólida. Hemos notado que las compañías prestan atención cuando los consumidores votan con sus carteras y clics. Creemos que las compañías lucharán para superar a sus competidores cuando se trate de privacidad, seguridad y otros derechos del consumidor. Las que realicen un mejor trabajo ganarán más clientes. Esa es una de las principales formas en las que funciona el poder del consumidor.
