La exposición de 450 millones de registros con información perteneciente a usuarios de Facebook por parte de Cultura Colectiva evidencia un desconocimiento de la protección de datos personales, según especialistas en la materia consultados por El Economista. Incluso la autoridad en materia de protección de datos personales en México, el Inai, ha iniciado una investigación de oficio en contra del medio digital, “así como de las personas físicas y/o morales de carácter privado que pudieran resultar responsables del tratamiento de datos personales de usuarios de una red social, presuntamente expuestos en Internet”, refiere el instituto.  

De acuerdo con Chris Vickery, especialista en ciberseguridad de UpGuard, firma de ciberseguridad de origen australiano con sede en Mountain View, California, quien realizó el descubrimiento, la información que se encontraba abierta al acceso público de cualquiera con una conexión a Internet. “Cualquier persona pudo haber descargado los datos”, dijo Vickery a El Economista.  

Los datos expuestos por Cultura Colectiva estaban ordenados en una base de datos MongoDB con más de 540 millones de registros. “Si una persona había hecho un comentario en Facebook, la base de datos contenía la identificación de Facebook de esa persona y su nombre, así como las identificaciones de todas las personas que hubieran reaccionado a ese comentario y las respuestas”, aseguró Vickery.

De acuerdo con el especialista, lo relevante de este caso es la sencillez para acceder a la información almacenada por el medio digital mexicano que, en agosto del 2018, aseguró a El Economista que esperaba vender más de 250 millones de pesos “gracias al propio desarrollo de una tecnología de análisis de datos que permite anticipar tendencias, obtener insights y usar tendencias en tiempo real”.

“Tenemos diversas formas de monitorear Internet para detectar exposiciones de datos. Este descubrimiento en particular pasa por conocer el esquema de direcciones URL que Amazon Web Services utiliza para almacenar archivos junto con la palabra clave cc/datalake, que era el nombre del repositorio que Cultura Colectiva estaba usando”, dijo el especialista en ciberseguridad.

Incomprensión del ciclo de vida del dato

Después de que esta exposición de los datos fuera hecha pública por UpGuard, Cultura Colectiva afirmó en un comunicado que “todos los datos disponibles públicamente que nos comparte Facebook, y que obtenemos de las fanpages que administramos como medio digital de comunicación, es pública, no sensible y es información que cualquier usuario de Facebook (sic) puede ver”.

El medio añade que utiliza dicha información para mejorar la experiencia de los usuarios en su sitio web y para generar contenido que sea atractivo e inspire a sus audiencias. Para Cynthia Solís, socia de Lex Inf, despacho jurídico especializado en Tecnologías de la Información, tanto esta afirmación de Cultura Colectiva, como el hecho de que haya asegurado que preveía la venta de 250 millones de pesos mediante una tecnología de análisis de datos diverge de lo declarado por la compañía en su propio aviso de privacidad.

Según el aviso de privacidad mostrado por Cultura Colectiva en su página web, consultado por El Economista el jueves 4 de abril y que fue actualizado en noviembre del 2018, la compañía usa los datos personales de sus usuarios, que son obtenidos de forma directa a través de un registro en su propia página o mediante el vínculo entre esta y plataformas como Facebook y Google, para “hacerle llegar nuestro “Newsletter”, enviarle información de interés sobre nuestros productos y servicios, así como aquellos de nuestros socios comerciales (esto último cuando así lo indique a través del formulario correspondiente) y mantenernos en contacto con usted”. El medio digital no menciona en este tratamiento de los datos “la mejora de la experiencia de los usuarios” o el análisis de la información. 

Solís aseguró que hay una falta de comprensión por parte de Cultura Colectiva de las obligaciones que tiene como responsable o encargado de los datos de sus usuarios. “Si yo no solicité un newsletter y no me lo estás haciendo llegar, entonces estás declarando una finalidad que no es correcta, que no retrata la realidad de lo que efectivamente estás haciendo con los datos personales. ¿Cuál mejorar la experiencia de usuario si me estás diciendo que sólo vas a enviar un newsletter? y además ¿tu finalidad es hacer análisis de datos o enviar un newsletter?”, dijo.    

De acuerdo con la abogada, el artículo 12 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares refiere que el tratamiento de datos personales por parte de un particular debe limitarse a las finalidades que están previstas en el aviso de privacidad desplegado por dicho particular. “Esta información no puede tratarse para ningún fin distinto a los que se menciona en el aviso de privacidad”, dijo.

Datos para inferir inclinaciones políticas

Una investigación de Mexicanos Contra la Corrupción e Integralia Consultores reveló que entre 2016 y 2017, la empresa Vicasoen S.A.P.I. de C.V., que es propietaria de Cultura Colectiva, recibió al menos 11 millones 421,618.39 pesos del gobierno de Enrique Peña Nieto en materia de gastos de comunicación social a través de 100 contratos. En agosto de 2017, Cultura Colectiva se convirtió en el primer medio nativo digital mexicano en entrevistar a un presidente en funciones, cuando conversó con Peña Nieto.  

De acuerdo con Chris Vickery, la información hallada por UpGuard fácilmente podría haber sido utilizada para inferir inclinaciones políticas de los usuarios. “No estoy diciendo que lo hayan hecho, pero muy fácilmente podrían haberlo hecho. Tenían información que otras compañías han usado para inferir esa clase de inclinaciones, son la misma clase de datos que podría haber sido utilizada”, dijo.

Esto abre la puerta a que tanto Cultura Colectiva como otras personas que pudieron haber accedido a la información de los usuarios de Facebook pudieran haber utilizado dichos datos para conocer las inclinaciones políticas de los usuarios, información que en la regulación mexicana es considerada sensible; esto pese a que el propio medio digital declara tanto en su aviso de privacidad como en su comunicado que no recaba datos que son considerados sensibles por la ley.   

Para Cynthia Solís, aunque Cultura Colectiva afirme que no recaba datos sensibles, “cuando Cultura Colectiva declara que hace análisis de datos, ahí no solamente está dando tratamiento a los datos que ya recabó, sino también a aquellos que ya obtuvo con el motivo de dicho análisis”, dijo. “A través del procesamiento de dicha información puedes obtener filiación política de los usuarios, que es un dato sensible. En tu comunicado dices que no recabas datos sensibles, pero cuando haces el análisis sí puedes obtener tendencias políticas de los usuarios de Facebook, que sería algo muy parecido a lo que ocurrió con Cambridge Analytica”, dijo.  

Para Chris Vickery, un veterano en la detección de bases de datos de usuarios mexicanos expuestas en internet -en 2016 encontró la lista nominal de electores 2014-2015 alojada también en Amazon y en ese mismo año descubrió la lista nominal de electores del estado de Sinaloa en el portal Digitalocean- pese a las restricciones en materia de datos personales contempladas en la legislación mexicana, este tipo de exposiciones siguen ocurriendo en el país debido a que son lucrativas. “Respeto mucho la legislación en materia de datos personales mexicana, cuán estricta es, pero al parecer hay muchas compañías que están dispuestas a tomar ese riesgo”, remató.

[email protected]economista.mx