Desde que ocurrió el escándalo de Cambridge Analytica y Facebook, tanto los dueños como los usuarios de esta red se han preocupado por la seguridad de sus datos personales. Y aunque fue un robo masivo de datos privados, pareciera que ese tema no era relevante para los usuarios en Colombia. Pero sí, aquí también están y han estado en riesgo nuestros datos, específicamente durante las elecciones legislativas de Colombia de 2018: “Aquí muchas personas vinculan sus cuentas de Facebook a las plataformas de los partidos y los candidatos y no saben que estas no cuentan con las medidas de seguridad necesarias”, dice Pilar Sáenz, coordinadora de proyectos en Fundación Karisma que se encarga de investigar las amenazas y oportunidades de la tecnología al ejercicio de los derechos humanos.
En las elecciones legislativas de Colombia en el 2018 los partidos y los candidatos accedieron a la información de los colombianos en las redes sociales y las usaron activamente, pero lo hicieron de una manera que puso y sigue poniendo en riesgo la privacidad y seguridad de estos datos. Según el estudio Elecciones y datos personales: un estudio de las elecciones legislativas 2018 publicado por Fundación Karisma y Tactical Technology Collective, en Colombia el 95 % de las conexiones a internet son para acceder a Facebook. Solo en Bogotá hay alrededor de 6,5 millones de usuarios, casi un millón más del censo electoral de la ciudad. Para Pilar Sáenz, muchos de estos usuarios han sido un objeto de estudio para los partidos que han visto las posibilidades publicitarias que ofrece la plataforma, pero que la débil seguridad que manejan pone en riesgo sus datos, y peor aún, el marco legal en Colombia no es claro sobre la responsabilidad de estas infracciones.
En Colombia el 95 % de las conexiones a internet son para acceder a Facebook. Solo en Bogotá hay alrededor de 6,5 millones de usuarios, casi un millón más del censo electoral de la ciudad.
En Colombia, del 2011 a 2017 pasamos de 4.6 millones a 28.4 millones de conexiones de banda ancha, de las cuales 22.2 son en teléfonos celulares. La publicidad digital se ha vuelto un foco de inversión del Estado y de los partidos políticos. Según el estudio, no hay estadísticas sobre la industria del mercadeo político digital, en gran parte porque no existe un registro de proveedores autorizados para los partidos y candidatos: “El problema que existe con la falta de industria, y a lo que nos tuvimos que enfrentar a la hora de hacer el estudio, es que los proveedores de estos servicios no están estandarizados”. Son diversas agencias las que están encargadas y que usan técnicas del mercadeo digital como los embudos o funnels, que es una manera de rastrear las acciones de los usuarios para establecer cuál sería la audiencia en el que un mensaje político tendría más posibilidades de generar una interacción. Según uno de los entrevistados del estudio: “Con esa información generamos un insight, y todas las semanas hacemos un boletín de insights”. Con ese boletín definen por dónde debe ir la campaña, qué deben decir, qué no deben decir y cómo podrían generar más apoyo o reacción a la campaña. Políticas de mercadeo digital conocidas y usadas. No todos los usuarios de Facebook entienden que la financiación de esta compañía funciona a partir de generar información sobre los usuarios que es vendida a otras empresas interesadas en generar contenido publicitario específico: “En Colombia muchas personas se informan solo a partir de Facebook, por lo que se conoce como el zero rating”, explica Pilar Sáenz, “muchas empresas telefónicas le permiten a sus usuarios usar Facebook y Whatsapp sin tener que gastar datos, entonces todo lo que consumen de información se genera desde ahí”.
Nuestros datos están en malas manos
Hasta aquí hemos hablado de los datos privados que tenemos en las redes sociales, pero no se trata de datos tradicionales como su número de celular o su fecha de nacimiento o su correo personal. Estas herramientas de mercadeo digital lo que buscan son los datos que no nos damos cuenta que brindamos: las páginas que más entramos en un día, los horarios a los que entramos a Facebook, nuestras preferencias de consumo, nuestra orientación político/ideológica/sexual y algo tan simple o tan complejo como nuestros pedidos por internet. Según Pilar Sáenz, coordinadora de proyectos en Fundación Karisma, el problema es el desconocimiento que tienen los usuarios del riesgo en el que ponen sus datos privados: “en muchas páginas existe la opción de vincular con nuestra cuenta de Google o Facebook, y eso es un tracker que nos perfila para el publicista del mercadeo digital”. Claro, la parte buena del problema es que nuestros datos sean usados por una agencia de mercadeo que nos ofrezca algún producto que responda a una necesidad que tengamos, hasta nos podemos dar por bien servidos. Ese no és el riesgo. El riesgo, como lo explica el estudio, es que muchos de los candidatos y partidos políticos en Colombia tienen medidas de seguridad muy vulnerables que permitirían a un tercero acceder a esos datos. Un tercero que no buscará perfilar nuestras preferencias políticas, sino acceder a datos privados sin un objetivo comercial, sino delictivo.
Esto ya pasó en una escala mayor en Colombia y el estudio lo resalta. En el 2014, durante la disputa presidencial entre Juan Manuel Santos y Óscar Iván Zuluaga, la Fiscalía General de la Nación descubrió una red de hackerspace llamado Buggly. En esta red, muchos de sus agentes tenían vínculos con Andrés Sepúlveda, un estratega de redes que había sido contratado por la campaña de Zuluaga. Aunque nunca se demostró que Sepúlveda tuviera la capacidad de hackear sistemas informáticos, tuvo un grupo de agentes vinculadas con esa red que sí podía hacerlo. Fue a través de estos agentes que consiguió datos de la inteligencia militar e información sobre el proceso de paz con las Farc y sus miembros. Pero lo más nos interesa de este caso, es que en una entrevista Sepúlveda afirmó que con esta maquinaria lograba enviar 200 mil mensajes de Whatsapp en una hora, podía crear y dirigir rumores e ideas dentro de distintas redes sociales. Esto a través de algo tan simple y complejo como acceder a datos privados de manera delictiva.
A candidatos como Álvaro Uribe y Angélica Lozano se les invirtió a cada uno una cifra cercana al presupuesto total del partido Centro Democrático y Cambio Radical juntos.
No todos los partidos cuentan con el presupuesto necesario para estas herramientas de mercadeo digital, y además muchos no lo consideran prioritario. Sigue siendo un privilegio reservado, para las elecciones legislativas de 2018 los partidos del Centro Democrático (alrededor de setenta millones de pesos), Verde (alrededor de ciento veinte millones de pesos), Conservador (alrededor de ochenta millones de pesos), y Cambio Radical (alrededor de veinte millones de pesos) fueron los que más gastaron en estas herramientas. A candidatos como Álvaro Uribe y Angélica Lozano se les invirtió a cada uno una cifra cercana al presupuesto total del partido Centro Democrático y Cambio Radical juntos. Todas estas cifras importan a la hora del impacto que puede tener el dinero invertido gracias a la recolección de datos personales que sean usados con objetivos políticos: “Facebook sigue siendo una fuente fundamental para los partidos políticos, también usan sus sitios web para recolectar datos”, dice Sáenz, “pero ahí es donde empieza el riesgo para los usuarios que hacen clic en el botón de vincular con su Facebook”. Muchas de las páginas de los candidatos tienen formularios que recogen información personal y usan unos trackers que funcionan de manera similar a la manera en que Facebook determina lo que nos interesa en otras páginas y lo muestra en nuestro feed. Pero el riesgo, según el estudio de la Fundación Karisma, es que solo unas pocas páginas usan un cifrado SSL, ese cifrado es el que garantiza que lo que yo interactúe con esa página es seguro y no puede ser intervenido por un tercero. En cifras del estudio: solo la mitad de los sitios web de los partidos y solo 9 de 21 de los sitios de los candidatos tienen ese certificado. Todo esto significa que los datos que se proveen de manera voluntaria o involuntaria tienen el riesgo de ser extraídos por un tercero.
Y es que aquí el problema se complica, porque el marco legal en Colombia con respecto al uso de los datos personales en las redes sociales es ambiguo. Aunque los datos personales relacionados con la orientación política en Colombia, protegidos por la regulación de protección de datos personales, requiere que los titulares autoricen explícitamente cualquier uso que se le vaya a dar, especialmente su venta a terceros. En el estudio solo un 21 % de las páginas de los candidatos y un 60 % de las páginas de los partidos publica la política de privacidad en el sitio web. Pero entonces, ¿esto no sería ilegal? “El problema en esto que es difícil establecer en quién recaería la responsabilidad legal”, explica Sáenz, “en la Ley colombiana hay dos figuras de responsabilidad, el responsable, quien decide qué se hace con los datos y el encargado, quien ejecuta la decisión de qué hacer con los datos”. Entonces, a la hora de juzgar una falla de seguridad de estos datos, no se establece quién debería responder cuando se cometen abusos de este estilo. Sobre esto, el estudio señala que la regulación de protección de datos tiene vulnerabilidades estructurales que tienen que corregirse. Pero de igual forma, resalta que hay partidos y candidatos que reconocen el riesgo del mal uso de los datos y se aproximan de una manera crítica a evitar ese tipo de prácticas, aunque no lo señala como una mayoría, y solo como un comienzo y una posibilidad.
Tanto el estudio de la Fundación Karisma y Tactical Technology Collective como Pilar Sáenz señalan que el riesgo que corren los datos personales de los colombianos que usan redes como Facebook, Twitter y Whatsapp se debe tanto al desconocimiento de los usuarios, como a la inseguridad de la recolección de estos datos que hacen los partidos y candidatos políticos. Pero aunque se busque enseñarle a sus usuarios a proteger estos datos de mejor manera, sigue existiendo el hueco señalado por ambos en la regulación de protección de datos que no esclarece sobre quién recae la responsabilidad legal a la hora de cometer un abuso.