Enlaces accesibilidad
ANÁLISIS

Google: el gigante descuidado

  • Cada vez más países investigan a Google por la captación de datos privados
  • Sus coches de Street View cazaron claves de redes y extractos de e-mails
  • ¿Para qué usa Google los datos de estas redes y cómo se produjo el "error"?

Por

Alemania, Francia, Reino Unido, Irlanda, EE.UU... cada vez son más los países que investigan o que han expresado su preocupación por los mecanismos de obtención de datos procedentes de las redes inalámbricas WiFi recogidos por los vehículos utilizados por Google para su servicio Street View, la vista "a pie de calle" de Google Maps.

Google lanza en España Street view

En Francia, hace unos días la Comisión Nacional de Informática y Libertades (CNIL) ya anunció que estaba estudiando sanciones contra Google, las cuales podrían llegar en un par de meses tras confirmarse que ésta había grabado "extractos de contenidos de mensajes electrónicos."

Fue el propio Google el que, a raíz de las quejas del gobierno Alemán -que ha supuesto deshabilitar la opción de vista de calle en aquel país- informó detalladamente sobre el tipo de información que había capturado reconociendo "haberse equivocado y haber recogido informaciones no autorizadas",  según informaba la agencia EFE.

¿Para qué recoge Google datos WiFi?

Google explicaba en su blog cuáles eran los procesos y métodos que empleaba para captar esos datos ahora objeto de la polémica.

Básicamente los coches de Google van provistos de una cámara de vídeo que obtiene imágenes del entorno en casi 360 grados; las fotografías son las utilizadas para dar sentido a la vista de calle que muestra imágenes reales del entorno. En estas fotografías se difuminan los rostros de la gente que aparece. Lo mismo se hace con las placas de matrícula de los coches y con cualquier otra captura susceptible de violar la intimidad de los ciudadanos.

Lo peliagudo del asunto se refiere, sin embargo a la obtención de datos de las redes WiFi cercanas al recorrido de los vehículos de Google.  La empresa utiliza estos datos con varios fines. Primero, para determinar la ubicación geográfica de esas redes WiFi relacionándolas con la posición GPS que también registra el vehículo.

De este modo cuando los usuarios accedan a Google, éste sabrá -al menos de manera aproximada- las coordenadas geográficas desde las que se está haciendo la petición en función de las redes WiFi cercanas.

Esto tiene que ver con los servicios basados en la localización, como por ejemplo las búsquedas con resultados condicionados según desde dónde se realice la consulta. Por ejemplo los cajeros más cercanos.

También para el propio Google Maps, que puede así determinar dónde está el usuario aunque tenga el GPS deshabilitado o sin cobertura o incluso aunque acceda desde un ordenador de sobremesa sin receptor GPS.

Los coches capturan como mínimo los datos correspondientes al nombre de la red WiFi y la dirección MAC, una especie de identificador único del que disponen todos los dispositivos que se conectan por red. En realidad en principio bastaría con registrar únicamente este número, pero por algún motivo también queda registrado el nombre de la red cuando éste es visible.

En cualquier caso esos son datos son públicamente distribuidos y por tanto el hecho de "verlos" no implica nada. Mirar si hay buzón en una casa no significa que se estén leyendo las cartas que contiene.

El origen del error

Pero el asunto se complica cuando esas redes no están protegidas con contraseña. En ese caso, por algún motivo, el receptor de datos de Google registraba, además de los datos correspondiente a la propia señal (los antes mencionados), también los datos transportados por ésta.

Entre esos datos "capturó palabras clave de acceso Internet y mensajes de correo electrónico susceptibles de llevar informaciones protegidas por el secreto bancario, médico o de prensa."

Sin embargo, matizaba Google, no se trata en ningún casos de transmisiones completas, sino de fragmentos sueltos. Lo cual tiene sentido habida cuenta de que los vehículos de Google están continuamente en marcha y por tanto el tiempo que cada red WiFi permanece a su alcance es limitado y más bien breve.  El problema está en lo que Google describe como el origen del error,

En 2006, un ingeniero que trabaja en un proyecto experimental escribió un fragmento de código que tomaba muestras de todo tipo de los datos emitidos por los routers o puntos de acceso WiFi. Un año después, cuando se inició el proyecto Street View que debía capturar únicamente el nombre de cada red y la dirección MAC se incluyó por error esa pieza de código que hacía algo más de lo inicialmente necesario: obtener los datos transferidos por las redes

Porque cuesta creer que Google pueda tener algún interés en guardar fragmentos de tráfico WiFi. Pero más cuesta creer que haya podido ser tan descuidado en el desarrollo de un proyecto tan complejo.  Un proyecto de tal magnitud, aún sin capturar más que los datos básicos, supone manjear ingentes cantidades de información.

Cuesta creer que Google haya sido tan descuidado en el desarrollo de un proyecto tan complejo

Mucho más aún si además se cuela tráfico de datos adicional "no deseado" procedente de recorrer miles de kilómetros por varios países y que, sin embargo,  eso pueda pasar desapercibido durante meses entre los procedimientos y controles internos que se presuponen.

Proteger los datos personales es algo personal

Al margen del error de Google toda esta historia debería servir, cuando menos, para recordarnos que la responsabilidad de proteger los datos personales es, antes que de nadie más, del titular de los mismos.  Aplicado al caso el mecanismo más básico consiste en proteger las redes inalámbricas con contraseña: la próxima vez que pase el coche de Google verá que hay una red WiFi, pero no podrá escudriñar su contenido.

Lo anterior, por cierto, no implica que alguien con malas intenciones no pueda romper esa protección -o aprovechar que la red no está protegida- y acceder con un fin delictivo.

No es Google quien debe ser motivo de preocupación habida cuenta de su exposición pública y de la continua vigilancia por numerosos organismos de todo el mundo.  Pero sí es importante que los usuarios conozcan y sean conscientes de la necesidad de ser muy escrupulosos en lo que a la protección de sus datos personales y comunicaciones se refiere.

Y es que simplemente es imposible pretender perseguir y sancionar a todo aquel que esté en posición de poder captar las señales de radio que son emitidas públicamente. Eso es algo que potencialmente puede hacer cualquiera con un ordenador.