Un grupo de investigadores logra identificar a individuos utilizando datos de redes sociales supuestamente anónimos.
Una de las formas en que las redes sociales obtienen ingresos es gracias a que comparten la información de sus usuarios con los anunciantes, así como con otras organizaciones interesadas en estudiar y comprender los comportamientos de los consumidores y explotar las tendencias de internet.
Normalmente las redes sociales prometen que borrarán “la información de identificación personal” antes de compartir estos datos, para así proteger la privacidad del usuario. Sin embargo, un grupo de investigadores de la Universidad de Texas en Austin ha descubierto que, si se combinan con los datos que en la actualidad están disponibles a través de otras fuentes en internet, estos datos anónimos pueden acabar revelando información delicada acerca de sus usuarios.
Mediante una serie de pruebas realizadas en Flickr, la página para compartir fotos, y el servicio de micro blogs Twitter, los investigadores de Texas fueron capaces de identificar a un tercio de los usuarios que poseían cuentas en ambos sitios, y para ello simplemente hicieron una búsqueda de patrones reconocibles dentro de la red de datos anónimos. Tanto Twitter como Flickr muestran información personal de forma pública, así que los investigadores tuvieron que hacer anónimos muchos de los datos para así poner a prueba sus algoritmos.
El objetivo de los investigadores era descubrir si podían extraer información delicada acerca de los individuos utilizando las conexiones entre usuarios, incluso si la mayoría de los nombres, direcciones y otras formas de identificación personal hubieran sido eliminadas. Descubrieron que era posible siempre y cuando pudieran comparar estos patrones con los de cualquier otra red social en la que la información de usuario también estuviese disponible.
Los datos de las redes sociales—particularmente los patrones de amistad entre los usuarios—pueden resultar de mucho valor para los anunciantes, señala Vitaly Shmatikov, profesor de ciencias informáticas en la Universidad de Texas en Austin, y formó parte del proyecto. La mayoría de redes sociales obtienen ingresos gracias a que comparten esta información, mientras que los anunciantes esperan poder utilizarla para, por ejemplo, localizar a un usuario que potencialmente pueda influenciar a los demás y que comparta la publicidad que le llega con su red de amigos. Sin embargo Shmatikov opina que esta información también hace que las redes sean vulnerables. “Cuando haces que este tipo de datos estén disponibles, tienes que preservar la estructura de la red social,” afirma. “Si no lo haces así, entonces probablemente no tenga sentido para el propósito por el que estás haciendo que dichos datos estén disponibles.”
Los investigadores afirman que es bastante fácil encontrar datos personales en las redes sociales: las conexiones entre amigos en muchas redes, como por ejemplo Twitter, se hacen públicas por defecto. Por otro lado, los esfuerzos que vienen realizándose para crear un “gráfico social” universal, tal como el de OpenSocial, ponen a nuestra disposición aún más recursos. Los algoritmos de los investigadores dieron un margen de error de sólo el 12 por ciento, incluso cuando los patrones de las conexiones sociales eran significativamente distintos: sólo un 14 por ciento de las relaciones de los usuarios se solaparon de Twitter a Flickr. Los resultados fueron descritos en un estudio que se presentará más adentrado el mes en el IEEE Symposium on Security and Privacy.
“La estructura de la red que nos rodea es de tal riqueza, y existen tantas posibilidades, que incluso si hubiera millones de personas que participasen en la red, todos acabaríamos estando rodeados por redes distintas,” señala Shmatikov. “Una vez que empiezas a tratar con un tipo de comportamiento humano lo suficientemente sofisticado, tanto si hablamos de las compras que realiza un persona como de las películas que ve o—en este caso—los amigos que tienen y cómo se comportan a nivel social, encontramos que las personas tienen unos perfiles bastante únicos. Cada persona suele llevar a cabo una serie de acciones individuales que finalmente hacen que sea muy identificable.
Para que el algoritmo pueda empezar a trabajar, los investigadores necesitan identificar unos cuantos usuarios de entre un gráfico de red social anónimo. No obstante, afirman que esto es sencillo de llevar a cabo en muchas de las redes sociales. Una porción de los usuarios de Facebook, por ejemplo, eligen que sus perfiles sean públicos, y cualquier atacante podría usar esta información como punto de arranque. Durante los experimentos, los investigadores descubrieron que necesitaban identificar por lo menos a 30 individuos para que el algoritmo pudiera empezar a trabajar en redes de 100.000 usuarios o más.
Los investigadores añaden que el algoritmo utiliza la menor cantidad de información posible y que, en la práctica, cualquier fisgón que se empeñase sería capaz de encontrar mucho más. “Este tipo de ataque podría haber sido mucho, mucho más fuerte si hubiéramos utilizado información que normalmente se deja activa una vez que los nombres y direcciones han sido borrados,” afirma Shmatikov. “Por tanto, esto demuestra que con un mínimo de información es suficiente.”
“Este estudio es de gran importancia,” afirma Alessandro Acquisti, profesor asociado de tecnología de la información y política pública en la Universidad Carnegie Mellon, así como experto en privacidad en internet. El estudio advierte que aquellos datos que pueden no resultar importantes pueden en realidad proveer a los atacantes con las herramientas necesarias para acabar revelando información verdaderamente importante, señala Acquisti. Por ejemplo, en teoría el algoritmo podría utilizar los nombres de la banda favorita del usuario y a aquellos amigos a los que les gusta ir a conciertos para decodificar detalles altamente delicados tales como la orientación sexual, y todo esto a partir de datos que supuestamente son anónimos. Acquisti cree que estos resultados ofrecen una imagen muy débil del futuro de la privacidad online. “No existe la completa privacidad como tal,” afirma. “Es imposible.”
Shmatikov piensa que no existe una solución técnica para este problema. Sugiere que las leyes sobre privacidad y prácticas empresariales deberían ser cambiadas para así reconocer que no hay forma de que las redes sociales sean anónimas. Y para empezar, Shmatikov señala que los usuarios también deberían ser capaces de decidir si quieren que sus datos sean compartidos.