Buzz y la privacidad: Google comienza a recibir demandas colectivas como panes

Posted on 27. feb, 2010 by malva618 in Noticias, Web

El lanzamiento al mercado de Google Buzz ha sido un desastre. Google no puede permitirse el lujo de lanzar un servicio que compromete de múltiples formas la privacidad de los usuarios, de la manera en como ha sucedido. La estratagema de aceptar automáticamente seguidores expuso conversaciones y comentarios privados de montones de usuarios.

Uno de los casos más sonados fue el de una joven que se mantenía alejada de un ex-novio violento. Cuando ella aceptó iniciar el servicio, Buzz permitió que las personas con las que más correos había intercambiado tuvieran acceso a sus comentarios de Google Reader, esto permitió a su ex-pareja deducir su ubicación actual.

Esta es, para muchos, un grave error de principiante, mientras que otros consideran que bien puede ser una estrategia planificada para que desde el principio el servicio tuviera un gran número de usuarios y enlaces entre usuarios, aunque no baremaron bien las consecuencias.

Pero, Buzz ha nacido acompañado de múltiples errores de privacidad que han dejado expuestos más datos sensibles de sus usuarios. Lógicamente, las demandas no se han hecho esperar, y vienen acompañadas de presiones gubernamentales que pueden obligar a Google a replantearse su estrategia con Buzz.

Uno de los primeros problemas imperdonables fue la conexión automática entre usuarios. Cuando se aceptaba unirse a Buzz, éste te conectaba con la gente con la que más correos habías intercambiado. Esta lista es pública por defecto. Si además lo combinamos con que permite que esas personas tengan acceso a tus compartidos de Reader, a tus fotos de Picasa, etc. Cualquiera puede ver con quién te carteas más, y tiene acceso a fotos y comentarios que quizás no quieras compartir con quien más te escribes.

Disidentes iraníes han visto cómo su lista de contactos habituales quedaba expuesta. Las oscuras y protegidas fuentes de periodistas de investigación han salido involuntariamente a la luz. Y como en el caso antes comentado, aquel abusivo ex-amante ha tenido acceso a comentarios y fotos de los sitios que frecuenta su ex-pareja.

Además, Buzz ha demostrado tener fallos de seguridad, lo que unido a estos errores de planteamiento se traduce en un completo desastre. Es muy fácil dejar expuesta la dirección de correo de cualquiera de tus contactos a la gente que te sigue en Buzz. En el caso de que respondas por Buzz a alguien que no tiene perfil público, o que no sigas ni por Buzz ni por GTalk, Buzz venía mostrando la dirección de correo de esa persona a todos los que tienen acceso a ese buzz.

Google empezó a parchear casi el mismo día del lanzamiento. Ahora, es necesario crear un perfil antes de empezar a usar Buzz, hay un mecanismo para bloquear a gente que quiere seguirte, Reader y Picasa no se conectan a Buzz por defecto, es posible ocultar tus listas de a quién sigues y quién te sigue, se muestran avisos sobre si quieres hacer estas listas públicas o no, y hay una pestaña en GMail que permite configurar o desconectar Buzz del todo. Cosas demasiado básicas, que tenían que formar parte del servicio desde su lanzamiento.

Se ha informado sobre una vía de ataque de tipo cross-site scripting sobre Buzz. Es sobre el dominio de Google.com, lo que supone un riesgo grave de phishing y de cookies maliciosas. Es sobre SSL/TLS, lo que facilita la ocultación del ataque. Y puede usarse para suplantar la cuenta Buzz de alguien. Todo esto según la persona que afirma haber explotado el fallo.

Es fácil entender que las demandas iban a llegar más pronto que tarde. Bufetes de abogados de San Francisco y Washington han iniciado una demanda colectiva, que tiene a la cabeza a Eva Hibnick, una mujer de Florida que representa a muchos usuarios de GMail afectados e indignados por estos fallos de privacidad causados por Buzz, acusando a Google de infringir todo tipo de leyes sobre comunicaciones legales, y en concreto la “Computer Fraud and Abuse Act”.

El ámbito de esta ley cubre infracciones como comprometer la confidencialidad de un ordenador, o transmisiones de información no autorizadas con daño intencional. Los abogados que inician el proceso exigen que Google no repita este tipo de actos que comprometan la confidencialidad de sus usuarios, y por supuesto, pasta compensatoria. Ya que la demanda se presenta de parte de todos los usuarios de GMail (que se estiman en 31.2 millones), la compensación económica a la que puede enfrentarse Google puede ser de proporciones épicas y acongojantes.

No es el único frente abierto, faltaría más. El gobierno de Canadá, bastante más comprometido con la privacidad de sus ciudadanos que el de su vecino norteamericano, también ha abierto una ronda de contacto con los responsables de Buzz, como ya hiciera con Facebook, obligándole a revisar sus políticas de privacidad. La Oficina del Comisionado de Privacidad de Canadá está preocupada por los aspectos más controvertidos de Buzz, y aunque desde Google se afirma que no hay abierta una investigación formal, reconocen que ha comenzado el diálogo.

Por último (al menos por ahora), el Centro de Información de Privacidad Electronica de Estados Unidos, ha solicitado a la FTC (Federal Trade Commerce) que investigue Buzz, porque este producto “ha violado las expectativas de los usuarios, disminuido la privacidad de los usuarios, contradicho la política de privacidad de Google, y puede haber violado las leyes federales de escucha e intercepción de las comunicaciones”.

Google no es dada a cometer errores tan graves como estos, y no debe salir de rositas frente a un tema tan serio. Veremos cómo se desarrolla el tema, y hasta qué punto afecta a la expansión de Buzz.