Si fuiste afectado por Cambridge Analytica, tu información privada puede haber estado pública para cualquiera en GitHub

^{Wikimedia Commons}

A comienzos de este año se supo que la empresa de big data llamada Cambridge Analytica había extraído información privada de más de 80 millones de usuarios de Facebook y la había usado para ayudar en la campaña que llevó a la presidencia a Donald Trump, y a la separación del Reino Unido de la Unión Europea, un proceso también conocido como Brexit.

El escándalo fue tan grande que hizo que el CEO de Facebook, Mark Zuckerberg, fuera citado para declarar al senado estadounidense. Y, aunque saliera bien parado y tomara medidas para evitar más filtraciones, el caso parece estar lejos de terminar.

Según una nueva investigación de New Scientist, la información de aproximadamente 3 millones de usuarios fue distribuida a través de la página web para desarrolladores GitHub por un grupo de académicos de la Universidad de Cambridge. El sitio no cuenta con las medidas de seguridad necesarias para proteger la privacidad de los perjudicados.

De acuerdo al medio inglés, los académicos que desarrollaron la aplicación 'MyPersonality' (con la que se recolectó la información de los usuarios), protegieron los datos de los usuarios mediante un nombre de usuario y una contraseña. Sin embargo, un grupo de investigadores publicó estos credenciales de acceso a los mismos en Internet.

Para tener acceso al conjunto de datos de 'MyPersonality', las personas tenían que registrarse como colaboradores del proyecto. Según NewScientist, más de 280 personas de casi 150 instituciones como Facebook, Google, Microsoft y Yahoo realizaron el registro. Estos investigadores tuvieron que firmar un acuerdo mediante el que aseguraran que no se lucrarían con dicha información. A pesar de eso, un grupo adherido a esta investigación compartió los credenciales en GitHub.

Por lo tanto, todas aquellas personas que se hicieron con estos credenciales a través del sitio colaborativo pudieron acceder a los datos de hasta tres millones de personas. Una información, que era de carácter anónimo, ya que los términos de la aplicación permitían a 'MyPersonality' utilizar y distribuir los datos de forma anónima de modo que la información no pueda rastrearse hasta el usuario individual.

Sin embargo, debido a la información presente en el conjunto de datos, se podía ubicar con cierto nivel de certeza al usuario. Cada usuario recibió una identificación única, que relacionó datos tales como su edad, sexo, ubicación, actualizaciones de estado, resultados en el cuestionario de personalidad y más.

"Podrías identificar a alguien en línea a partir de una actualización de estado, sexo y fecha", dice Pam Dixon del World Privacy Forum. "No solo es una mala práctica de seguridad, es una profunda violación ética permitir que desconocidos accedan a los archivos".

Esta información estuvo disponible en Internet durante cuatro años, lo que significa que aquellos desarrolladores que tuvieron acceso a esos datos pudieron hacerlo de manera muy sencilla y pudieron lucrar si así lo hubiesen decidido.

Por ahora la aplicación ha sido eliminada y se han deshabilitado las credenciales disponibles en GitHub. Mientras tanto, Facebook, ha anunciado que eliminó 200 aplicaciones por infringir la política de datos.

Victor Román
Esta noticia ha sido publicada originalmente en N+1, ciencia que suma.

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que suma: www.nmas1.org”.​​​​