Para Mike D, Ad-Rock y Yauch es bien fácil: “What’s gonna’ set you free? Look inside and you’ll see”.

Economicón es la newsletter de privacidad y sociedad de la información de México. La escribo yo, José Soto Galindo.

• Si todavía no recibes esta newsletter en tu bandeja de correo, regístrate aquí.

Los contenidos de Economicón 55:

1. Shein: multa por robo de datos personales
2. Netflix: tratamiento intensivo de datos personales
3. Espionaje: Pegasus y otros pájaros en el alambre
4. Otras noticias de la semana

¿Quieres darte de baja de esta newsletter? Aquí

Newsletters anteriores:

• Wiki Katat: operador móvil virtual
• Inai vs. Morena y la libertad de expresión 
• Hacked! 7,331 usuarios de Twitter en México
• Universidad de Guadalajara usa tecnología china prohibida en Estados Unidos
• Guadalajara: Sonríe, estás en la cámara
  • Ver todos

1. Shein: multa por robo de datos personales

La tienda de ropa Shein mintió sobre el alcance de un robo de datos personales de sus clientes y ocultó información sobre el tipo de datos vulnerados. Deberá pagar una sanción de 1.9 millones de dólares en Nueva York.

• Zoetop, la casa matriz de Shein y Romwe, sufrió un ciberataque en 2018 que vulneró la información personal de más de 39 millones de clientes.
• Zoetop, de origen chino, notificó sólo a una fracción del total de los afectados: 6.42 millones, de acuerdo con la Fiscalía de Nueva York.
• 800,000 afectados eran ciudadanos de Nueva York.

¿Qué datos le fueron robados? Nada menos que contraseñas, información de tarjetas de crédito, nombres de los titulares de las cuentas y correos electrónicos. 

¿Por qué importa? Las compañías de la economía digital administran información confidencial de los usuarios que en manos equivocadas puede provocar daños patrimoniales y morales.

• La negligencia de Zoetop impidió que 32.5 millones de clientes adoptaran medidas de seguridad, como cambiar sus contraseñas y monitorear sus estados de cuenta.
• Los datos personales robados fueron puestos a la venta en sitios de la dark web.

Necesitamos difundir en México los casos de defensa de ciudadanos y consumidores ante vulneraciones de información personal, para motivar una vigilancia proactiva, eficaz y transparente de las autoridades locales.

2. Netflix: tratamiento intensivo de datos personales

El servicio de Netflix con publicidad estará disponible en México el 1 de noviembre. Esperen un tratamiento bien intensivo de datos personales para satisfacer los deseos y aspiraciones de los anunciantes.

• “Un mundo guiado por la publicidad es un mundo que necesita saberlo todo de su público objetivo”, escribí en julio pasado.
• “Un servicio de Netflix soportado por la publicidad exigirá a la compañía demostrar a los anunciantes que la propaganda funciona y que llega a las personas adecuadas”.

El plan costará 99 pesos (unos 5 dólares), 40 pesos por debajo del plan Básico y 200 pesos por debajo del Premium.

Las letras chiquitas del nuevo servicio dicen:

• Tendrá de 4 a 5 minutos de anuncios por hora.
• Ofrecerá un catálogo reducido.
• La calidad de video será inferior.
• Estarán prohibidas las descargas en la app.

Hasta anoche, Netflix México no había cambiado su aviso de privacidad, pero la versión vigente (del 1 de enero de 2021) ya incorpora muchas características de un tratamiento de datos con fines publicitarios:

1. Cookies y otros rastreadores de hábitos y comportamientos
2. Contadores de visitas a los sitios de Netflix
3. Identificadores de dispositivos reconfigurables (IDFA, para Apple iOS; “identificador de anuncios de Google”, para Android
4. Información de data brokers (“proveedores de datos online y offline”)
5. Información difundida en redes sociales

Información necesaria —según Netflix— para “ofrecer publicidad online más relevante y con fines de análisis y de optimización”.

En resumen, Netflix recopila:

• información personal para la entrega y cobro del servicio (nombre, correo, teléfono y ciudad del titular de la cuenta, medio de pago)
• cualquier uso y conducta dentro de su plataforma (actividad, búsquedas y otras interacciones)
• historial de reproducciones por perfiles de una misma cuenta
• marcas, modelos y versión de software de los aparatos de consumo (televisor, teléfono, tableta, consola de videojuegos, etecé)
• dirección IP, ubicación de la conexión y velocidad de internet (internet fijo, wifi o celular)

Si ya teníamos un Netflix salpicado de publicidad embebida en el contenido (o como dicen los publicistas: product placements), esperen publicidad dentro, fuera y alrededor de cualquier producto. 😛

3. Espionaje telefónico: Pegasus y otros pájaros en el alambre

¿Pegasus es el único software disponible para intervenir comunicaciones privadas?

• ¿Existen otros métodos digitales para realizar espionaje?

Entrevista con Juan Manuel Casanueva, director ejecutivo y fundador de la organización ciudadana SocialTIC.

Casanueva es un experto en el tema.

• Él y su equipo de trabajo colaboran cotidianamente —sí: el espionaje es bien frecuente— con el laboratorio de tecnología Citizen Lab para desenmascarar las intervenciones con el software Pegasus, fabricado por la compañía israelí NSO Group.

En mi canal de YouTube entrevisto a personas que saben de privacidad y sociedad de la información. Suscríbete.

4. Otras noticias

México

• Es la impunidad, Inai. Escribí en El Economista que el hackeo al Ejército mexicano quedará impune desde el régimen de protección de datos personales. La autoridad pedirá sanciones, pero no habrá quién le haga caso. “El futuro sancionatorio para la vulneración de datos personales en el Ejército ya lo conocemos: se llama impunidad”. (El Economista)
   
• Pagas o te matamos. “Si no pagas, vamos a ir por ti”, decía el mensaje que recibió un usuario de apps de crédito exprés en Durango, acompañado de un video que mostraba a personas con armas de fuego. Este es un caso de cientos que se han denunciado sobre prácticas de cobranza intimidatorias y poco éticas. Este caso fue presentado a una línea de denuncias anónimas del Ejército, expuesto en las filtraciones de millones de archivos de la Secretaría de la Defensa Nacional. (Reforma)
   
• Los vecinos quieren una Peña del Aire sin contaminación lumínica. La comunidad de esta localidad en el municipio de Huasca de Ocampo, en Hidalgo, trabaja para lograr una certificación como Parque Internacional de Cielo Oscuro y mantener la calidad de su cielo. Con ayuda de científicos, los vecinos participan en talleres y uso de herramientas de observación y escucha astronómicas. (Corriente Alterna)

Estados Unidos

• El Partido Demócrata impulsa una ley para limitar el uso del reconocimiento facial. Legisladores demócratas en la Cámara de Representantes presentaron una iniciativa de ley que pone límites al uso de las tecnologías de reconocimiento facial por parte de instancias públicas. De aprobarse, la Ley de Reconocimiento Facial obligaría a los órganos de seguridad pública a contar con una orden judicial antes de utilizar la tecnología. (TechCrunch)

España

• Un grupo de hackers difundió datos personales robados a una corporación de salud pública de Barcelona. Tres hospitales y 10 centros de salud del Consorci Sanitari Integral (CSI), de propiedad del Ayuntamiento de Barcelona, fueron afectados por un ciberataque de ransomware (secuestro y exigencia de un pago para liberar la información) mediante el cual se extrajeron 54 GB de información. El grupo se hace llamar Gold Dupont y, para evidenciar el tamaño del hackeo, filtró parte de los datos robados en la dark web. (La Vanguardia)

Gracias por leer y acompañarme en esta iniciativa sobre privacidad y sociedad de la información. Dime qué opinas respondiendo a este correo o a través de Facebook (EconomiconMx) o Twitter (@holasoto). Con cariño desde la CDMX, José Soto Galindo.

Comentarios