Transparencia y privacidad

🫆 La obsesión por identificar

José Soto Galindo

15 agosto, 2025

Si quieres sеr alguien, no puedes ser tú. Tienes que ser alguien que no seas tú. Y si quieres ser tú, no vas a ser nadie, sólo serás tú.— Ca7riel & Paco Amoroso, #TETAS

¡Bienvenido! Soy José Soto Galindo y esta es mi newsletter sobre privacidad y sociedad de la información. Edición 248°.

💵 Economicón vive de sus lectores:

  • Si te da la billetera, compra una suscripción de pago en Substack o dona con PayPal.
  • Tu ayuda será bien correspondida con charlas personalizadas, documentos exclusivos y consultas directas.

🫆 La obsesión por identificar

Imagen original de Spotify, con el logo del servicio al centro de la psicodelia.
Imagen original de Spotify, con el logo del servicio al centro de la psicodelia.

Vivimos una obsesión por identificar a todos casi para cualquier cosa y siempre con el mismo fin: cumplir leyes cada vez más restrictivas y que ponen en riesgo la privacidad y la seguridad de las personas.

  • 🇬🇧 Spotify escanea tu rostro en Reino Unido para confirmar que eres adulto y evitar que niños y adolescentes escuchen música o podcasts subidos de tono.
  • 🇨🇱 Chile prueba un sistema para pagar el transporte público con identificación facial e impedir el uso indebido de beneficios públicos.

🇲🇽 México construye los cimientos para el uso masivo e intensivo de la identificación biométrica con una nueva cédula de identidad que será obligatoria para contratar servicios privados y recibir beneficios sociales.

  • Aprovechando el aventón. Los administradores de Ecobici, el sistema de préstamo público de bicicletas en la Ciudad de México, estudian la aplicación de biometría facial para usar el servicio y menguar los robos de unidades.

Es desproporcionado. ¿Evitar que un niño escuche una canción majadera es proporcional a la entrega de datos personales sensibles? ¿O un traslado en el autobús público? ¿O una bici prestada?

En todo caso, la identificación facial debería ser una opción y no la única manera de recibir servicios públicos o privados.

  • Sin opciones no existe el consentimiento y sin consentimiento estamos claramente ante el abuso y la discriminación.

Existen otras maneras de cumplir los mismos objetivos sin recabar y tratar datos biométricos, considerados datos sensibles por su condición única e irremplazable y cuya pérdida o vulneración representa afectaciones irreparables.

  • 👁️ La narrativa de la eficiencia oculta la verdadera obsesión gubernamental: controlarnos a todos.
  • 👮🏽 Aceptar su aplicación ahora será normalizar su omnipresencia mañana a mayor escala.

La ley se disfraza de herramienta para mejorar servicios, combatir delitos o reducir los “abusos” de los ciudadanos, nunca los abusos del gobierno.

Lo único que se reduce es la de nuestro espacio privado de deliberación y autodeterminación.

123456: la contraseña de McDonald’s

McDonald’s y la nueva filtración de datos, en una ilustración de Gibrán Aquino para la ONG R3D. https://r3d.mx/2025/07/25/el-bot-de-contratacion-de-mcdonalds-revela-informacion-personal-de-aspirantes-a-trabajar-con-la-empresa/
McDonald’s y la nueva filtración de datos, en una ilustración de Gibrán Aquino para la ONG R3D.

En medio de tanta identificación se informó de una nueva filtración de datos personales en posesión de McDonald’s, la mayor cadena de hamburguesas del planeta y valuada en la bolsa de Nueva York en 220,000 millones de dólares. Dinero tiene, pues.

Una plataforma de McDonald’s para contrataciones sufrió una fuga de 64 millones de registros con datos personales de aspirantes a un puesto de trabajo: nombres completos, correo electrónico, números de teléfono e historial de chats.

🤦🏽 “123456” era el nombre de usuario y la contraseña para acceder a la plataforma, operada con inteligencia artificial de la empresa Paradox.ai.

🔓 ¿Cómo ocurrió? Los investigadores de seguridad Ian Carroll y Sam Curry adivinaron las credenciales y lograron acceso a una base de datos con la información de los aspirantes.

El problema es mayor cuando detrás del muro de seguridad hay un montón de datos personales suficientes para causar graves daños morales y patrimoniales a sus titulares:

1. Robo de identidad. La combinación de nombres, correos y teléfonos es perfecta para suplantar a las personas. Un estafador puede usar esos datos para abrir cuentas bancarias, solicitar tarjetas de crédito o incluso préstamos a nombre de los afectados.

  • Si estás en México, el crimen organizado podría enviarte una invitación de trabajo falsa y reclutarte para sus empresas ilegales. Incluso podría llamarte por teléfono, sabiendo que aplicaste a un puesto en McDonald’s, y engañarte.

2. Ataques de phishing. Alguien podría enviar correos masivos usando la imagen de McDonald’s para solicitar información adicional o dar clic en enlaces maliciosos. Un correo tipo “Problemas con tu solicitud en McDonald’s” es más creíble si alguien sabe que realmente aplicaste a un puesto.

“Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. En cuanto supimos del problema, solicitamos a Paradox.ai que lo solucionara de inmediato y se resolvió el mismo día en que nos lo informaron”, informó McDonald’s en un comunicado citado por la revista Wired.

Si le pasa a McDonald’s…

La legalidad de notice and takedown

Última sesión de la Primera Sala de la Suprema Corte, el 13 de agosto de 2025.

🌶️ Artículo 19 perdió la última batalla en México para ilegalizar notice and takedown, el mecanismo de notificación y retirada que permite a supuestos titulares de derechos de autor bloquear contenido publicado en internet sin pasar previamente por un proceso judicial.

  • El mecanismo está previsto en el Capítulo 20 del acuerdo comercial de México con Estados Unidos y Canadá, conocido como T-MEC o USMCA, y fue incorporado a la Ley Federal del Derecho de Autor en 2020.
  • Artículo 19 es una organización no gubernamental dedicada a la defensa de la libertad de expresión.

Esta ONG lo intentó de distintas maneras y las perdió todas en la Primera Sala:

Este último fallo cierra la pinza litigiosa sobre notice and takedown y da plena constitucionalidad al mecanismo.

¿Por qué importa? Notice and takedown —o notificación y retirada, en español— pone los intereses de quienes reclaman derechos de autor por encima de la libertad de expresión y el derecho a la información de las personas.

Estas decisiones de la Corte autorizan que las plataformas de internet, como YouTube o Instagram, y las empresas de alojamiento digital, como SuEmpresa o GoDaddy, retiren contenido publicado por sus usuarios y clientes que supuestamente infrinja los derechos de autor de otras personas, sin pruebas ni orden judicial.

La naturalización de notice and takedown abre la puerta a la censura en un país adicto a silenciar voces incómodas o criticonas.

Newsletters anteriores

Sobre mí

Soy José Soto Galindo, periodista. Fui director de Medios del Inai. Edité El Economista en línea de 2010 a 2024 y antes fui editor en Público-Milenio (2001-2009). Soy maestro en Transparencia y Protección de Datos Personales por la UdeG y tengo especialidad en derecho de las telecomunicaciones (IIJ-UNAM) y derecho de las tecnologías de la información (ITAM). He dado clases de periodismo en la Universidad de Guadalajara, la Carlos Septién, el ITESO y la Anáhuac Oaxaca.

Escríbeme si quieres:

  • 👩🏽‍⚖ Enseñar a tu equipo de abogados a comunicarse sin abogañol.
  • 👩🏻 Aprender lo más relevante de la nueva ley de datos en México.
  • 📬 Desarrollar una estrategia de newsletters en tu organización.
  • 📖 Escribir tu propio libro pero no tienes tiempo de hacerlo tú mismo.

💵 Economicón vive de sus lectores:

  • Si te da la billetera, compra una suscripción de pago en Substack o dona con PayPal.
  • Tu ayuda será bien correspondida con charlas personalizadas, documentos exclusivos y consultas directas.

Privacidad y datos personales

  • Estados Unidos: Meta illegally collected data from Flo period and pregnancy app, jury finds (Ars Technica)
  • Estados Unidos y Ecuador compartirán información biométrica para identificar criminales (Primicias)
  • Estados Unidos: We caught companies making it harder to delete your personal data online (The Markup)
    • Data Brokers Are Hiding Their Opt-Out Pages From Google Search (Wired)
  • Israel relying on Microsoft cloud for expansive surveillance of Palestinians (The Guardian)
  • México: Tiendas Oxxo conectará su videovigilancia al sistema público de la Ciudad de México (Milenio)
  • Perú crea Plataforma Nacional de Identidad Digital (DPL News)
  • Rusia: Going online in Russia can be frustrating, complicated and even dangerous (Los Angeles Times)
  • Uso legítimo de datos biométricos en cédulas de identificación en un Estado democrático de derecho (Videre)
  • Cómo instalar una VPN en tu teléfono (Fast Company)

Comentarios

economicon

Newsletter

Youtube / Spotify / TwitterFacebook