El ‘big data’ hace más vulnerable la seguridad de las tarjetas de crédito

Con sólo cuatro datos que indiquen el espacio y tiempo de diversas transacciones efectuadas con tarjeta de crédito, se puede identificar al 90% de los individuos de una base de datos. / SINC


El análisis y la manipulación masiva de conjuntos de datos o big data tiene el poder de transformar la manera de luchar contra las enfermedades, cambiar el diseño de las ciudades o incluso acelerar una investigación. Pero los metadatos –la información generada por los usuarios cuando usan tecnologías digitales– contienen además información confidencial. En el caso de un email o una llamada, por ejemplo, son metadatos el horario, la fecha en que se envió y la localización desde que se conectó el usuario la última vez.

Ahora, investigadores del Instituto Tecnológico de Massachusetts (MIT) y las universidades de Rutgers (EE UU) y de Aarhus (Dinamarca) han llevado a cabo un estudio para poner a prueba la eficacia de la privacidad de los usuarios de tarjetas de crédito en un mundo dominado por el intercambio masivo de datos.

Los resultados del trabajo se publican hoy en un número especial de la revista Science que analiza los retos de la privacidad en entornos de big data.

Los científicos de este estudio, liderado por Yves-Alexandre de Montjoye, investigador de Media Lab del MIT, observaron durante tres meses los datos generados por las transacciones financieras de 1,1 millones de personas, realizadas con tarjetas de crédito, que vivían dentro de un país no identificado de la Organización para la Cooperación y el Desarrollo Económico (OCDE).

De Montjoye y sus colegas han demostrado que con cuatro datos relativos al espacio y al tiempo de las operaciones es suficiente para identificar al 90% de los individuos en una base de datos. Además, encontraron que si se añadía un dato extra –como el precio de una transacción concreta– se incrementaba significativamente la probabilidad de identificación, en concreto, un 22% más.

Los datos analizados eran anónimos, por lo que no conocían los nombres, los números de cuenta u otros identificadores que ayudaran a identificar al individuo. Incluso cuando los datos eran menos específicos –por ejemplo, las compras realizadas dentro de un área geográfica determinada en vez del lugar concreto de la tienda, o manteniendo un margen de 15 días desde la transacción– las personas se podían identificar añadiendo una mínima información adicional.

Entre las conclusiones, el equipo señala que las mujeres y las personas con ingresos mayores son más fáciles de identificar a través de este método porque tienen patrones distintivos en la forma en que dividen su tiempo entre las tiendas que visitan. Los resultados, añaden los autores, indican que se hace necesario mejorar las tecnologías de protección de los datos anónimos para incrementar la seguridad.

Vida privada y minería de datos

Otros artículos, publicados en el número especial de Science, hacen hincapié en la necesidad de mejorar el equilibrio entre la vida privada y los beneficios potenciales que se encuentran en la minería de datos.

«Con cada teléfono y con cada conexión a internet, las personas contribuyen a construir paquetes masivos de información personal, disponible para vendedores, investigadores, organismos oficiales y otras entidades», escribe Susan Landau, analista de privacidad de Google.

Según Landau, «las formas tradicionales de protección de la privacidad incluyen la concienciación a las personas de que se están recogiendo sus datos de carácter personal y usándolos sin su consentimiento. Ninguno de estos métodos funciona realmente bien», subraya.

La investigadora pone como ejemplo un estudio de 2008 que mostraba que un usuario medio necesitaría un total de 244 horas para leer las políticas de privacidad, incluidas en las webs a las que accedió durante un año.

También destaca que las formas de almacenar los datos son tan complejas y de tan alto alcance que las formas tradicionales de protección de la privacidad están fuera del alcance de las personas. En su lugar, propone que la privacidad individual se proteja a través de la tecnología y la regulación legislativa tanto nacional como internacional para un mayor control del uso de los datos.

“La combinación de tecnología, política y leyes es la mejor forma de controlar las incursiones de las empresas y los gobiernos”, opina.

Derecho al olvido

En una segunda parte del especial, Abrahan Newman, investigador de relaciones internacionales de la Universidad de Stanford, se centra en una de esas reglas, puesta en marcha este año: el derecho al olvido. Dicho reconocimiento, aprobado tras una sentencia del Tribunal de Justicia de la Unión Europea, permite a los ciudadanos pedir a los motores de búsqueda como Google que les desvinculen de artículos sobre sí mismos que consideren irrelevantes, inexactos o excesivos, así como si afectan de alguna manera al libre desarrollo de alguno de sus derechos fundamentales.

Newman señala que la sentencia aún no ha supuesto una carga financiera o logística significativa, ni tampoco una limitación de la libertad de expresión, tan temida por sus detractores. Pero, en su opinión, «el fallo no determinó cómo se habría de regular la recogida de datos personales de distintas formas en todo el mundo».

En la última parte del especial, Alessandro Acquisti, profesor de sistemas de información de la universidad estadounidense de Carnegie Mellon, indica que la cuestión de la privacidad tiene ciertas raíces históricas y que este asunto «es el gran problema digital de nuestra era».

En primer lugar, señala, «la privacidad ha sido siempre una idea flexible, y cómo la gente la valore depende de la información que se esté compartiendo y el contexto en el que se haga». Además, «no es sólo que la gente sea o no consciente de lo que está compartiendo, sino que pueden incluso no estar seguros de sus propias preferencias sobre su privacidad”.

El Panorama de Ciberamenazas de 2014

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés) ha presentado esta semana en Madrid El Panorama de amenazas 2014 de ENISA, el tercer informe anual que recoge los principales peligros asociados a los delitos tecnológicos.

El análisis destaca cambios importantes tanto en las amenazas principales –ataques más complejos y eficaces a las funciones de seguridad vitales de internet–, como en las fuerzas del orden y los proveedores de seguridad, que mejoraron la coordinación internacional de sus operaciones.

Muchos de los cambios en los delitos pueden atribuirse a la coordinación y movilización de la cibercomunidad. No obstante, todo parece indicar que el futuro panorama de las amenazas digitales mantendrá una alta actividad.

Según el documento, pese a los buenos resultados, el gran número de violaciones de datos refleja la gran eficacia con la que los agentes de las ciberamenazas explotan las deficiencias de seguridad en las empresas y los gobiernos. Las principales enseñanzas del informe ponen de manifiesto la “dejadez” en materia de ciberseguridad como causa principal de las violaciones en un 50% de los casos.

Referencias bibliográficas:

Y.-A. de Montjoye et al. «Unique in the shopping mall: On the reidentifiability of credit card metadata»Science (2015).

«Control use of data to protect privacy», by S. Landau at Worcester Polytechnic Institute in Worcester, MA. Science Magazine (2015).

«What the “right to be forgotten” means for privacy in a digital age», by A.L. Newman at Georgetown University in Washington, DC. Science Magazine (2015).

«Privacy and human behavior in the age of information,» by A. Acquisti; L. Brandimarte; G. Loewenstein at Carnegie Mellon University in Pittsburgh, PA. Science Magazine (2015).

 

(SINC)

Los comentarios están cerrados.