La información que envía cualquier usuario de internet cuando manda un email incluye muchos datos, como el navegador que está utilizando, el sistema operativo o la dirección IP. Lo normal es pensar que todo esto está a salvo. O que por lo menos es de difícil acceso. Pero no es así.
Cada vez más están proliferando herramientas que son capaces de obtener información de un tercero con tan solo enviarle un email. Una de ellas es Streak.
Esta herramienta permite saber aspectos tales como si se ha leído un email, cuándo se ha hecho y lo más espeluznante, desde qué ubicación exacta.
La manera que tiene de hacerlo es muy sencilla. Incrusta una imagen en el correo electrónico enviado que se descarga automáticamente cuando se abre. Según Fernando de la Cuadra, director de Educación de Eset España, "esas imágenes con un código extra para identificarlas no están en el correo sino que se descargan desde el servidor que se esté utilizando, que es el que ofrece toda esa información".
El director de Comunicación y Laboratorio de Eset, Josep Albors, ha probado esta plataforma para Teknautas. La conclusión a la que ha llegado es que Streak utiliza las direcciones IP pero estas no son lo suficientemente específicas para saber la localización exacta. Aunque sí una ubicación aproximada.
"Esto se debe a que en algunas ciudades cada centralita de teléfonos tiene cientos de usuarios registrados. En otros países como por ejemplo EEUU utilizan más centralitas y se puede ubicar mejor a los internautas", ha explicado Albors.
Una herramienta "que da escalofríos"
En cualquier caso, no resulta muy complicado imaginar una situación en la que esta herramienta podría ser mal utilizada como en supuestos de acoso o amenazas. Pero no hace falta irse tan lejos.
Y es que según Fernando de la Cuadra esta estrategia la llevan poniendo en práctica muchas empresas desde hace tiempo. "Que además puedan saber dónde te encuentras, da escalofríos".
"Muchas compañías envían emails promocionales y al hacer click en las imágenes que adjuntan accedes a una página web que en el momento averigua si por ejemplo te interesa algún producto en particular o te quieres ir de vacaciones", ha añadido.
También existen otras aplicaciones como por ejemplo MailTrack que si bien no geolocaliza, sí es capaz de poner el doble check de Leído en una cuenta de Gmail. Esta herramienta, creada desde Barcelona por una startup fundada por Nacho González (creador de empresas como InfoJobs y Niumba), Gil Casadevall y Gabi García, sirve como acuse de recibo. Es decir, que refleja si el receptor de un email lo ha leído.
Según ha explicado a Teknautas Gabriel García, Product Manager de la joven compañía, "lo que hacemos es enviar una imagen de un píxel por un píxel. Cuando el receptor lo abre esa imagen se carga a un servidor, que es el que nos ofrece esa información".
"El típico acuse de recibo ya existía, pero necesita que el otro usuario lo valide. Nuestra herramienta permite saltarse este protocolo", ha añadido.
Y de momento la idea les está funcionando. En menos de 3 meses desde su lanzamiento en beta, MailTrack ha alcanzado las 20.000 instalaciones. Algo en lo que tiene que ver y mucho el último cambio en la política de Google.
Google favorece el rastreo de particulares
Antiguamente, cuando recibías un email en el correo del gigante de internet, este te preguntaba si querías descargarte las imágenes. Pero tras el último cambio de su política ya no lo hace.
"Ahora ya no pregunta porque las carga por defecto, lo que permite que se lleve a cabo un rastreo de los usuarios", ha explicado Gabriel García. Sin embargo, esto se puede cambiar en Configuración y luego Imágenes. Allí aparece la opción de Cargar imágenes por defecto o Preguntar antes.
Al respecto, el marco jurídico legal aquí en España es muy claro. Según Pablo Fernández Burgueño, socio del despacho de abogados Abanlex, "la dirección IP, los datos de geolocalización y la confirmación de una imagen concreta, son datos de carácter personal. Las personas físicas pueden usar esta información sin apenas restricciones o límites legales, siempre que el correo electrónico, que se usa para obtenerla, sea parte de una conversación exclusivamente personal o doméstica (art 2 LOPD)".
En el resto de casos (empresas, autónomos, partidos políticos...) sí hay restricciones. Una de ellas es el consentimiento previo del afectado. "Esto significa que los datos solo podrán ser tratados legalmente después de que el usuario haya dado su consentimiento informado (art. 6 LOPD) para que sean obtenidos y usados con un fin determinado", ha añadido el abogado.
El otro es la prohibición de la obtención excesiva. Lo que se traduce en que además del consentimiento referido, sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (art. 4 LOPD).
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.