Muchas apps incluyen una función de suplantación del usuario que permite al personal de administración e IT acceder a determinadas cuentas como si fuesen los propios usuarios.
Imagina que, por el simple hecho de tener una cuenta en una app, estás sin saberlo otorgando acceso a tus datos a los empleados de esta empresa, con las mismas condiciones como si hubieses entrado con tu usuario y contraseña. Esto se da con la mayoría de plataformas que usamos cada día. La realidad es que hay herramientas de suplantación del usuario incluidas en el software de muchas empresas de tecnología, como Facebook y Twitter, las cuales no sólo permiten a los empleados acceder a tu cuenta como si fueses tú mismo, sino hacerlo sin tu conocimiento. Normalmente no se notifica al propietario de la cuenta cuando esto ocurre, y tampoco se precisa su consentimiento para llevarlo a cabo. Conforme a un artículo reciente publicado en OneZero, «…estas herramientas son generalmente aceptadas por los ingenieros como una práctica común y muy rara vez se informa a los usuarios”. El problema es que esta funcionalidad se puede utilizar, y ha sido utilizada, con fines maliciosos por parte de los empleadas para acceder a información privada de otras personas.
El fracaso alrededor de la funcionalidad “Modo Dios” de Uber.
En los últimos años Uber ha sido cuestionado por sus políticas de privacidad y, en concreto, por sus cuestionables funcionalidades de suplantación, conocidas como “Modo Dios”. Mediante el uso de esta herramienta, los empleados podían localizar a cualquier usuario y se acusó a los empleados de Uber de haberlo aplicado con todo tipo de usuarios, desde políticos famosos hasta relaciones personales. Tras acabar estas prácticas en el foco de los legisladores estadounidenses, Uber se disculpó por el mal uso de dicha funcionalidad por parte de algunos de sus ejecutivos y afirmó que actualizaron sus políticas para evitar tales resultados en el futuro. Sin embargo, Uber no es la única app de la que resulta este tipo de brecha de privacidad, sino que, por ejemplo, Lyft también cuenta con herramientas parecidas, entre otras.
Funcionalidad de suplantación del usuario como parte de las herramientas más populares de programación.
La funcionalidad de suplantación se extiende mucho más allá de las principales compañías. Algunos lenguajes de programación muy populares como Ruby y Laravel lo ofrecen, y además de un modo en el que normalmente no se requiere el permiso de los usuarios y tampoco notificarles de que se ha dado un acceso de este tipo. Es una práctica muy común entre desarrolladores el hecho de contar con una lista blanca de usuarios a los que se les concede acceso al modo de suplantación y, por tanto, se les permite acceder a la cuenta como si fuesen los dueños de la misma.
¿Cómo se podrían hacer más seguras las funcionalidades de suplantación?
Algunas empresas ya han aplicado cambios a sus políticas y procedimientos para hacer sus herramientas de suplantación más seguras para sus clientes. Por ejemplo, Uber, a raíz de los problemas legales generados por el “Modo Dios”, han convertido en requisito el hecho de que los empleados deben requerir acceso a las cuentas a través de unas determinadas garantías de seguridad. Otras empresas lo han resuelto mediante la cesión de la gestión al usuario, que tendrá que invitar específicamente a los administradores para que puedan acceder.
Conforme al Dr. Bostjan Makarovic, Socio Gerente de Aphaia, «Mientras que puede haber razones legítimas para ver un perfil a través de los ojos del usuario a quien éste pertenece, como desarrollo web y reparación de errores, el RGPD requiere que los intereses de privacidad de los interesados no se sobrepongan. Esto sólo puede asegurarse por medio de una evaluación que debe llevarse a cabo antes de tales operaciones”.
