Compartir datos con aplicaciones de terceros como Instafest, el secuestro de un dispositivo NAS y los influencers virtuales: no te pierdas el consultorio 124 de Maldita Tecnología

1 month ago 26

Queridas malditas y queridos malditos, un martes más volvemos a la carga con las dudas más candentes del escenario tecnológico. En los últimos días seguro que, si estás en redes sociales, habrás visto que los usuarios han compartido carteles de su propio festival. No se trata del Wrapped anual de Spotify, sino de una app llamada Instafest, no oficial y creada a través de una API. Por si la has usado o estás pensando en ello (tanto esta como cualquier otra aplicación de terceros), te contamos qué debes vigilar antes de hacerlo para no correr riesgos con tus datos.

También explicamos los pasos que debemos seguir si nos secuestran la información que tenemos en un NAS, un dispositivo similar a un disco duro en el que la información se almacena de forma online, y nos piden un rescate económico.

Por último, abordamos qué son los influencers virtuales, cómo se crean (tecnológicamente hablando) y cuál es el interés que tienen las marcas en ello. Por supuesto, como siempre, ponemos la lupa en las implicaciones psicológicas que tiene estar viendo constantemente avatares tan perfectos e idealizados, que incluso pueden confundirnos si olvidamos que no son reales.

¿Quieres que hablemos de algún otro tema? Mándanos todas tus dudas a nuestro chatbot de WhatsApp (+34 644 229 319), a este formulario o con un mensaje a nuestro Twitter o al correo tecnologia@maldita.es

¿Es seguro usar una aplicación no oficial como Instafest o tiene riesgos compartir tus datos?

Sí, ya ha llegado esa época del año en que las stories de tus amigos en Instagram se han llenado del esperado Wrapped de Spotify, ese ‘regalo’ que la plataforma de reproducción de música vía streaming hace cuando se acerca al final de año, y que consiste en un recopilatorio de los artistas y canciones que más has escuchado durante los últimos 12 meses.

Pero este año, unos días antes de que Spotify lanzara su Wrapped oficial personalizado para cada usuario, en redes sociales se viralizó otra tendencia: Instafest, una forma de conocer tus artistas más escuchados pero en forma de cartel de un festival. Esta opción ha gustado mucho a los melómanos y fans de la música, ya que podían ver su festival “perfecto” hecho realidad como si del Sonorama, Primavera Sound o Coachella se tratase.

Pero hay que anotar un par de cosas importantes sobre Instafest. Se trata de una aplicación no oficial que no está creada por Spotify, sino que ha sido diseñada por un estudiante de informática a través de la API de Spotify, y que no tiene que ver con el Wrapped anual de la plataforma (aunque hasta Google lo haya equiparado y el logo de Spotify salga en la página web de la app). Esto lo ha confirmado a Maldita.es el propio diseñador de Instafest, Anshay Saboo: “No es una aplicación oficial de Spotify, sino un sitio web de terceros que utiliza la API para desarrolladores de Spotify para desarrollar y mostrar los gráficos del festival”.

Aquí, como en toda aplicación de terceros, hay alguna otra cosa que tenemos que tener en cuenta: en el caso del Wrapped, Spotify usa los datos que tiene de tu historial musical como usuario de la plataforma. Sin embargo, para que Instafest funcione, tienes que compartir esos datos de tu perfil de Spotify (o de Apple Music o Last.fm, ya que también está la opción para estas plataformas). Al entrar en la web de Instafest, te pide que inicies sesión y, en el siguiente paso, solicita que aceptes el permiso para ver datos de tu cuenta de Spotify (nombre, nombre de usuario, imagen, seguidores y listas públicas) y tu actividad.

Vale, y esto, para todas los amantes de la música emocionados con su cartel de festival propio, ¿qué implica? “El riesgo principal que corres es que no sabes el uso que se le va a dar a los datos que van a recopilar. Hay una máxima en Internet que dice que cuando el producto que te ofrecen es gratis, es que el pago eres tú o mejor dicho: tus datos. Por eso en aquellos casos en los que no esté explicitado de forma clara los datos a obtener y el uso posterior de ellos de forma clara, no se debería hacer uso de él”, indica a Maldita.es Alberto Amado, ingeniero informático y maldito que nos ha prestado sus superpoderes. En Maldita.es también te hemos hablado de cómo escuchar álbumes y canciones nuevas antes que nadie tampoco es gratis, porque cedemos datos al reservar esas novedades.

Además, Amado nos explica que le preocupa que con la API de Spotify se pueden obtener muchos más datos, por ejemplo, no solo conocer gustos musicales, también tendencias en podcasts y audiolibros, y aún más: se podría obtener el correo electrónico del propietario de la cuenta de Spotify, y se podría “posteriormente comerciar con ellos y utilizarlos para campañas de spam o phishing”. Este tipo de riesgos no están asociados a la aplicación Instafest particularmente, pero este tipo de recomendaciones se dan porque en ocasiones se explotan aplicaciones de terceros que se conectan a grandes plataformas para colar agujeros de seguridad.

En este punto, antes de dar ningún permiso, lo que debemos hacer es leer la Política de Privacidad de la app que vayamos a usar para ver qué se quiere hacer con esos datos. ¿En qué deberíamos fijarnos? “En los datos que se van a obtener y el tratamiento que se le va a dar, y en si se van a compartir los mismos con terceros, aunque deberían solicitar esta autorización expresamente”, recuerda Amado.

En el caso de Instafest, su Política de Privacidad es muy corta. En ella se indica que al utilizar Instafest se acepta el uso del nombre de usuario de la cuenta y la información sobre los artistas que más ha escuchado, y que ninguno de los datos de la cuenta utilizados por Instafest se almacena o recoge ni se comparte con terceros.

Política de Privacidad de Instafest.

Anshay Saboo ha ratificado esto a Maldita.es pero no ha aportado detalles sobre la seguridad y la privacidad de los datos. “Los usuarios tienen que permitir explícitamente que utilicemos sus datos accediendo a su cuenta de música y también pueden cancelar ese permiso en cualquier momento. No almacenamos ni compartimos ningún dato con nadie. Lo que obtenemos de su cuenta es su historial musical y sólo lo mostramos en el cartel del festival. No hay ningún problema de seguridad o violación de datos”, asegura.

Sin embargo, para Alberto Amado “el hecho de que la Política de Privacidad sea tan escasa deja las manos libres para hacer un uso completo de la API y de los potenciales datos a obtener a través de ella”. ¿Sería ilegal que se mintiera en algo que el usuario está aceptando? Lo sería, pero como recuerda Amado es complicado llegar a término en un juicio así si el diseñador de un producto está en Estados Unidos y tú en Europa. Es algo que sucede hasta en los procesos con las grandes tecnológicas.

Ambos muestran tus gustos musicales, pero recuerda que Instafest no es una aplicación oficial que venga directamente de Spotify.

Como decíamos, estas recomendaciones y este resumen de riesgos no es exclusivo de esta aplicación, pero sí sirve como ejemplo para recordar la importancia de informarse sobre qué puede haber por detrás de cualquier aplicación de terceros. En cualquier caso, si usas una app así, es importante que después de utilizarla revoques el permiso que diste para que acceda a tu perfil. Si no, la aplicación seguirá teniendo acceso a tus datos. Esto puede hacerse en Spotify > Perfil > Cuenta > Aplicaciones/Apps, y aquí puedes eliminar los accesos. No está de más hacer eso de vez en cuando con todas nuestras plataformas, ya que a veces damos permiso a servicios que ni recordábamos. Mantenerlo actualizado y limpio ayudará a la seguridad de tus datos.

Para llegar a la administración de las aplicaciones en Spotify, debes ir a Perfil, Cuenta, Apps y aquí podrás quitar acceso a las aplicaciones que ya no necesites.

¿Qué podemos hacer si tenemos un NAS en casa, nos secuestran la información contenida en él y sólo dicen liberarlo a cambio de un pago?

Es una pregunta que nos habéis hecho a través de nuestro buzón de dudas tecnológicas, aunque antes tenemos que ponernos un poco en contexto: un NAS es un dispositivo parecido a un disco duro. Su nombre representa las siglas en inglés de Network Attached Storage, que en español significa almacenamiento conectado a la red. Sirven para guardar fotografías, vídeos, documentos y, en general, cualquier archivo que queramos tener almacenado o copiado. Con una particularidad: están conectados a internet, así que, en realidad, la información que guardamos en él se almacena de forma online. Digamos que es como tener una pequeña ‘nube’ particular en casa.

Que esta unidad de almacenamiento esté conectada a internet es útil, porque implica que podremos consultar nuestra información de forma remota, a diferencia de un disco duro sin conexión, que tendríamos que llevar de un lado a otro. Sin embargo, eso mismo también implica que pueda ser vulnerado a través de la red, que es lo que le ha ocurrido a uno de nuestros malditos: su NAS ha sido objetivo de un ataque por ransomware, ya que asegura que alguien ha secuestrado toda la información que contenía y le piden un rescate por desencriptarla. ¿Cuáles son los pasos a seguir en este caso?

El primer paso, más allá de cualquier pauta que podamos dar a nivel técnico, es evitar pagar de primeras y acudir a la Policía, tal y como nos recomienda nuestro maldito desarrollador de software Mario Sánchez, quien nos presta sus superpoderes.

Con él coincide Santiago Saavedra, ingeniero informático especializado en servicios ‘cloud’ y software libre y cofundador de iuvia, que recomienda contactar con la Policía o la Guardia Civil, teniendo en cuenta que el acceso a sistemas informáticos sin autorización y la alteración o daño de los datos que contiene está tipificado en el Código Penal (art. 264).

Más allá de este paso, que poco tiene que ver con la tecnología, Saavedra afirma que es importante tener en cuenta la estructura del NAS: “Si tiene dos discos (en el que uno es una copia del otro, usando una tecnología como RAID 1), yo sacaría uno de los discos y compraría y pondría otro igual: en el mejor de los casos ahora tenemos un disco original, y una copia encriptada nueva”, asegura.

Esto en el caso de que el NAS esté todavía encendido, en funcionamiento, y la persona propietaria todavía tenga acceso a él: “Puede ser interesante hacer un volcado de la memoria RAM, por si estuvieran en ella todavía las claves de cifrado con las que se hizo el ransomware”, detalla Saavedra.

Las copias de seguridad son, según ambos tecnoespecialistas, la única manera de salvar algo de la información contenida en el dispositivo si no se pretende pagar a los ciberdelincuentes, algo que no está nada recomendado: “En los casos que he conocido de cerca, la información se pudo recuperar por copias paralelas o externas que no fueron afectadas. Siempre se acaba perdiendo algo, pero es lo único que se puede hacer si no se quiere pagar”, avisa Sánchez sobre ataques con ransomware. Al final, el pago a los atacantes suele ser una de las soluciones preferidas por las empresas, ya que se ve como la única manera de recuperar la información.

En cuanto a invertir el dinero en algún método para salvar la información cifrada, Saavedra señala que existen servicios de recuperación que, dependiendo de la tecnología del disco, pueden llegar a recuperar los datos o parte de los datos escritos en él. Alerta de que suelen ser “caros”, pero suponen una alternativa.

Como siguiente paso, Saavedra recomienda encontrar por dónde ha entrado el malware para evitar que vuelva a pasar: “Comprobar si ha sido una vulnerabilidad de una contraseña, del software del NAS, o de algún otro problema y solucionarlo. Si es responsabilidad del fabricante del NAS, pedírsela. A lo mejor no ha sido el NAS: ha sido un equipo conectado a él y se ha propagado el ransomware desde el ordenador por estar sincronizando ficheros con el NAS. Es importante establecer el punto de entrada para saber cómo protegerlo”, clarifica.

Los NAS son dispositivos producidos por diferentes fabricantes, por lo que habrá ocasiones en las que podamos pedirles asistencia cuando ocurra algún problema con ellos. Por ejemplo, en 2021 os hablamos de cómo una brecha de seguridad en un tipo de estos discos duros con acceso remoto se estaban formateando si no se desconectaban de la red. En este caso, eran dispositivos NAS de Western Union, por lo que los usuarios acudieron a esa empresa para buscar una solución al problema técnico.

Por último, Saavedra nos recuerda la importancia de la prevención a la hora de guardar archivos personales en cualquier tipo de almacenamiento: por un lado, seguir un principio que llama “1-2-3” y que consiste en tener al menos tres copias de seguridad: la original y dos copias en medios diferentes, una de ellas en un espacio offline. Por otro, recomienda configurar la copia que está conectada a internet de modo que no se puedan eliminar datos antiguos: “De esa forma, en caso de un ataque con ransomware se puede volver a una versión anterior para encontrar los datos antiguos sin cifrar”.

“Por ejemplo, en los NAS de Synology, existe una opción llamada ‘Hyper Backup’ que permite hacer una copia cifrada del NAS offsite (sin conexión), teniendo que guardar la clave externamente en algún lugar, y manteniendo una copia en Amazon Glacier, un disco externo o incluso en otro NAS”, recopila.

Si te quedan dudas sobre el funcionamiento de la ‘nube’, dedicamos una de nuestras Twitcherías tecnológicas a resolver preguntas con especialistas (entre ellos, Santiago Saavedra) y explicar a fondo su la infraestructura y los procesos que hay detrás de este almacenamiento remoto. También explicamos las ventajas y las desventajas de tener un servidor propio en casa, como puede ser este caso.

¿Qué son los influencers virtuales y qué consecuencias puede tener para la gente creer que se trata de una persona real?

El pasado 30 de noviembre se celebró el Día del Influencer, una fecha creada en 2016 para homenajear a estos perfiles y celebridades que ‘influyen’ en la gente en redes sociales. A raíz de esto, este año han surgido dudas en torno a un nuevo tipo de influencer que no es de carne y hueso… Tranquilos, malditas y malditos, no se trata de un fantasma, sino de influencers virtuales. Es decir, personajes creados mediante tecnología con el objetivo de ser imagen de una o varias marcas.

Hay varios ejemplos famosos, que están tan bien hechos que es necesario echar más que un vistazo rápido para constatar que no son personales reales. Lil Miquela (con casi tres millones de seguidores en Instagram), Blawko (que nunca muestra su boca) o Rozy (en el mercado coreano) son algunos de los más conocidos. A veces, hasta “interactúan” entre ellos y se generan imágenes en que aparece más de uno, como en el ejemplo de abajo.

Este tipo de personajes digitales nos pueden traer reminiscencias de ciencia ficción, como del capítulo de Black Mirror Waldo, en el que esta especie de oso azul es realmente influyente, aunque todo el mundo sepa que no es real. Detrás de ellos hay empresas y proyectos tecnológicos de inteligencia artificial y robótica. La tecnología que suele usarse para crear el aspecto de estas animaciones hiperrealistas es CGI (computer-generated imagery, que significa imágenes generadas por computadora), que también suele emplearse en videojuegos, películas o vídeos musicales. De hecho, hay también ejemplos de cantantes generados así, como Hatsune Miku, estrella virtual del K-pop en Japón.

“Los influencers virtuales están creados para crear tirón, especialmente entre las nuevas generaciones. Son personajes diseñados con inteligencia artificial que se nutre de la información que el usuario va facilitando con su rastro digital, de ahí que tiendan a conseguir índices de interacción satisfactorios, ya que, de alguna forma, se fundamentan en lo que los consumidores buscan y desean”, explica Beatriz Feijoo, profesora del Grado en Publicidad de la Universidad Internacional de La Rioja (UNIR), vicedecana de investigación de la Facultad de Empresa y Comunicación de UNIR e investigadora del grupo Comunicación y Sociedad Digital (COYSODI). Según la experta, cuanta más interacción, más se enriquece y se perfecciona su algoritmo.

Estas figuras “suponen una garantía de que no surgirán imprevistos que puedan perjudicar su imagen, como puede ocurrir con los influencers reales cuyas actuaciones, declaraciones o escándalos como personajes públicos pueden dañar su rol de embajadores de marcas”, añade Feijoo. Además, hay que tener en cuenta que estos personajes digitales están controlados por un equipo humano en base a los deseos de la marca, por lo que se asume que cumplirán sus compromisos.

Albert Vinyals, experto en psicología del consumo, neuromarketing y pensamiento creativo de la Universitat Autònoma de Barcelona (UAB), cree que el hecho de que estos avatares sean tan perfectos también puede generar un rechazo sobre la opinión de la marca. “La publicidad que más nos convence es la que encontramos más similar a nosotros, incluso cuando alguien puede llegar a contradecir el mensaje de la marca”, dice. Por eso también podríamos pensar que se pierde la confianza depositada en un influencer humano: el avatar digital no puede experimentar, entender ni decidir sobre lo que está vendiendo.

Sin embargo, Feijoo cree que a los jóvenes estos avatares les parecen “coherentes con un estilo de vida”. Y esto se debe a que no se trata solamente de un avatar digital: los equipos de marketing tejen una historia y una personalidad, que puede ser afín y cercana a un adolescente y una joven.

Pues si esto ya está aquí a tales efectos, ¿cómo puede impactar en los consumidores y en usuarios de redes sociales? ¿Qué consecuencias puede tener para la gente creer que se trata de una persona real y no de un personaje digital? Hay que poner el foco en la idealización física y las implicaciones psicológicas que esto tiene.

“El principal riesgo que se puede correr con este uso de perfiles ‘ideales’ es que los usuarios creen una relación aspiracional inalcanzable: los influencers virtuales no envejecen, no tienen escándalos, son impecables… Esto puede generar cierta obsesión por estándares sociales inalcanzables”, considera Feijoo.

Vinyals de la UAB ve especial riesgo en la piel del adolescente, “que tiene menos espíritu crítico a la hora de analizar la información de redes sociales y a la vez está acostumbrado a este tipo de avatares”. En este sentido, “el peligro está en la imagen corporal que se desprende de esto y en seguir potenciando unas expectativas físicas irreales”.

Aurora Gómez, psicóloga especializada en comportamientos digitales, explica a Maldita.es cómo se refuerzan esos estereotipos: “En Instagram, la gente está encerrada en esos inputs diarios y acaba pensando que la imagen que ven es real. Si ves imágenes cada vez más distorsionadas y más distorsionadas, y le añades la capa de que no son ni siquiera humanos, puede afectar a la salud mental, a la autopercepción de una persona y su autoestima, y derivar en trastornos de conducta alimentaria”, incide.

La psicóloga rompe una lanza a favor de la industria del videojuego, “que ha hecho un esfuerzo por cambiar este tipo de personajes estereotipados e hipersexualizados, y cada vez representa a más colectivos reales”. Sin embargo, en el caso de los influencers virtuales, esto puede suponer ahora una vuelta atrás en lo que se había conseguido.

Hay otro tipo de situaciones aún más ‘futuristas’ y extremas que pueden darse con este tipo de avatares digitales. Por ejemplo, está el caso del hombre que se enamoró del holograma de la cantante Miku y se gastó unos 16.000 euros en ‘casarse’ con ella en 2018. Sin embargo, ha dejado de poder interactuar con ella porque la empresa que desarrollaba esta inteligencia artificial ya no la actualiza.

¿Qué sucede para que se llegue a este punto a nivel psicológico? Para Vinyals es lógico que, si la gente vive más aislada y conectada a una pantalla, haya un momento en que no se pueda distinguir entre el mundo real y virtual: “Posiblemente tendrá más vínculo esta persona con ese avatar que con la gente de la calle”.

Antes de que te vayas…

No somos ingenieros o tecnólogos especialistas en estos temas, pero sí periodistas y contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, sólo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tienes cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, puedes escribirnos aquí:

Cargando…

En este artículo han colaborado con sus superpoderes los malditos Alberto Amado, ingeniero informático, y Mario Sánchez, desarrollador de software.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Read Entire Article