Cada día mi bandeja de entrada parece recibir más y más spam. Entender qué lo genera y cómo evitarlo es esencial en la lucha por limitar que mis datos personales no sean compartidos en exceso. Un equipo de investigadores del Virginia Tech Hume Center ha dedicado una cantidad significativa de tiempo a intentar averiguar si compartir nuestra información personal con las principales empresas está relacionado con un mayor envío de spam. Al presentar su investigación en Black Hat USA 2021, Alan Michaels, Director de Sistemas Electrónicos, y Kiernan George, Asistente de Investigación de Posgrado, explicaron cómo se desarrolló su experimento y las conclusiones que se pueden extraer de él.
Ellos, junto con un equipo de 15 estudiantes, crearon 300 perfiles falsos que se hacían pasar por consumidores reales con algunos datos de fondo, como la dirección física, información demográfica y, en algunos casos, una ideología política. Se configuraron 150 líneas telefónicas virtuales para grabar llamadas telefónicas de spam entrantes y mensajes de texto. Cada una de estas identidades se utilizaron para llevar adelante una única transacción o interacción con una empresa importante y el equipo luego se sentó y esperó nueve meses para ver qué correos electrónicos, llamadas telefónicas y mensajes de texto se generaron a partir de estas interacciones individuales y si las empresas están compartiendo o vendiendo información personal.
Una cantidad de 16.346 correos electrónicos y 3.482 llamadas telefónicas fueron generadas por las compañías involucradas. La más prolífica en el caso del correo electrónico fue Fox News, que realizó 2.356 envíos en un año electoral. La mayoría de las empresas ralentizaron el envío de spam con el tiempo, probablemente debido a la falta de interacción del destinatario, ya que los mensajes de correo electrónico no se abrieron en los programas de correo electrónico regulares para evitar un seguimiento adicional que indicaría una dirección de correo electrónico activa. Las llamadas en las que solo había silencio encabezaron el ranking de llamadas telefónicas, y luego la estafa muy molesta que ofrece falsos seguros para coches.
Hay buenas noticias: 290 de las 300 compañías parecían no compartir información personal con ninguna otra parte. En algunos casos, era evidente que se había realizado scraping de cookies y que las preferencias habían sido robadas de los usuarios finales para ser abusadas por terceras partes. No se detectaron correos electrónicos que incluían malware, pero el equipo concluyó que los propios sistemas de la universidad pueden haberlos eliminado, y por lo tanto, esta parte del experimento no es concluyente.
El estudio también examinó la relación entre las políticas de privacidad y el comportamiento real de las empresas, y la conclusión presentada sugiere que en la mayoría de los casos no hubo tal relación. Sorprendentemente, estas políticas y cualquier página vinculada demandaban un promedio de 46 minutos para poder leerse, según una velocidad de lectura de 250 palabras por minuto. Y el comentario de los presentadores sugirió que los abogados de la compañía y los científicos de datos en las organizaciones parecen no tener ninguna relación. Desafortunadamente, la extensión y legibilidad de las políticas de privacidad es un problema que tiene larga data y varias organizaciones han intentado impulsar la necesidad de tener políticas de privacidad comprensibles y cortas. Espero que esta investigación aumente la voluntad de los legisladores de abordar este problema y de simplificar esta carga engorrosa e innecesaria que se impone a los consumidores.
Facebook encabezó la tabla de compañías de redes sociales capaces de detectar cuentas falsas que se están configurando, ya sea bloqueándolas en la configuración o dentro de unas pocas semanas. Esto puede, en parte, deberse a los números de teléfono virtuales utilizados para crear las cuentas. WeChat, la red social con sede en China, no permitía cuentas sin un número chino.
El estudio mostró que, cuando se juzga el valor del tiempo de una persona, cada cuenta generó, a lo largo de los 9 meses del estudio, contenido no deseado que demandará 90 minutos en la vida de esa persona para poder procesarlo; esto no incluye los 46 minutos para leer la política de privacidad. Por lo tanto, la próxima vez que interactúe con un servicio que le pida que cree una cuenta, considere usar la opción de invitado y ahorrarse los 90 minutos que demandará gestionar el spam que creará. Haz algo divertido con el tiempo ahorrado.
El equipo de investigación de Virgina Tech ha producido un whitepaper que está disponible en el sitio web de Black Hat, y ha puesto a disposición el conjunto de datos en GitHub. Un proyecto de investigación más extendido está en marcha en el cual esperan llevar a cabo esto a nivel mundial con la participación de entre 100 y 150 mil participantes – Sé que voy a inscribirme para participar.
Gran investigación y presentación por parte del equipo de Virginia Tech Hume Centre, bien hecho.