No es muy agradable que un medio se te adelante y publique una novedad antes de que la anuncies; y menos aún cuando esa “novedad” es consecuencia directa de un gran fallo tuyo.
Es la situación en la que se ha visto Google, después de que hoy The Wall Street Journal publicase una investigación en la que revelaba que un bug de Google+ había expuesto los datos de cientos de miles de usuarios. Pero la noticia no es tanto del bug, como que Google decidiese no avisar a los usuarios; incluso aunque conociese el bug desde marzo de 2018.
Project Strobe, el proyecto para mejorar la privacidad de Google
Después de la publicación del Wall Street Journal, Google ha presentado su punto de vista, y el motivo por el que no avisó a los usuarios; todo forma parte de Project Strobe, un nuevo proyecto para mejorar la seguridad de los usuarios de Google.
Según afirma la compañía en su blog oficial, Project Strobe nació a principios de 2018. Una iniciativa con la que pretendía revisar el acceso a nuestros datos que pueden tener terceros; tanto a través de nuestra cuenta de Google como de nuestro dispositivo Android. Esto pasaba por revisar los controles de privacidad, y la manera en la que nuestros datos pueden ser accedidos.
Qué datos podían ser accesibles por el bug
Es en este repaso de la API de Google+, su red social, que la compañía descubrió que terceros podían acceder a nuestros datos sin nuestro permiso explícito. El bug aparece cuando damos permiso de acceso a nuestro perfil a una app de Google+; y supone que la app podía acceder a información del usuario que no había sido marcada como pública.
Google afirma que los datos accesibles de esta manera se limitan a los campos opcionales que podemos rellenar en nuestro perfil; y que no incluye otros datos que hayamos publicado de otra manera.
Más preocupante es la admisión de la compañía de que no sabe qué usuarios se han visto afectados. Los registros de la API se borran después de dos semanas, así que no tienen una cifra concreta; sin embargo, en un análisis previo se mostró que aproximadamente medio millón de cuentas se habían visto afectadas, y que 438 aplicaciones habían usado la API.
Por qué Google no avisó a los usuarios
Pese a todo, Google no ha descubierto pruebas de que ningún desarrollador conociese este bug, ni ha encontrado pruebas de que se hayan aprovechado de él.
¿Por qué Google decidió no avisar a los usuarios? La investigación de Wall Street Journal habla de un escrito del departamento legal en el que no lo recomienda por miedo a repercusiones en forma de nuevas regulaciones del gobierno.
En cambio, Google afirma que la decisión fue de su oficina de protección de datos, que, en base al tipo de datos accesibles, que no podía identificar a los usuarios afectados, y que no había pruebas de un mal uso, que no era necesario avisar a los usuarios.
Google cierra Google+ porque no puede cumplir las expectativas
Para Google todo este problema reveló que no podía seguir manteniendo Google+; los “desafíos” para mantener un proyecto semejante, y cumplir las expectativas, son demasiados. Y todo eso sin decir nada del “bajo uso de Google+”, según la propia Google. La “solución” es, por lo tanto, cerrar Google+.
El proceso de cierre durará diez meses, durante los cuales Google proporcionará métodos para descargar y migrar nuestros datos. Aún no se han anunciado, presumiblemente porque Google no esperaba tener que anunciar tan pronto este proceso. En agosto de 2019 se espera que Google+ cierre definitivamente.
Hay que recalcar que la versión para empresas de Google+ no cerrará. Google ha descubierto que Google+ funciona mejor como producto empresarial, donde los trabajadores pueden organizar discusiones internas; así que sólo cerrará la versión “para consumidores” de Google+, es decir, la que la mayoría de la gente usa.
Mejores controles para los permisos
Como parte de Project Strobe, Google también ha hablado de los permisos que otorgamos a las apps para que accedan a nuestros datos de Google.
Google ha prometido que en el futuro tendremos un mayor control sobre qué datos podemos compartir con las apps. En concreto, en vez de mostrar todos los permisos en una sola pantalla, las apps tendrán que mostrar una pantalla para cada permiso que quieran pedir, y pedirlo por separado. Así que podremos dar permisos para una funcionalidad, pero no para otra, por ejemplo.
Los permisos de GMail también serán renovados, después de otra reciente polémica sobre quién puede leer nuestros correos. Según Google, el problema es que los usuarios otorgan permisos a las apps, pero sólo tienen en mente ciertos usos y no lo que realmente hace la app. Para solucionarlo, sólo se otorgará permiso para leer correos a aquellas apps con funcionalidades para correos, y se limitarán las apps que buscan datos de Gmail. Lo mismo ocurrirá con los SMS y contactos en Android.
Estas novedades serán bien recibidas, y el cierre de Google+ no será lamentado por mucha gente. Sin embargo, da la sensación de que esto es un intento de no hablar del gran problema: el bug de Google+ y especialmente, de que Google decidió no compartirlo.
Las razones que ha dado para no hacer público el bug son discutibles como mínimo, y darán mucho que hablar; especialmente en lo que respecta a la transparencia de los servicios de Internet.