1 puntos por GN⁺ 2023-09-09 | 1 comentarios | Compartir por WhatsApp
  • El onboarding de Threads acelera el registro, pero el pequeño enlace gris de la pantalla “How Threads works” hace que el alcance de la recolección de datos personales pase desapercibido
  • En la sección Privacy de Threads en la App Store aparecen largas listas como Health data, Financial Info, Browsing History y Sensitive Info, y bajo la ley europea de protección de datos se necesita una base legal válida para tratar datos personales con fines de segmentación publicitaria
  • Meta no deja suficientemente claro ni la recolección de datos sensibles ni la vinculación con la eliminación de la cuenta de Instagram, lo que alimenta la polémica por los dark patterns de framing y Roach Motel
  • Apple impulsa con fuerza su imagen de protección de la privacidad, pero hay investigaciones y estudios que indican que “Ask App Not To Track” no funciona como se espera y que los anunciantes pueden usar fingerprinting en lugar de IDFA
  • Si en la parte superior de la App Store hubiera una advertencia de privacidad clara o un privacy score, eso podría presionar tanto las decisiones de descarga de los usuarios como las prácticas de datos de los desarrolladores

Problemas de transparencia expuestos en el onboarding de Threads

  • Threads aprovecha el interés por una app nueva y un onboarding sencillo para hacer que los usuarios pasen rápidamente por el flujo de registro
  • La pantalla “How Threads works” parece un onboarding común, pero la información sobre cómo funciona realmente y sobre los datos queda detrás de un enlace de texto gris pequeño, lo que dificulta su lectura
  • El punto clave no es solo si se recopilan datos, sino que cuanto más intrusivo o riesgoso sea un comportamiento, con mayor claridad debe informarse al usuario

La larga lista de datos recopilados en la sección de privacidad de la App Store

  • En la sección Privacy de Threads en la App Store se muestran los siguientes tipos de datos
    • Health data
    • Financial Info
    • Browsing History
    • Sensitive Info
    • Other Data
  • Threads no pudo lanzarse en Europa debido a su rastreo intrusivo, y según la ley europea de protección de datos Meta necesita una base legal válida para procesar datos personales con fines de segmentación publicitaria
  • Tras decisiones judiciales recientes, también ha aumentado la incertidumbre en torno a la política de privacidad de Meta

Framing y una baja proporción T.I.

  • Framing es el fenómeno por el que la forma en que se presenta la información cambia las decisiones del usuario
  • Incluso con los mismos hechos, si se acomodan de una manera que los oculte o induzca a error, se convierte en framing no ético
  • La pantalla “How Threads works” de Threads, en lugar de mostrar de frente la intensidad de la recolección de datos, la deja enterrada dentro del flujo de registro
  • La proporción T.I. es un criterio según el cual la transparencia (Transparency) de un producto debe ser proporcional al riesgo o la intrusividad (Intrusiveness) que representa para el usuario
    • Si se solicitan datos muy sensibles, lo apropiado es mostrarlo de forma visible y frontal
    • El flujo de Meta puede verse como un caso de baja transparencia en relación con su nivel de intrusividad

La cuenta de Instagram y el dark pattern Roach Motel

  • Después de pulsar el botón de registro de Threads, el problema de la conexión con la cuenta de Instagram no se muestra con suficiente claridad
  • La estructura por la que al intentar eliminar Threads también se elimina la cuenta de Instagram se conoce como Instagram ransom
  • El dark pattern Roach Motel se refiere a recorridos de usuario en los que entrar es fácil, pero salir resulta difícil
  • El flujo de eliminación de cuenta de Threads también corresponde a un recorrido de usuario con baja proporción T.I.

La imagen de privacidad de Apple y el Privacy Washing

  • Apple gasta mucho dinero en anuncios y vallas publicitarias para presentarse como un Guardian of Privacy
  • Sin embargo, al ver la recolección de datos permitida detrás de la App Store, resulta difícil confiar en las afirmaciones de privacidad de Apple tanto como cabría esperar
  • Privacy Washing se refiere a aparentar que se protege la privacidad sin hacerlo realmente
  • Incluso al pulsar “Ask App Not To Track”, puede que no funcione de la manera esperada
    • El estudio de Oxford University sobre el seguimiento de apps en iOS se usa como respaldo
    • Los anunciantes pueden mapear datos y enviarlos a los anunciantes mediante fingerprinting en lugar del IDFA tradicional de Apple
    • También hay investigaciones que sostienen que la protección contra el rastreo en iPhone no es tan confiable como sugieren los anuncios de Apple

Por qué la App Store necesita advertencias más directas

  • Si Apple realmente valora la privacidad, podría colocar una advertencia de privacidad más clara en la parte superior de las fichas de la App Store
  • Safari Browser ya usa patrones de visualización relacionados con privacidad de una forma familiar para los usuarios
  • Si se colocara un privacy score al frente, podría reducir la probabilidad de que los usuarios descarguen apps con malas prácticas de datos
  • Eso también generaría presión sobre los desarrolladores para que respeten más la privacidad de los usuarios
  • Si la privacidad realmente importara, Apple incluso podría dar mejor ranking en la App Store a las apps con buenas prácticas

1 comentarios

 
GN⁺ 2023-09-09
Opiniones de Hacker News
  • Parece injusto comparar que Facebook nos perjudique activamente con que Apple no incorpore las métricas propuestas en sus productos y permita pasivamente apps populares en la App Store
    No soy fan de Apple, pero Apple no es Facebook

    • Apple no es una empresa que haya puesto píxeles de seguimiento en la mitad de la web popular
      La principal fuente de ingresos de Apple es hardware premium y servicios por suscripción, mientras que Facebook es una empresa que vende privacidad y atención a compradores
    • Incorrecto. Apple también nos perjudica activamente
      Hace unos años, abrir apps se volvió extremadamente lento por un tiempo, y la causa fue una caída de un servicio web de telemetría de Apple: https://forums.macrumors.com/threads/mac-apps-not-opening-or...
    • No soy fan de Facebook, pero Facebook nunca se ha presentado como defensor de los derechos humanos fundamentales ni como guardián de la privacidad
      Algunos los llaman malvados o el mal menor, pero yo diría que Apple es malvada e hipócrita
    • Más bien, el artículo le concede a Apple una interpretación benévola hasta un punto injusto
      Apple se excluye a sí misma de los requisitos de transparencia de IDFA que impone a los desarrolladores de apps de terceros, y ha sido objeto de investigaciones legales en Francia, la UE y otros lugares: https://gizmodo.com/apple-iphone-analytics-tracking-even-whe...
      Además, Apple escanea CSAM en las copias de seguridad de iCloud, aunque la ley no la obliga a hacerlo. Meta no hizo eso en WhatsApp y Signal, por supuesto, no lo hace. Hoy es CSAM; mañana podrían ser mensajes que critiquen al poder. Apple cruzó una línea ética fundamental en el cifrado de extremo a extremo, y ahora, en términos de cifrado, ya no es confiable en absoluto
      El marketing de Apple es muy eficaz, pero la idea de que sea mejor que otras big tech en privacidad, apenas se la examina un poco, no es más que un eslogan de marketing sin sustancia. No se puede confiar en nadie. Hoy, una forma real de proteger la privacidad es conectarse a internet con un router tipo MiFi que corra software open source e implementar listas de bloqueo de firewall saliente como unbound-adblock de Jordan Geoghegan: https://geoghegan.ca//unbound-adblock.html
    • Nadie cree las afirmaciones de privacidad de Meta
      Aunque use cifrado de extremo a extremo, recopila todo lo demás que pueda recopilar
  • Me pregunto cuándo la gente se hartará de las empresas de publicidad espeluznantes
    Recibí una carta de Target diciendo que, por defecto, venderán mi información a terceros no afiliados, y que para rechazarlo tengo que llamar por teléfono o enviar una carta. Supongo que en algún momento habré dado mi consentimiento, y que cualquiera que se inscribe en un programa de lealtad gratuito debería saber que está aceptando cosas así aunque no se lo digan explícitamente, pero me parece que deberían estar obligados a indicar, junto a los beneficios, el costo real que paga el cliente
    La semana pasada, al retirar un medicamento recetado en CVS, metieron un consentimiento de marketing entre la verificación de mi nombre y dirección y el pago o la firma para retirar la receta, y tontamente acepté antes de darme cuenta de que no era un consentimiento relacionado con la compra del medicamento. Es decir, escondieron un consentimiento para vender información justo cuando una persona probablemente enferma está recogiendo sus medicamentos y solo quiere volver a la normalidad
    Nada de esto mejora mi vida. Solo quiero pagar por cosas, cerrar la transacción y terminar la relación hasta la siguiente. No todos los anunciantes necesitan saber todo lo que compro, incluso mis compras habituales
    Si trabajas en la industria de la tecnología publicitaria o estás a cargo de dispositivos de front-end para recolectar más información, de verdad me caes muy mal, es extremadamente perturbador, y aunque tú no seas perturbador, lo que construyes y las personas con las que trabajas sí lo son. Buscar toda clase de formas de engañar a la gente para que venda información personal que naturalmente considera privada es repugnante, inmoral y engañoso. Deberías filtrar las tácticas, trucos y huecos legales para que podamos derribar la tecnología publicitaria invasiva

    • Ahora, basándose en la experiencia de compra en CVS, veré anuncios que el sistema de recomendación decida que debe mostrarme, y si alguien viene a casa o si otra persona usa el dispositivo, podría ser bastante incómodo
      Al visitar la casa de un familiar, pude inferir una condición médica que hasta entonces era privada solo por los anuncios que aparecían
    • Mientras la gente reciba servicios gratis, no se va a hartar
    • Mientras sigan fabricando nuevos y relucientes dispositivos i, nada va a cambiar
    • Yo pienso lo mismo todos los días. Ya estaba harto hace años, y ahora estoy indignado con todo
      Lo peor es que es una ira impotente, porque no hay nada que pueda hacer
      Ya bloqueo todo el rastreo que puedo, trato de no darles dinero a empresas que usan estas prácticas ni a empresas que usan sus servicios, pago en efectivo en tiendas físicas y evito comprar en línea tanto como puedo
      Aun así, no alcanza. Las empresas de publicidad están en guerra contra la gente y están ganando
    • Como referencia, la mayoría de los programas de lealtad permiten inscribirse sin dar información si tienes pensado usar la tarjeta
      Si no te gusta la tarjeta, por lo general también aceptan un número de teléfono inválido o aleatorio. Claro que no es una solución y habría que arreglar el problema de fondo, pero al menos sirve como parche parcial
  • Es cierto que las apps sociales basadas en publicidad recopilan una cantidad enorme de datos.
    Pero la lista del widget de privacidad de Apple solo parece una lista exhaustiva porque la gente puede publicar cualquier cosa y Meta usa el contenido de las publicaciones para la segmentación de anuncios.
    Me pregunto si han pasado últimamente por el flujo de onboarding de Apple. Crear un Apple ID y configurar un iPhone también es bastante parecido, con términos similares de clic para aceptar que permiten un uso interminable de datos. Esto incluye [1], [2], [3], [4], [5].
    Apple ha hecho muy buen marketing de privacidad, pero también practica casi todo lo que señala cuando critica a otras empresas.
    Además, que Threads no se haya lanzado en Europa se debe a los requisitos de separación de datos de la DMA entre productos. No tiene que ver con lo invasiva que sea la recopilación de datos en sí, como se insinúa aquí [6].
    [1] https://www.apple.com/legal/privacy/pdfs/apple-privacy-polic...
    [2] https://www.apple.com/legal/privacy/data/en/apple-id/
    [3] https://www.apple.com/legal/sla/docs/iOS16_iPadOS16.pdf
    [4] https://www.apple.com/legal/internet-services/itunes/
    [5] https://www.apple.com/legal/internet-services/icloud/
    [6] https://www.theverge.com/23789754/threads-meta-twitter-eu-dm...

  • Es una entrada de blog que habla de privacidad, pero aparecen vercel-insights.com, www.google.com, “Sign up with Google” y “132,793 personas de empresas como Microsoft, Amazon, facebook, Google y Disney participaron”.
    “Otra vez esa sensación rara”.

    • Irónico. Y el autor parece no decir nada sobre Android y Google.
    • En la historieta dice que “un poco de recopilación de datos no está mal”.
  • Este artículo parece mezclar las invasiones de privacidad de Meta echándole la culpa a Apple.
    El sistema operativo siempre puede dificultar más el fingerprinting, y la App Store también podría agregar más “advertencias de privacidad”. Pero al final, si usas una app de terceros que invade la privacidad, esa app siempre va a absorber datos de todo tipo de formas. Usar eso como argumento de que a Apple no le importa la privacidad no es honesto.

    • Si somos sinceros, la alternativa actual es Android.
      Así que, en lugar de que Meta absorba todo, Google lo aspira todo con una aspiradora, y una parte mayor de eso termina fluyendo hacia Meta.
    • El sistema operativo es una capa por debajo de las aplicaciones. Por supuesto que puede controlar qué datos se transmiten.
      Puede que el modelo de software actual no lo haga cómodo, pero culpar a Apple es bastante honesto y entendible.
      Hay que dejar de ver a las computadoras como máquinas incontrolables que necesariamente filtran datos. Las computadoras fueron hechas por personas.
  • Fue una pequeña presentación interesante, y no había contenido muy nuevo, pero me pareció buena la idea de mostrar el nivel de confianza de una app con una insignia.
    Pero cuando en la última página de la lista de correo aparece “Sign up with Google”, toda la credibilidad se va por la ventana. Da risa.

  • Si quieres garantías de privacidad, no deberías instalar ni usar nada conectado a internet.
    Incluso en HN, con análisis de estilo y un actor con voluntad suficiente, se podría vincular fácilmente tu nombre de usuario aquí con otros textos públicos. Un actor más decidido podría vincularlo incluso con textos escritos en privado. Hay tantas filtraciones de datos.
    Para estar seguro, hay que mantenerse offline. Por supuesto, en la era moderna eso no es realista para mucha gente. Entonces la pregunta pasa a ser qué empresa tiene menos probabilidades de venderme de alguna forma, sin importar cuánto ni qué recopile. Según casi cualquier criterio, Apple está en los primeros lugares de esa lista. Aunque no es la número uno. Empresas como Mullvad prestan servicios sin recopilar absolutamente nada y, en teoría, si pagas en efectivo, no hay forma de que vuelva a asociarse contigo.
    Personalmente, más que si recopilan datos o no, me importa si puedo confiar en la organización con la que hago negocios. Entre las big tech, según su historial, Apple es en la que más confío, pero no tengo la ilusión de disfrutar de privacidad absoluta usando productos de Apple, y nadie debería tenerla.

    • Si no eres una figura pública que ha escrito una cantidad enorme de textos públicamente, no me resulta muy convincente la idea de que se pueda identificar a una persona común o vincular cuentas entre plataformas mediante análisis de estilo.
      Me gustaría ver evidencia realista y convincente. Sobre todo porque los límites de caracteres y las diferencias en los patrones de uso de cada plataforma pueden interferir.
    • Apple recopila datos por la misma razón que Google y Meta: para la venta de publicidad.
      Lo que Apple hace mejor es la promoción.
    • Si eres chino, supongo que es una excepción, ¿no?
      https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
    • El análisis de estilo se puede evitar fácilmente pasando todos los comentarios por un LLM que los reescriba con un estilo distinto, o creando cuentas desechables para cada hilo.
      Automatizarlo tampoco es difícil.
    • Personalmente, no se me ocurre literalmente ni una sola empresa tecnológica en la que pueda confiar aunque sea un poco.
  • La peor experiencia de usuario que he visto en años

    • “Para ver la historia, usa las flechas del teclado” me recuerda a la forma en que Minecraft Legends muestra una pista de “Para empezar, presiona [dibujo del botón izquierdo del mouse]” cuando haces clic, presionas espacio, Esc o cualquier otra tecla común de “ya entendí, avanza”
      Si ya se da cuenta de que mi intención es pasar a la siguiente parte, podría simplemente pasar a la siguiente parte en vez de decirme de forma pasivo-agresiva cómo debo pedírselo
      Volví a abrir Minecraft Legends para revisar los detalles y confirmar si todavía era así. Cambió un poco, pero en la pantalla de inicio todavía aparece “Para empezar, presiona [botón izquierdo del mouse]”, y si presionas espacio cambia a “Para empezar, presiona [dibujo de la tecla enter]”. Así que siento que mi punto sigue siendo válido
      Y cuando empieza el video, si presionas Esc, aparece una sugerencia parecida: “Presiona ␣ para continuar”. Me deja pensando qué cree que quiero hacer
    • Yo lo sentí al revés, pero lo vi en una laptop
      Parece que usa RevealJS (https://revealjs.com/). Al principio pensé que era un “artículo” con una experiencia de usuario alternativa, pero en realidad es más bien una presentación de diapositivas
      También lo probé en móvil (Firefox, Android) y este formato definitivamente no encaja bien. Al ponerlo en modo horizontal, simplemente redujo el sitio de escritorio para que cupiera. Creo que deberían recomendar leerlo en escritorio u ofrecer una versión móvil separada
    • En su mayoría es un esquema muy simple que solo usa las teclas izquierda/derecha; no entiendo por qué sería una mala experiencia de usuario
    • Al principio me dio un “pro tip” diciendo que estaba sosteniendo mal el teléfono, y cuando lo giré a modo horizontal ignoró la rotación
      En ese punto apliqué lo que el artículo relacionado llamaba “ignorar críticamente”
  • Me sorprende lo poco serio que es este cómic
    Seguro fue divertido hacerlo, pero habría sido mejor que informara en vez de hacer propaganda

  • Hay una solución simple
    Crear una iniciativa de votación que cambie el “derecho al olvido” por un “permiso para ser recordado”, y que este permiso tenga que renovarse cada 1 a 3 años. Si una empresa no obtiene permiso en un plazo de 3 años, debe eliminar los datos. Este permiso no debería ser transferible, de modo que si creaste una cuenta en Good Company, Inc. y Evil Corp, Inc. la adquirió, esta última tendría que volver a pedir permiso con su nuevo nombre. Los data brokers tampoco deberían poder tener información a menos que pidan permiso
    El “derecho a optar por no vender” debería convertirse en rechazo por defecto y consentimiento explícito. Es decir, que por defecto esté rechazado, y que una empresa tenga que obtener permiso explícito para vender los datos

    • Me gusta, pero ¿qué hacemos si entrenan una red neuronal que recuerda todos los datos en sus pesos?
      Parece que estas empresas usan grandes modelos de redes neuronales profundas para hacer funcionar sus sistemas de recomendación. Al menos hasta donde sé, no se le puede pedir a una red neuronal que olvide selectivamente solo a una persona
    • Espero que esto no haga que Twitter elimine aún más cuentas inactivas que me gustan