Google ha llegado a convertirse en la empresa más importante de Internet, y una de las más grandes del mundo, gracias a sus usuarios; concretamente, gracias a los datos que obtiene Google. La cantidad de información personal que gestiona la compañía a diario es abrumadora, y por eso, necesita de los más altos estándares de privacidad; lamentablemente, hasta esos pueden fallar, y cuando lo hacen, la información personal de miles de millones de personas está en peligro.
La magnitud de estos fallos ha sido ahora revelada por la filtración de una base de datos interna de Google, obtenida por 404 Media y cuya veracidad ha sido confirmada por la compañía. Entre las revelaciones, se encuentran grandes filtraciones de información personal y empresarial realizadas por empleados o por los sistemas automatizados de Google. No se salva nadie: ni los usuarios, ni sus hijos, ni grandes compañías como Nintendo.
La base de datos recopila miles de incidencias registradas de manera interna por Google entre 2013 y 2018; es decir, momentos en los que los propios empleados de la compañía se dan cuenta de que algo ha fallado. Eso incluye desde ‘bugs’ en las aplicaciones de Google a simples errores humanos, pasando por fallos provocados por terceros. Por sí solas, la mayoría de estas incidencias no son muy graves y se solucionaron rápido; pero en su conjunto, revelan una situación preocupante, en la que Google está filtrando datos personales prácticamente a diario.
Los casos más graves son los de filtraciones masivas de datos personales como ‘daño colateral’ por funciones que tenían otro cometido. Por ejemplo, en el 2016 un empleado descubrió que Google Street View estaba registrando las matrículas de todos los coches que fotografiaba. El problema es que el algoritmo de Google estaba diseñado para detectar el texto presente en las fotos tomadas por los coches de Street View, la función de Google Maps, para registrar señales o carteles, por ejemplo; pero el empleado se dio cuenta de que, por culpa de esto, Google había creado una gigantesca base de datos de matrículas asociadas con una posición geolocalizada exacta.
Sería una pesadilla para la privacidad si alguien tuviese acceso a una base de datos de coches y su localización; el empleado de Google recalcó en su informe que “era un accidente” y no el propósito original, y que la base de datos fue borrada. Y no fue el único caso relacionado con coches; la app de Waze también filtró las direcciones y los viajes de los usuarios de su función para compartir coche.
Google grabó voces de niños
Otro momento en el que los algoritmos funcionaron ‘demasiado bien’ fue cuando Google obtuvo las voces de aproximadamente 1.000 niños, obtenidas durante una hora en la que un servicio de detección de voz de Google no aplicó el filtro necesario para no registrarlas. El empleado que registró esta incidencia también afirmó que se habían borrado todos los archivos relacionados con menores.
Pero no fue el único momento en el que Google grabó a niños; cuando lanzó YouTube Kids, se olvidó de quitar el botón de micrófono del teclado de Android, y como resultado grabó audios de niños que lo pulsaban sin querer.
Sin embargo, hay ocasiones en las que estas filtraciones ‘se escapan’ y terminan siendo públicas. Por ejemplo, cuando Google compró la app de aprendizaje Socratic.org y sin saberlo hizo públicas las direcciones de correo, la geolocalización y las direcciones IP de más de un millón de usuarios, entre los que se encontraban los menores de edad que usaron la app. En este caso, Google confirmó de manera interna que es muy probable que los datos hayan sido obtenidos por atacantes, porque estuvieron expuestos durante más de un año.
Juego de Nintendo filtrado
Hasta las compañías fueron víctimas de los fallos de Google. Una de las revelaciones más curiosas es que un juego de Nintendo fue filtrado al público por un acceso no autorizado. Ocurrió en junio de 2017, cuando un usuario de Reddit publicó una captura de pantalla de Yoshi’s Crafted World, obtenida del canal de YouTube de Nintendo. El juego no fue lanzado hasta el 2019, pero el usuario afirmó que tenía un amigo en Google que le envió la foto que confirmaba su existencia.
Tras una investigación interna, Google llegó a la conclusión de que la filtración fue provocada por un contratista temporal, que tuvo acceso al panel de administración de YouTube que permite ver todos los vídeos, incluso los que no se han hecho públicos, y compartió la captura con un amigo. Pese a eso, Google cerró el caso afirmando que “no fue intencional”, tal vez para no admitir su responsabilidad ante una posible demanda de Nintendo, que es conocida por iniciar procesos legales contra filtraciones y vulneraciones de propiedad intelectual.
Hay muchas incidencias semejantes, tantas que es difícil repasarlas todas, desde servicios que fueron comprometidos por hackers, a la modificación de cuentas de usuarios, o incluso cambios en la recomendación de vídeos de YouTube para que recomendase vídeos que el usuario no quería, algo que va en contra de la política de la compañía.
La respuesta de Google se ha centrado en reducir la importancia de estos fallos, y presume que todos y cada uno de los problemas registrados en la base de datos han sido solucionados. Además, se defiende afirmando que no todos los fallos registrados resultaron ser problemas en absoluto, o que no dependían de Google. Con todo, la magnitud de esta filtración es tal que probablemente aún queden revelaciones o flecos por resolver.
Google ha realizado la siguiente declaración pública:
“En Google, los empleados pueden avisar rápidamente posibles problemas de un producto para que los equipos pertinentes lo revisen. Cuando un empleado envía un aviso, sugiere el nivel de prioridad al revisor. Los informes obtenidos por 404 datan de hace más de seis años y son ejemplos de este tipo de avisos, todos ellos se revisaron y resolvieron en su momento. En algunos casos, estos avisos de los empleados resultaron no ser problemas o eran problemas que los empleados encontraron en servicios de terceros”.