Header Ads Widget

Ticker

6/recent/ticker-posts

Aprendiendo del incidente de Cambridge Analytica

 


A menos que se haya estado escondiendo debajo de una roca, probablemente haya leído mucho sobre la privacidad de los datos en los titulares recientemente, específicamente con respecto a la debacle de Facebook y Cambridge Analytica . Según lo informado por todos los principales medios de comunicación , la historia cuenta que Cambridge Analytica recopiló datos de Facebook a través de una aplicación de prueba que tomó la información personal de los amigos de los usuarios sin conocimiento o consentimiento; aproximadamente 50 millones de cuentas de Facebook.

Mark Zuckerberg y Facebook han recibido un " intenso escrutinio sobre las preocupaciones de privacidad y seguridad ", lo que ha tenido como resultado viajes al congreso de Estados Unidos  Si bien no constituye su típica "violación" desde un punto de vista técnico, el incidente de Cambridge Analytica es una especie de violación legal .

No vamos a profundizar en los detalles de quién es responsable o si Cambridge Analytica fue eficaz en el uso de la información de los usuarios de Facebook para influir en las elecciones estadounidenses de 2017. En cambio, existen algunas implicaciones más importantes a las que los proveedores de software pueden querer prestar atención.

“Sugiero que tenemos problemas mucho más importantes que enfrentar, como revisar los modelos comerciales actuales y repensar las reglas de privacidad de los datos”.
Jonathan Albright, Universidad de Columbia

Esta reciente protesta pública en torno a la privacidad de los datos presenta una oportunidad única para revisar lo que podemos hacer para mantener el acceso a la API en manos de quienes merecen tenerlo. ¿Qué significan las recientes preocupaciones sobre la privacidad de los datos de los usuarios con respecto a Facebook y Cambridge Analytica para la economía de las API ? En este artículo, identificamos 5 posibles efectos dominó, junto con lo que los proveedores de API pueden hacer para responder.

5 efectos dominó la economía API

Las API web, especialmente las API de redes sociales de cara al público, conectan gran parte de la web moderna. También se encuentran en una intersección única de privacidad y datos, ya que son el modo a través del cual los datos de los usuarios a menudo se comparten entre los servicios en línea. Entonces, ¿dónde juegan un papel las API en el debate de Cambridge Analytica? Bueno, la aplicación utilizó la API Graph de Facebook para recopilar información del usuario.

Las grandes infracciones de datos confidenciales de los usuarios no son nada nuevo, la infracción de Equifax de 2017 es una de las muchas de los últimos años. Sin embargo, el uso injustificado de datos por medio de la API Graph de Facebook podría influir en los proveedores de tecnología para que revisen su enfoque para interactuar con su ecosistema API. Las personas están solicitando más privacidad de los datos, y las iniciativas reguladoras de la UE como GDPR buscan corregir esto regulando el consentimiento del usuario. Con este incidente reciente ahora en primer plano, hay algunos efectos dominó curiosos que los propietarios de API deberían considerar.

1) Detección: se pondrá más énfasis en la detección de nuevas aplicaciones de terceros

Aprendiendo del incidente de Cambridge Analytica, es posible que los proveedores de API quieran analizar los envíos de nuevas aplicaciones con más vigilancia. Esto significa verificaciones de antecedentes más profundas de los desarrolladores de aplicaciones sobre aquellos que solicitan acceso a la API.

"La historia enfatiza la importancia de tener conocimiento y respuesta en tiempo real a los consumidores de API a nivel de administración de API".
Kin Lane, evangelista API

Cuando los proveedores de API otorgan acceso a un desarrollador de aplicaciones, ¿cuál es el proceso mediante el cual ese desarrollador es evaluado y aprobado? ¿El proveedor de API conoce la agenda detrás de la aplicación? Antes de otorgar acceso a la API a aplicaciones de desarrolladores de terceros, los proveedores deben asegurarse de que la aplicación cumpla con la política de su plataforma , sin depender de la buena fe de los desarrolladores de terceros.

El proceso de aprobación de aplicaciones de terceros varía drásticamente dependiendo de si la API es pública, gratuita, de socios, monetizada o privada. En muchos escenarios, se proporciona una clave de API al consumidor con bastante facilidad después de solicitar acceso. La velocidad es a menudo una ventaja competitiva; necesario para garantizar un proceso de incorporación rápido y una experiencia de desarrollador elegante.

Aunque hemos triunfado en los procesos de incorporación rápida mediante servicios SaaS como Twilio en el pasado, el hecho es que funcionan en una vertical diferente; la API es un producto SaaS monetizado. La autenticación automática de aplicaciones en un escenario público gratuito donde se involucran datos del usuario, por otro lado, puede ser peligrosa.

2) Monitoreo: preste más atención a cómo se usa su API y quién la usa

Con el ánimo de evaluar a los nuevos desarrolladores de aplicaciones, los proveedores de API pueden querer auditar su base de usuarios interna. Los equipos internos deben tratar de eliminar a los consumidores de API que usan datos de manera inapropiada, pero una vez enviados, es difícil rastrear dónde terminan los datos.

Lo que se puede hacer es configurar el  monitoreo en la capa de administración de API para mejorar la seguridad de la plataforma en su conjunto. Las pruebas de API típicas se refieren al tiempo de actividad, la velocidad, las pruebas de validación, entre otros enfoques. La monitorización también puede abarcar el seguimiento de endpoints específico para detectar anomalías y llamadas API creadas de forma sospechosa, como un tráfico elevado inesperado.

La implementación de algún tipo de sistema de monitoreo en tiempo real ayudará a establecer un status quo para el análisis , que puede usarse como línea de base para medir el estado continuo de su plataforma. Para evitar que los consumidores recopilen grandes cantidades de datos, frene la inundación con la limitación de velocidad y otras técnicas de manejo de datos como la paginación .

Relacionado: Cómo optimizar el paquete de respuesta API

3) Política de la plataforma: hazla legible y obvia

Tener una política de plataforma clara y legible por humanos es importante para que las partes interesadas realmente comprendan sus limitaciones y repercusiones por romperlas. A menudo hay muchas personas involucradas en el proceso de desarrollo de aplicaciones, y casi nadie leerá la legalización de una plataforma densa.

En el caso de Facebook, el desarrollador que trabajó con Cambridge Analytica, un profesor de Cambridge, no pareció comprender las amplias implicaciones de romper el protocolo al recopilar datos de los usuarios con fines ocultos. Como informó el NY Times :

“En ese entonces, pensamos que estaba bien. En este momento, mi opinión realmente ha cambiado ".

Aleksandr Kogan, el profesor contratado por Cambridge Analytica

Mientras que el público se da cuenta de las implicaciones de sus acciones en línea, tener estipulaciones mejores y más entendidas públicamente sobre lo que se puede y no se  puede hacer ayudará a garantizar que los consumidores comprendan el contrato que están acordando. En cuanto a la relación entre las empresas de tecnología y los usuarios finales, el mismo desinterés por legalizar suena cierto. Para resolver esto, es posible que veamos que se otorgan más micropermisos a lo largo del viaje del usuario para confirmar el intercambio de puntos de datos aislados.

Leer más: Una guía humana para redactar la política de la plataforma API

4) Consolidación: las API públicas disminuyen y se consolidan

Poco después del incidente de Graph API, Instagram cerró inmediatamente los puntos finales de API relacionados con los datos del usuario . Ciertamente, este no es el primer retiro importante de API que hemos visto, sino un probable efecto dominó del incidente reciente. Es probable que diversas motivaciones, como las ganancias, la propiedad de la marca o la protección de datos, también hayan influido en otras depreciaciones del espacio social API .

Otra forma de verlo es: cuantos más servicios tenga, más vectores de ataque estarán presentes. En ese sentido, mantener vivos los puntos finales de bajo tráfico podría ser una vulnerabilidad innecesaria Los proveedores de API pueden querer auditar internamente su pila para que su plataforma sea lo más ajustada y manejable posible.

Si la fe en los consumidores de terceros continúa menguando, es probable que veamos más depreciaciones de las API públicas de gran tamaño a medida que continúan consolidando sus servicios en negocios cerrados más orientados a los socios. Lo que será interesante es ver cómo pueden, al mismo tiempo, cumplir con los requisitos reglamentarios sobre la accesibilidad de los datos de los usuarios.

Lea también: Leyes de privacidad e intercambio internacional de datos: comparación de los estándares de la UE y los EE. UU.

5) Regulación: lea sobre lo que es legal

GDPR renueva la legislación de la UE para asegurarse de que los corredores de datos indiquen explícitamente qué datos de usuario almacenan y con qué propósito. Dado que muchas empresas negocian datos a través de fronteras internacionales, existe una creciente presión de países no pertenecientes a la UE para que también adopten el RGPD. De lo contrario, corren el riesgo de sufrir graves problemas de segmentación y estandarización cuando se trata de almacenar y actuar sobre los datos del usuario.

Si bien el cumplimiento de las regulaciones puede no ser el trabajo de día soñado de todos, hay un lado positivo. El énfasis de GDPR en el consentimiento del usuario y la responsabilidad de los datos podría resultar en una amenaza menor de violaciones de datos públicos. Al legitimar los contratos entre empresas y usuarios a través de amenazas de acciones punitivas, crea muchos más incentivos para mantener los datos de los usuarios seguros y en manos únicamente de aquellos con acceso autorizado.

También hemos discutido bastante los beneficios de los estándares abiertos en el blog. Los países no pertenecientes a la UE que almacenan datos a nivel internacional deberían evaluar si deberían participar o no.

Cabe mencionar que GDPR no es la única regulación que protege la privacidad del usuario. Existen leyes federales en los EE. UU. Y en la mayoría de los países, al igual que otras más regionales, como la Ley de privacidad de la información biométrica de Illionois .

Pensamientos finales

Independientemente de las implicaciones políticas del incidente analítico de Facebook y Cambridge, es probable que una brecha tan grande que involucre una API cree un gran revuelo y haga que la gente reconsidere cómo su programa está diseñado y dividido para uso público. Puede ser difícil controlar lo que las personas hacen con sus datos. Como dice Kin Lane:

Creo que esta situación pone de relieve otro problema de hacer API y garantizar que los consumidores de API se comporten de forma adecuada con los datos, el contenido y los algoritmos a los que acceden".

En resumen, si maneja datos de usuario en su plataforma, considere:

  • Medidas mejoradas para filtrar las aplicaciones que permite usar su API
  • Adoptando un enfoque activo para monitorear la API en la naturaleza
  • Asegurar que los terceros respeten las leyes de privacidad de datos nacionales y extranjeras.

Si bien es cierto que gran parte de los macrodatos, la economía web se basa en la venta de datos, parece que los modelos comerciales que ignoran la privacidad de los datos del usuario podrían tener graves consecuencias negativas.

Recursos:

  • API de gráficos de Facebook
  • Graph API: puntos clave en la debacle de Facebook y Cambridge Analytica
  • Facebook en el Congreso: qué esperar cuando Zuckerberg vaya al Capitolio
  • Facebook dinamita sus propias API en medio de escándalos de absorción de datos, arruina aplicaciones de absorción de datos
  • Cambridge Analytica, GDPR y el futuro de las API
  • Facebook, Cambridge Analytica y saber qué están haciendo los consumidores de API con nuestros datos

Publicar un comentario

0 Comentarios