Acerca de nuestra metodología

El objetivo de la guía del comprador *Privacidad no incluida es orientar a los consumidores en la compra de productos inteligentes —y seguros— que se conectan a Internet. Para los compradores suele resultarles difícil obtener información clara y concreta de las empresas respecto a la privacidad y seguridad de sus productos conectados. ¿Se comparten o venden tus datos personales de una manera que no esperabas? ¿Cuáles son los antecedentes de la empresa en cuanto a protección de los datos que recopilan de los usuarios? ¿Cómo verifica la empresa regularmente las vulnerabilidades de seguridad y cómo las resuelve?

Con esta guía, esperamos ayudar a los consumidores a salir avante al enseñarles qué deben preguntar y qué respuestas deberían recibir antes de comprar un producto tecnológico conectado.

Nuestra investigación acerca de la *Privacidad no incluida tiene como punto de vista el tuyo, el consumidor, pero con un poco más de disponibilidad de tiempo y experiencia. No compramos los productos y los sometemos a prueba en un laboratorio. Los consumidores no tenemos esa posibilidad. En vez de eso, revisamos toda la información a nuestro alcance y a disposición de los consumidores antes de comprar un producto, para tratar de entender los problemas de privacidad y seguridad que deberíamos conocer. Revisamos cosas como las políticas de privacidad, sitios web de las empresas, informes de noticias, libros blancos de investigación, listas en las tiendas de aplicaciones, reseñas de consumidores y cualquier otra cosa que encontremos y sea confiable para sustentar nuestra investigación. Con frecuencia, la información que las empresas hacen pública resulta confusa o está incompleta, y no hay manera de que verifiquemos si una empresa está haciendo lo que dice hacer, incluso después de haber respondido a nuestras solicitudes de información. Queremos un futuro en el que no se requieran horas de investigación como estas para comprar productos seguros y responsables.

Esta es la metodología que hemos seguido para desarrollar esta guía.

Metodología

Selección de productos

Cuando seleccionamos productos para *Privacidad no incluida, pretendemos elegir productos conectados y aplicaciones que probablemente serán populares entre los consumidores de Norteamérica y Europa. Nuestras decisiones se basan en nuestra investigación de productos más vendidos y mejor calificados entre una variedad de sitios web de productos para el consumidor, como Consumer Reports, Wirecutter, CNET, entre otros.

Etiquetas de advertencia *Privacidad no incluida

Ponemos nuestra etiqueta de advertencia de *Privacidad no incluida a productos que hemos determinado que presentan más problemas cuando se trata de proteger la privacidad y seguridad de los usuarios. Un producto recibirá la etiqueta de advertencia de *Privacidad no incluida si tiene dos o más advertencias de nuestra parte de acuerdo con los criterios siguientes: Cómo utiliza la empresa los datos que recopila de los usuarios. Reprobamos a las empresas que venden datos o recopilan más de los necesarios para fines de su negocio en general, por ejemplo, las que compran datos a comerciantes de datos. ¿Cómo controlan los usuarios sus datos. También reprobamos a las empresas si no cuentan con un procedimiento claro y manejable para que el usuario borre sus datos o si no explican por cuánto tiempo los conservan. ¿Qué historial tiene la empresa en cuanto a la protección de datos de usuarios? También reprobamos a una empresa si tiene malos antecedentes por no proteger los datos de los usuarios a causa de vulneraciones, filtraciones y vulnerabilidades de seguridad conocidas y reportadas. Por último, también la reprobamos si no podemos confirmar si un producto cumple con nuestros Estándares mínimos de seguridad. De manera excepcional, podríamos reprobar a una empresa que reciba solamente una de nuestras advertencias si determinamos que se trata de un aviso especialmente preocupante para los consumidores.

Aunque actualmente podemos emitir una advertencia sobre un producto por usar inteligencia artificial no confiable, no empleamos ese elemento para decidir si colocamos una etiqueta de advertencia de *Privacidad no incluida, pues todavía es muy poca la información que proporcionan las empresas y no podemos comparar fácilmente un producto con otro que posee un nivel de confianza elevado.

¿Qué podría pasar si algo falla?

Incluimos esta sección para ayudar a entender a las personas qué podría ir bien o salir mal en relación con la privacidad y seguridad de cada producto. Buscamos identificar los riesgos y preocupaciones relevantes para los consumidores específicamente. Aunque lo más probable es que no suceda nada malo con la mayoría de los productos incluidos en esta guía, también es bueno pensar qué podría pasar si algo saliera mal tomando como referencia situaciones de la vida real.

Consejos para protegerte

Revisamos las sugerencias del fabricante del producto y recurrimos a guías de privacidad y seguridad publicadas por una variedad de expertos, tanto en Mozilla como externos, con el fin de proporcionar unos cuantos consejos sencillos que sirvan a los usuarios de cada producto para protegerse. Estos consejos constituyen recomendaciones de salvaguardia, no son garantías.

Permisos

Analizamos si es posible que el dispositivo pudiera espiarte si sufriera un hackeo o filtraciones, o si no funcionara correctamente. Toma en cuenta que, el hecho de que un dispositivo pudiera espiar, no significa que lo hará. Simplemente se trata de una posibilidad que los usuarios deberían considerar antes de comprarlo.

Para determinar esto, revisamos los sitios web del producto y la Google Play Store o la Apple App Store para verificar los permisos que cada aplicación solicita y así decidir si el dispositivo y su aplicación utiliza la cámara o el micrófono o rastrea tu ubicación. (Nota: Una aplicación puede obtener una ubicación "aproximada" o "basada en la red". Si una aplicación solicita cualquier información de ubicación, incluyendo la ubicación aproximada, se le marca con "Sí" en "Rastrea ubicación”.)

Las aplicaciones que controlan los dispositivos conectados típicamente requieren solicitar permiso en tu teléfono para poder funcionar. En general, esto está bien. Pero, queremos que los consumidores sepan detectar cosas que no parecen estar bien, por ejemplo, que una aplicación de rastreo de fitness para niños solicite permiso para usar el micrófono del teléfono o que un aparato de ejercicio en casa solicite permiso para rastrear la ubicación.

Privacidad

Evaluamos los documentos de privacidad disponibles al público que las empresas proporcionan sobre cada producto, entre otros, las políticas de privacidad, las páginas de privacidad y las preguntas frecuentes. Intentamos determinar (1) qué tipo de información se recopila generalmente de cada producto, tanto personal, como biométrica y social; (2) cómo usa la empresa los datos; (3) cómo puedes controlar tus datos, incluyendo como acceder a ellos y borrarlos; (4) el historial conocido de una empresa en cuanto a la protección de datos de los usuarios; (5) si el producto puede usarse sin conexión; (6) y si la política de privacidad le resulta fácil de entender a los usuarios. En caso de que una empresa no proporcione un aviso de privacidad específico para un producto, dependemos de su política general de privacidad para obtener esta información. Con frecuencia, esto significa que no podemos constatar si la información que aparece en los documentos de privacidad de una empresa realmente es fidedigna respecto a un producto en particular. En nuestras solicitudes de información a las empresas antes de publicarla, pedimos que proporcionen las políticas de privacidad específicas para cada producto. Y si una empresa las comparte, las analizamos. Consideramos que los consumidores deberían tener acceso a las políticas y documentos de privacidad antes de comprar un producto. Es importante saber qué datos recopila una empresa y cómo los utiliza antes de descargar una aplicación o comprar un producto.

¿Qué tipo de datos recopila la empresa?

Información personal

En la guía registramos qué tipo de información personal recopila cada producto, conforme a lo que se especifica en la política de privacidad. Estos datos incluyen, entre otros, el nombre, la dirección de correo electrónico, el número de teléfono y el domicilio.

En esta información, incluidos los datos biométricos, describe nuestro cuerpo y características personales distintivas, como huellas dactilares, voz y frecuencia cardíaca. Muchos dispositivos recopilan datos confidenciales como estrés, patrones de sueño y ciclo menstrual, por ejemplo. Algunos utilizan el rostro o la voz para identificarnos.

Información social

Los datos sociales incluyen información sobre tus amigos y tus contactos. En la guía, te explicamos qué productos recopilan esta información social, aunque no incluimos el intercambio de enlaces u otra información en las redes sociales a través del producto en sí (por ejemplo, cuando compartes en Facebook la ruta de alguna carrera).

¿Cómo utiliza la empresa estos datos?

¿Cómo recopilan, usan, comparten o venden las empresas los datos de terceros? ¿Las empresas combinan los datos de usuarios con datos de otras fuentes? ¿Se utilizan los datos para publicidad? Para esta pregunta, analizamos la documentación sobre privacidad de la empresa para determinar cómo y cuándo se comparten los datos personales de los clientes con terceros por motivos distintos a los previstos. Por ejemplo, si una empresa puede compartir o vender datos personales de sus clientes a terceros, o si los terceros usan los datos con propósitos comerciales, entonces lo señalamos. Con frecuencia, las políticas de privacidad se redactan para brindar a las empresas una extensa variedad de opciones para compartir datos y conseguir ventas, incluso si dichas empresas de hecho por el momento no se dedican a alguna de esas actividades. Para determinar las prácticas actuales, buscamos las Preguntas frecuentes u otra información en los sitios web de las empresas para proporcionar información adicional. Además, si una empresa nos proporciona información publicada acerca de tales prácticas, la incluimos, así como cualquier enlace relevante.

Al determinar si un producto recibe una advertencia con base en tales criterios, analizamos tres factores principales: (1) ¿Cuántos datos del usuario recopila la empresa? Con estos datos, ¿qué averigua la empresa sobre ti? ¿Recopila una gran cantidad de datos personales o solamente lo que parece necesario para que funcione su producto? (2) ¿La empresa comparte, combina o vende datos con gran cantidad de terceros con propósitos que rebasan la función normal de su producto? (3) ¿La empresa proporciona avisos claros y explícitos antes de compartir los datos de usuarios con terceros? (4) ¿Qué tipo de datos se comparten para propósitos de publicidad y mercadotecnia? En nuestras reseñas, intentamos explicar a los usuarios qué tipos de recolección de datos deberían preocuparles.

¿Cómo puedes controlar el uso de tus datos?

¿La empresa ofrece algún medio para que los usuarios soliciten el acceso a sus datos y su eliminación? Buscamos menciones en este sentido en la política de privacidad o un portal o contacto en línea de la empresa para que los usuarios eliminen sus datos rápida y fácilmente. También buscamos períodos de retención y métodos de eliminación, sin olvidar que este tipo de plazos pueden variar mucho y quizás su uso sea diferente para cada producto. Cuando se ofrece la anonimización (permitida según el GDPR de la Unión Europea) como alternativa a la eliminación de datos, señalamos que algunas de sus modalidades no eliminan por completo la posibilidad de identificación.

Al decidir si un producto recibe una advertencia conforme a estos criterios, analizamos tres factores principales: (1) ¿La empresa proporciona medios para que un usuario solicite el acceso a los datos que la compañía ha recolectado? (2) ¿La empresa tiene procesos claros para que los usuarios soliciten la eliminación de sus datos en un período razonable de tiempo? (3) ¿La empresa proporciona detalles de retención de datos de los usuarios? ¿La empresa promete borrar los datos después de que ya no los necesite para cumplir con el propósito para el que se recolectaron?

¿Qué historial tiene la compañía en cuanto a la protección de los datos de los usuarios?

Evaluamos el historial de almacenamiento y protección de datos del consumidor de cada empresa al menos por un período de tres años. Llevamos a cabo una investigación para encontrar cualquier hackeo público conocido, violaciones de datos, fugas de datos u otros incidentes.

Al decidir que un producto reciba una advertencia conforme a este criterio, analizamos cuatro factores principales: (1) ¿Ha sufrido la empresa alguna vulnerabilidad de seguridad o filtración de datos grave en los últimos tres años? (2) Si se sabe que la empresa ha adolecido de vulnerabilidades de seguridad, ¿ha actuado rápida y abiertamente para solucionar esos problemas de seguridad? (3) ¿La empresa posee un historial de honestidad y ética cuando se trata de proteger los datos de los usuarios? (4) ¿Cuál fue el volumen y sensibilidad de los datos filtrados?

¿Se puede usar el producto sin conexión?

Revisamos si el producto puede utilizarse sin conexión o si requiere estar conectado para usarlo adecuadamente (si procede). Incluimos esto para que los consumidores sepan si, por ejemplo, es necesaria una aplicación que podría recopilar datos sobre ellos.

Información de privacidad fácil de entender

Evaluamos qué tan fácil resulta encontrar información clara, específica y comprensible sobre las políticas de privacidad de un dispositivo. ¿Con qué claridad se enuncia esa información? La información sobre privacidad debe ser clara e inteligible, y explicar a los consumidores información básica sobre lo que sucede con sus datos. Analizamos si la empresa proporciona información de privacidad fácil de leer, tanto en su política de privacidad como en otras páginas relacionadas. En nuestra investigación, las políticas de privacidad ambiguas, densas, demasiado largas y complejas no se consideran fáciles de entender para los usuarios.

Estándares mínimos de seguridad

Mozilla formuló un conjunto de Estándares mínimos de seguridad que decidimos definimos como imprescindibles para cualquier fabricante de productos conectados. Enviamos mensajes de correo electrónico a cada empresa tres veces como mínimo (el primer mensaje se envía al menos 30 días antes de publicar) para solicitarle más información acerca de su producto y la manera como cumple con nuestros estándares. Si las empresas no responden, investigamos más a fondo para encontrar respuestas donde sea posible. Si no podemos tomar una decisión a partir de la respuesta de la empresa y nuestra propia investigación con base en los cinco criterios a continuación, indicamos que la empresa no cumple con nuestros Estándares mínimos de seguridad. Cuando una empresa ofrece información adicional, incluso después de la publicación, añadimos esa información al listado de productos.

Hemos evaluado todos los productos de nuestra lista según cinco criterios:

Cifrado

El producto debe utilizar cifrado en tránsito y en reposo (cuando corresponda). El producto debe utilizar cifrado o encriptación para todas sus funciones y capacidades de red, garantizando de este modo que las comunicaciones no sean escuchadas o modificadas durante el tránsito. Los datos del usuario, cuando se almacenan, deben estar encriptados. Aunque se prefiere el cifrado de extremo a extremo, no es un requisito indispensable para nuestros Estándares mínimos de seguridad.

Actualizaciones de seguridad

El producto debe poder recibir actualizaciones de seguridad automáticas durante un período razonable después de la venta, y esta prestación debe estar habilitada de forma predeterminada. Esto garantiza que cuando se detecta una vulnerabilidad, el proveedor puede poner a disposición de los consumidores actualizaciones de seguridad, que primero se verifican (mediante algún tipo de criptografía) y después se instalan sin problema alguno.

Contraseñas fuertes

Si el producto utiliza contraseñas u otras medidas de seguridad para la autenticación remota, debe exigir el uso de contraseñas seguras e incluir requisitos sobre seguridad de contraseñas. Las contraseñas predeterminadas que no sean únicas también deben poder restablecerse como parte de la configuración inicial del dispositivo. De este modo, se protege el dispositivo de ataques por contraseñas fáciles de adivinar que podrían ponerlo en riesgo. Cuando el dispositivo se protege con algo más que una contraseña, −por ejemplo, una conexión Bluetooth segura−, ponemos NA en ese campo.

Gestión de la vulnerabilidad

El proveedor debe contar con un sistema para gestionar las vulnerabilidades de seguridad de su producto. Esto también debe incluir un punto de contacto para denunciar tales vulnerabilidades o algún programa de recompensa de errores equivalente. De este modo, se garantiza que los proveedores gestionen de forma proactiva las debilidades de seguridad a lo largo de toda la vida útil del producto.

Política de privacidad

El producto debe tener a disposición del público una política de privacidad o cualquier otra página de privacidad aplicable al dispositivo, aplicación o servicio en proceso de evaluación. También en la política de privacidad debe ofrecer información de contacto viable para que los consumidores se comuniquen cuando tengan preguntas o inquietudes relacionadas con el tema.

Inteligencia artificial

Comprobamos si el producto utiliza inteligencia artificial o no. Definimos IA como: "Tecnología automática que toma decisiones por ti o realiza cambios basados continuamente en función de tus datos como usuario". Lo anterior abarca desde los cambios que Alexa realiza para entender mejor lo que dices y los ejercicios que te recomienda tu pulsera de fitness para alcanzar un objetivo específico, hasta si tu cámara de seguridad decide no avisarte porque es capaz de distinguir un gato de un intruso. Encuentras más información sobre la opinión de Mozilla acerca de la creación de IA confiable en nuestro libro blanco Creating Trustworthy AI.

¿El producto usa la inteligencia artificial?

Con base en las respuestas de las empresas y en nuestra propia investigación, indicamos si un producto utiliza IA o no, y si no nos fue posible determinar si el producto hace uso de ella.

¿Es poco confiable la IA?

Para decidir si un producto debe recibir una advertencia por este criterio, nos basamos en informes de expertos y fuentes confiables para analizar si podemos determinar que: (1) las decisiones respecto a la IA presentan sesgos, y (2) la IA se comporta de alguna manera que consideramos no ética o poco confiable.

¿Qué tipo de decisiones toma la IA acerca de ti o por ti?

¿Qué dice la empresa que hace la IA del producto? Para responder esta pregunta, analizamos la descripción del producto y también, si están disponibles, los documentos sobre IA y otros documentos oficiales.

¿La empresa es transparente acerca del funcionamiento de la IA?

¿Está disponible públicamente la información sobre la manera como el algoritmo detrás de la IA toma las decisiones? El acceso a información básica acerca de cómo se toman las decisiones habilitadas mediante IA es uno de los grandes problemas en torno a la inteligencia artificial que analizamos en los productos para el consumidor. Por ejemplo, cómo evita el algoritmo los sesgos y garantiza la equidad. ¿La empresa informa y explica al público de qué manera funciona su IA? Si podemos encontrar documentación técnica, artículos académicos, códigos de fuente abierta y otros documentos acerca de la IA, marcamos este campo con un "sí".

¿Tiene el usuario control sobre las características de la IA?

Sí/No/Limitado/NA/No se puede determinar

Tratamos de determinar si hay alguna manera de no consentir la IA o de ajustar la configuración de la IA.