Dado que la Web 2.0 utiliza la tecnología web, los riesgos tecnológicos que asume con ello son los de la tecnología subyacente. Los controles de autenticación en la Web 2.0 son muy débiles o inexistentes y no puede ser de otro modo si pretende tener centenares de millones de usuarios apuntados. Si se utiliza exactamente la misma tecnología en un entorno empresarial o gremial, las herramientas de autenticación no van a ser otras, por lo que corremos el riesgo de que allí dentro entre cualquiera.

“Software Social”
Dentro de esa misma revolución que se dio en llamar Web 2.0, hay que destacar la aparición de los que podríamos llamar Software Social, y que no es otra cosa que las aplicaciones que permiten la captura, almacenamiento, comunicación y presentación de la información por parte de los seguidores de las redes sociales. Como ejemplos tenemos las herramientas de mensajería instantánea, los foros de Internet, las wikis, los blogs, los sitios para compartir vídeos y fotografías, los editores colaborativos en tiempo real, los juegos en línea masivamente paralelos, las realidades alternativas (Second Life³) o el almacenamiento social en línea⁴ (Wuala⁵), y muchos otros. Los más de quince millones de entradas (3,8 millones en la versión inglesa) de la enciclopedia colaborativa Wikipedia ponen de manifiesto que no sólo no se trata de una fama transitoria a la que todo el mundo se apunta, sino que puede llegar a reunir un montón de esfuerzo, enciclopédico en este caso, que no ha salido de aliciente pecuniario alguno.
En realidad, las redes sociales mayoritariamente consisten en reunir en un mismo sitio aplicaciones que ya, de por sí, eran populares y de uso común (correo-e, http, chats, foros, etc.) Esta reunión de servicios permite al usuario conectarse instantáneamente de uno en uno o en pequeños grupos. No existen normas específicas para el despliegue de estas tecnologías. No existe, a excepción quizás de las Wikis, una plataforma común⁶ para poner en pie estos imperios. Todas las redes sociales actúan a través de Internet mediante navegadores web, por lo que no tienen más remedio que atenerse a sus características y limitaciones. En una red social, las normas técnicas las dicta, sin saberlo, el usuario y el “mercado” de potenciales usuarios, y no criterios de mejor administración, mayor seguridad, o cualquier otro tipo de norma o ley impuesta por las naciones a las que pertenecen sus usuarios.

Usos para empresas y administraciones
El mundo de las redes sociales es un territorio aún bastante inexplorado y, sobre todo, carente de toda ley y orden. Por si alguien ha podido pensar que este fenómeno está localizado y es propio de adolescentes, bien puede buscar iniciativas como Enterprise 2.0⁷, E-learning 2.0⁸, Government 2.0⁹, Health 2.0¹⁰, Library 2.0¹¹ e incluso, Porn 2.0¹².
La iniciativa Enterprise 2.0 pretende llevar el software social al interior de la empresa o para utilizarlo en entornos empresariales. En oposición al software empresarial tradicional, el software social empresarial favorece antes el uso que la organización o la estructura o jerarquía. Son sistemas basados en tecnología web para permitir a sus usuarios una rápida y ágil forma de colaborar, de compartir información, de crear e integrar de diversas capacidades. Estas redes permiten buscar a otros usuarios (p.e. Linkedin¹³) y contenidos, establecer enlaces que agrupen usuarios y contenidos, crear contenidos y ponerlos a disposición de otros como blogs o wikis, hacer propuestas según los antecedentes previos de navegación, consumo o consulta, etc.

Como la Web 2.0 se concibió para colaborar y compartir información, la fuga de datos es consustancial con ella. Dado que el teletrabajo difumina la frontera que hay entre el trabajo y la vida privada, no es de extrañar que los pasos del trabajo pasen a la vida privada y de allí a cualquier lugar del ciberespacio social.

Riesgos de seguridad
Dado que la Web 2.0 utiliza la tecnología web, los riesgos tecnológicos que asume con ello son los de la tecnología subyacente. Los controles de autenticación en la Web 2.0 son muy débiles o inexistentes y no puede ser de otro modo si pretende tener centenares de millones de usuarios apuntados. Si se utiliza exactamente la misma tecnología en un entorno empresarial o gremial, las herramientas de autenticación no van a ser otras, por lo que corremos el riesgo de que allí dentro entre cualquiera.
Los ataques por Cross Site Scripting (XSS) permiten que un atacante interno envíe a un servidor, cuanto más popular mejor, un contenido maligno y que éste se almacene en el servidor y se le muestre o se ejecute en el navegador de cualquier otro usuario que se conecte al servidor afectado. Incluso, esa inoculación maligna, Cross Site Request Forgery o CSRF, puede ser de un código que genera, en el navegador del cliente y de forma no detectada, solicitudes de conexión a sitios en los que el usuario nunca ha estado. Esas conexiones subliminales pueden, incluso, ser a sitios que el titular sí visita y lo harán suplantando por completo la identidad de su inadvertida víctima.
Otro de los riesgos específicos de la tecnología web y que heredan las redes sociales es el de la imposibilidad de que el usuario humano pueda autenticar el web al que se conecta, y que se llama comúnmente phishing. Siendo imposible distinguir qué webs son las verdaderas y cuáles las falsas, nunca podremos estar seguros de no haber entregado nuestra identidad al ejercitarla mostrando nuestros secretos simétricos (passwords, tablas de coordenadas, etc.).
Como la Web 2.0 se concibió para colaborar y compartir información, la fuga de datos es consustancial con ella. Dado que el teletrabajo difumina la frontera que hay entre el trabajo y la vida privada, no es de extrañar que los pasos del trabajo pasen a la vida privada y de allí a cualquier lugar del ciberespacio social. La acumulación de pequeñas informaciones “no-sensibles” permite obtener información valiosa acerca de lo que hacen nuestros contrincantes, y esas informaciones pueden encontrarse si es que llegan a estar en Internet.
Además de los ataques por inyección de códigos perniciosos, la falta de integridad de los datos también supone un importante riesgo. La desinformación, el engaño, es una herramienta muy potente para conseguir que alguien haga algo que realmente no le conviene; si no lo creemos, basta con recordar cómo se equivocó la inteligencia alemana sobre cuál sería el área de desembarco de los aliados para reconquistar Europa (Operaciones Mincemeat¹⁴, Fortitude¹⁵ y el agente doble Arabel-Garbo¹⁶).

Gran parte del software social ha sido diseñado deprisa y corriendo, y sin atender en lo más mínimo a su seguridad, por lo que no se puede esperar ésta. Si las redes sociales son malas para la intimidad de las personas, entendiendo por intimidad algo que quizás ya no tiene la misma vigencia que antes, también son perniciosas para la necesaria discreción empresarial si lo que se persigue es incluirlas dentro del medio empresarial actual.

Redes sociales
De todas las iniciativas de red social puestas en marcha, actualmente la reina es Facebook, que fue creada en 2004 en un entorno pequeño, universitario y elitista: la Universidad de Harvard. Al principio, los usuarios debían proporcionar una dirección de correo electrónico de esa universidad, pero pronto se extendió ese derecho a los estudiantes de secundaria y profesionales en EE.UU. y, al final, a cualquiera que pudiese acceder a Internet, como es el caso actual. En el origen, esta iniciativa tenía un carácter relativamente cerrado, íntimo y privado, por lo que su falta de seguridad podría incluso estar justificada, ya que se trataba de llevar a Internet lo mismo que ocurría dentro del campus universitario. Sin embargo, cuando ese mismo modelo se eleva a la escala planetaria, lo que antes podía valer, ahora ya no vale.
El encanto de Facebook es que convierte a su subscriptor en un “perfil” sobre el que él o ella tienen un control total, y que puede hacer accesible a otros usuarios del sitio a los que acepta como “amigos”. En ese perfil se puede volcar todo aquello que sea digitalizable (escritos, podcasts, vídeo, fotos, etc.) y así se comparte con todos los amigos. Aunque el sistema de control de acceso fuese perfecto, la falta de granularidad en el concepto de “amigos” hace que aceptemos en un mismo grupo a agentes o personas con las que no se comparte el mismo nivel de intimidad y, así, dejaremos expuestas las informaciones de mayor valor privado a la vista de nuestros “amigos” más lábiles y circunstanciales. Lo más útil de los usuarios de las redes sociales no es lo que nos pueden decir de ellos, sino lo que nosotros podemos deducir de sus conocidos a través de, por ejemplo, sus fotos.
Facebook es inaccesible desde países como Siria, China, Vietnam e Irán, y también desde las instalaciones de muchas empresas que alegan así evitar “pérdidas de tiempo”. La verdad es que en el primer caso lo que se pretende es dificultar o impedir la comunicación no censurada de sus ciudadanos pero, en el segundo caso, lo que se quiere evitar es que salga información privada o sensible de la empresa hacia Internet. En ambos casos, la eficacia de esos bloqueos es muy dudosa.
Otra iniciativa que reinó antes de Facebook es MySpace, nacida en 2003 a la sombra de la iniciativa Friendster, de la mano de trabajadores de la empresa eUniverse. En 2006 se convirtió en la red social más popular de los EE.UU. El tiempo que requirió el desarrollo de la plataforma software sobre la que nació MySpace fue de diez días, por lo que no se podía esperar de ella grandes prestaciones en lo que a su seguridad se refiere.
La empresa eUniverse, después Intermix Media, fue procesada en 2005 en EE.UU. acusada de incluir spyware que ilegalmente le abría pantallas (pop-ups) en los equipos de sus subscriptores, y en 2005 Samy Kamkar desarrolla el primer gusano por cross-site scripting auto propagado que inundó MySpace. Con estos antecedentes, esa red social llegó a ser descrita como un “nido de spyware”. Los fallos continuaron apareciendo y las soluciones que se les daban no arreglaban del todo el problema y restaba flexibilidad para el usuario de la red social, lo que iba en contra de su popularidad. En enero de 2008 los abogados de estado de 49 estados de EE.UU. (todos menos uno) escribieron recomendaciones sobre la (in)seguridad de MySpace y otras redes sociales. En esa guía se incluían, como única solución, restricciones en el uso de esas tecnologías, lo que les restaba comodidad para el usuario; sentirse vigilado nunca ha sido cómodo.
Más recientemente, la gran sorpresa han sido las iniciativas de micro-blogging como es el caso de Twitter, que es una red social en la que, esencialmente, se publican mensajes de texto de 140 caracteres como mucho. Lo que cada uno publica en su micro-blog es inmediatamente transmitido a sus “followers”, implementando la mensajería de uno a varios, por lo que se la ha descrito como los SMS de Internet.
Lo interesante es que esta iniciativa social tiene usuarios muy curiosos, como puede ser la Policía Nacional¹⁷ española, que la utiliza para publicar sus logros ante una comunidad siempre creciente de más de mil trescientos seguidores. En EE.UU. son cada vez más los departamentos de policía o de emergencias los que utilizan las redes sociales para distribuir mensajes de forma rápida a la comunidad que sirven.
Además de estos usos tan loables, Twitter, por ejemplo, ha servido para identificar y detener a anarquistas como Elliot Madison, que dirigían las protestas anti G-20 en Pittsburgh, mediante mensajes de Twitter a sus activistas. El analista informático guatemalteco Jean Anleu Fernández fue detenido por llamar a la retirada masiva de fondos de un banco, y en Irán, la policía del régimen utiliza los mensajes intercambiados por miembros de la oposición para tener controlados sus pasos. En febrero de este año, los agentes de la Oficina de Control de Drogas de California, en EE.UU., liberaron a un camello y pandillero haciendo creer que había llegado a un acuerdo con ellos. El resultado es que todos los miembros de la banda empezaron a intercambiar avisos y advertencias, que fueron diligentemente “seguidos” por las fuerzas policiales, y ello condujo a la identificación y arresto de toda la banda en el área de San Francisco. Estudiando el uso de las redes sociales por parte de los pandilleros, la policía consiguió identificar a gente que no hubiese imaginado siguiendo procedimientos convencionales y, además, podían conseguir “declaraciones” que los tribunales norteamericanos pudiesen aceptar como pruebas.
Un estudio interno del departamento de Justicia de EE.UU. revela que Facebook es más “cooperante” con la policía que Twitter. Dicho estudio lo colocó en Internet la Electronic Frontier Foundation y pretende explicar a policías y fiscales la utilización que puede hacerse de las redes sociales: establecer motivaciones, relaciones personales, confirmar o desmentir coartadas, etc. Analizando los cuatro principales sitios utilizados en EE.UU., concluye que Facebook “es a menudo cooperativo con las demandas urgentes”. En cambio, con Twitter se topan con obstáculos como no dar los números de teléfono de sus usuarios, no guardar datos sin procedimiento jurídico por medio, y la empresa tiene, como política explícita, comunicar datos sólo en respuesta a un requerimiento judicial.
En el escenario español, el fenómeno red social se llama Tuenti. Se trata de una red social privada que sólo acepta miembros por invitación y permite a sus usuarios confeccionar su perfil, subir fotos, enlazar vídeos, conectar con sus amigos, chatear con ellos, etc. A diferencia de otras plataformas de red social, sus herramientas facilitan la organización colectiva de eventos, y ya cuenta con más de ocho millones de subscriptores en nuestro país.
Las tecnologías de red social son un arma de doble filo, una tecnología de doble uso. Al igual que permite a las agencias y cuerpos de seguridad seguir e investigar las actividades de todos aquellos delincuentes que las utilicen, eso no significan que sean sólo ellos lo que lo hagan autorizados por una orden judicial. Si la tecnología, por su inseguridad, permite esas acciones de “inteligencia”, también lo podrán hacer otros que no gocen de esa legitimidad jurídica.
Los periódicos aventan que “las redes sociales captan ya a tres de cada cuatro internautas”, que “el Defensor del Menor tiene un perfil falso en Tuenti para controlar cómo lo usan sus hijos”, que “Bruselas acusa a las redes sociales de descuidar la privacidad de los niños”, que están llenas de fallos técnicos que permiten descalabros irreversibles de la intimidad de sus usuarios. Realmente, no está del todo claro cuál es el “negocio” de aquellos que proveen el servicio a las redes sociales ya que todo ese tinglado cuesta no poco dinero y las cuentas no están claras. Las redes sociales pueden llegar a construir la sociedad binaria que describió Herbert George Wells en su obra “The Time Machine”¹⁸ (1895), donde los inocentes elois vivían a cuerpo de rey cuidados por los morlocks que, llegada la hora, se los comían como nosotros nos comemos a los terneros.
Muchas escuelas, librerías públicas y empresas de EE.UU., Reino Unido, Australia y Malasia han restringido el acceso a MySpace, ya que lo consideran “un paraíso para los cotilleos y los comentarios mal intencionados”. Una escuela católica de Nueva Jersey ha prohibido a sus estudiantes utilizar MySpace en casa, para protegerles de los depredadores on-line¹⁹. Estos intentos de bloqueo no siempre han tenido éxito ya que se han utilizado proxies web y falsos navegadores para acceder al sitio. Las redes anonimizadoras y algunas VPNs son capaces de “tunelar” Internet y dificultar seriamente el filtrado por IP, por contenido o el mismo análisis del tráfico. En Internet hay más procedimientos para evitar bloqueos que para establecerlos; de hecho, desde su origen, debía sobrevivir a un ataque termonuclear total.
Una preocupación clásica de la empresa es la liberación de información sensible en entornos no controlados o ajenos. El rango de estos incidentes va desde los ataques coordinados de “black hats” con el apoyo del crimen organizado o de gobiernos nacionales (ciberguerras), hasta la liberación descuidada de equipos informáticos usados o medios de almacenamiento (cintas con copias de seguridad, discos duros, memorias USB o portátiles) que es mucho más frecuente. Privacy Rights Clearinghouse²⁰ estima que, entre enero de 2005 y mayo de 2008, se filtraron un total de 227 millones de registros con datos sensibles. También se dan casos en los que se coloca información privada en un ordenador accesible desde Internet sin tomar las más mínimas precauciones, y luego se pierde causando un daño irreversible a una multitud de ciudadanos.

Es poco probable que Internet cambie en lo esencial –¡nació para compartir información y sobrevivir a un apocalipsis termonuclear!– por lo que tendrán que ser las empresas que en ella desembarquen las que se adapten para sobrevivir.

Conclusiones
Hemos de tener siempre presente que las redes sociales nacieron fuera del entorno empresarial y allí han dado sus frutos. Las características de trabajo colaborativo y no jerarquizado que son el alma del paradigma Web 2.0 y del software social no coincide con el paradigma empresarial convencional al uso. De hecho, nadie ha exigido que las redes sociales sean seguras, por lo que no lo son.
A diferencia de lo que ocurrió con los tamagotchi²¹ cibernéticos o “avatares” de Second Life, es de esperar que las redes sociales perduren en el tiempo dado el importante cambio cualitativo, casi revolucionario, que suponen para los escenarios de relación humana y social. Gran parte del software social ha sido diseñado deprisa y corriendo, y sin atender en lo más mínimo a su seguridad, por lo que no se puede esperar ésta. Si las redes sociales son malas para la intimidad de las personas, entendiendo por intimidad algo que quizás ya no tiene la misma vigencia que antes, también son perniciosas para la necesaria discreción empresarial si lo que se persigue es incluirlas dentro del medio empresarial actual.
Es difícil impedir que un mismo artefacto que, a la vez, puede acceder a la información más sensible de una empresa y además conectarse libremente a Internet, no termine siendo una “pasarela” hacia fuera de datos privados y sensibles. Esto puede ocurrir tanto con el conocimiento y consentimiento del operador de ese instrumento, como bajo las órdenes de un software maligno que permanece inadvertido en el sistema. Para una empresa, el problema no son las redes sociales, sino el acceso indiscriminado a Internet. La seguridad sólo puede existir si, antes de nada, se define un dentro y un fuera. Los instrumentos de trabajo empresarial no deben ser los de propósito general. No hay mejor instrumento para el espionaje dentro de una compañía²² que alguno de sus smartphones u ordenadores portátiles.
¿Quiere decir todo esto que el mundo empresarial debe mirar a otro lado y mantenerse al margen del fenómeno Web 2.0 o de las redes sociales? La respuesta es negativa. Sería ingenuo proponer que no se hiciese caso a esas plataformas de comunicación y relación en las que, como en un hormiguero, millones de usuarios gastan bastantes horas de sus vidas. Una cosa es considerar los escenarios Web 2.0 y otra asumir su tecnología y planteamientos sin reconsideración crítica alguna. Que el marketing hay que hacerlo donde están los clientes, es obvio, por lo que las empresas deben poner sus cabezas de puente en las redes sociales y con ello facilitar su contacto con los clientes o potenciales clientes. Sin embargo, no hay que olvidar que el modelo actual de empresa requiere de cierta jerarquía, disciplina y secreto que son imposibles de defender utilizando el software social actual. No es cuestión de esperar a que ese software evolucione y se haga seguro para nuestros intereses, sino que el escenario es distinto y que siempre deberá haber una frontera que separe los universos planos de las redes sociales y las jerarquías tridimensionales de la organización empresarial.
En este momento hay dos posibilidades: por una parte está 1) seguir los planteamientos clásicos y convencionales en la protección de información y abandonar el paradigma colaborativo de la Web 2.0, el software social que ella ha inspirado, sólo conectar con las redes sociales que ha creado y seguir definiendo perímetros, clasificando informaciones, estableciendo reglas de información mínima, y procediendo a la ortogonalización de procesos e informaciones, entre otras medidas. La otra opción es 2) proceder al replanteamiento del funcionamiento empresarial que conocemos. ¿Es realmente necesario el secreto en nuestras empresas? ¿Es realmente necesario ocultar cuál es nuestra cartera de clientes, las finanzas de nuestros proyectos o cuánto cobran exactamente cada uno de nuestros asalariados? ¿Cuánto vale la integridad de nuestros datos e informaciones? ¿Qué es mejor, concentrar o dispersar datos y recursos? ¿Es mejor la unificación en una única estructura monolítica o es preferible desgranar la información?
Las tecnologías de la información están proporcionando instrumentos y haciendo posibles escenarios completamente nuevos y no imaginables hace simplemente unas décadas. Sin duda, esos nuevos territorios serán colonizados, serán medios de cultivo para nuevas formas de empresa, para nuevos negocios, pero impondrán sobre sus colonos unas restricciones insoslayables como es la imposibilidad de ponerle puertas al mar o gozar de una seguridad como hoy la definimos y conocemos. Es poco probable que Internet cambie en lo esencial –¡nació para compartir información y sobrevivir a un apocalipsis termonuclear!– por lo que tendrán que ser las empresas que en ella desembarquen las que se adapten para sobrevivir.