¿Emitir pasaportes convierte a Microsoft en un país?

From The Joel on Software Translation Project

Jump to: navigation, search

Por Joel Spolsky
traducción: H.F. Jimenez
Miércoles, 26 de Julio, 2000

¿Soy el único aterrorizado por Microsoft Passport? Me parece un intento evidente de construír la mayor y más rica base de datos de consumidores del mundo, y luego obtener fabulosos réditos explotándola. Es una amenaza aterradora para la privacidad personal de todos y hará que las "cookies" de hoy parezcan tímidas en comparación. Lo más atemorizante es que Microsoft promociona Passport como si fuera un beneficio para los consumidores. ¡Y la gente parece creérselo! Para el momento en que hayas terminado de leer este artículo, puedo garantizar que vas a querer cerrar tu cuenta de Hotmail y mantenerte lejos de los sitios web de MSN.

Este artículo tiene dos partes. Primero, presentaré un breve repaso técnico sobre cómo Passport funciona y por qué elimina la última línea de defensa que protege tu privacidad. Segundo, hablaré sobre cómo Microsoft planea desarrollar Passport para crear una masiva base de datos de información de consumidores y enlazar junta toda tu información privada, y cómo planean beneficiarse fantásticamente con ello.

Pero antes de empezar, déjame decir que no estoy escribiendo esto sólo para denigrar a Microsoft. Ése no es mi objetivo. Microsoft es una gigantesca e inmensamente diversa compañía con mucha gente lista y mucha gente con ética; tienen muchos productos grandiosos y algunos productos patéticos también. Pasé 3 años trabajando en Microsoft, muchos de mis amigos siguen allí, y soy accionista de Microsoft. Estoy escribiendo este artículo porque creo que la historia de Microsoft Passport es fascinante desde la perspectiva de la privacidad y como estrategia de negocios, y porque nadie más parece estar cubriéndola.

Contents

Cómo funciona Passport

En los viejos tiempos de la computación interactiva, uno tenía una cuenta en una computadora, y eso era todo lo que podía usar. Uno tenía un nombre de usuario y una contraseña para recordar. Desde entonces la web cambió las cosas drásticamente: debido a que es tan fácil visitar montones de sitios web, puedes tener muchas cuentas con docenas de compañías en docenas de computadoras diferentes. Yo tenía 81 la última vez que las conté. La mayoría de las personas no tienen esperanzas de recordar 81 nombres de usuario y contraseñas , así que tienden simplemente a usar la misma contraseña en todos los sitios, o guardan una larga lista de contraseñas escrita en alguna parte. Es un poco molesto. Si uno compra en línea regularmente, probablemente se hartará de escribir su dirección, la información de su tarjeta de crédito, y recordar el nombre se usuario y la contraseña de todos esos sitios. Es extremadamente común que la gente abandone sus carros de compra en la web cuando ven la larga forma que deben llenar para crear una cuenta y comprar sus productos.

Éste es el tipo de problemas que Passport promete resolver. Para entender cómo funciona, quisiera tomarme unos minutos para hablar acerca de la seguridad en la web y tecnología de la privacidad, y cómo Passport las subvierte.

Cómo funcionan las cookies

Hay mucha información incorrecta sobre las cookies por allí. Todo lo que una cookie hace es avisarle al operador de un sitio web cuando alguien llega a su sitio habiendo estado allí antes. No le da al operador del sitio web ninguna información acerca de la identidad de esa persona; sólo dice "¿Hey, recuerdas a ese visitante que estuvo aquí el jueves a las 4:15 PM? Esa persona está aquí otra vez."

Técnicamente, funciona de manera que cuando llegues al sitio web por primera vez, el servidor web crea una identificación para ti, por ejemplo, si yo voy a www.e-Scoria.com, podrá seleccionar el número 76JU589SU para mí, el cual no significa nada. El servidor web envía este número identificador a mi navegador web, el cual lo almacena.

Ahora, la próxima vez que vaya a e-Scoria.com, mi navegador web le dirá al servidor web: "En caso de que te importe, soy 76JU589SU otra vez por aquí. Pensé que querrías saber."

Eso es todo lo que hace. Ahora, dado que en e-Scoria son inteligentes, abrieron un archivo para mí, marcado 76JU589SU. En ese archivo, podrían mantener cualquier información que les de. Si compro algo de e-Scoria y les doy mi dirección, podrían almacenar mi dirección en ese archivo 76JU589SU. Y mi tarjeta de crédito. Y una lista de cosas que compré. La próxima vez que quiera comprar algo, dado que ya saben quién soy, pueden dejarme comprarlo sin introducir mi dirección ni mi número de tarjeta de crédito, porque sólo tienen que buscarlo en sus archivos.

Teóricamente, la única información que e-Scoria puede poner en su archivo es la información que yo les doy. Los archivos de Amazon probablemente contienen información acerca de los libros que compré, mi dirección, información de tarjeta de crédito, y tal vez información acerca de los libros que miré pero no compré... cualquier información que puedan reunir con mi actividad en su sitio web. Amazon no sabe qué edad tengo o el color de mi cabello, dado que nunca les di esa información. No saben que mi café favorito es The Big Cup en Nueva York, porque nunca les dí esa información tampoco. Pero sí saben que compré el libro '101 lindos cachorritos' de ellos. Un día, si aparece 'Otros 101 lindos cachorritos', probablemente van a buscar en sus archivos gente que compró '101 lindos cachorritos' y nos van a avisar de la secuela la próxima vez que nos presentemos.

Cómo las cookies protegen tu privacidad

Ahora, supongamos que decido abrir una cuenta de tarjeta de crédito en línea. Por supuesto, a la compañía de tarjetas de crédito le encantaría saber que acabo de comprar "Bancarrota para torpes" y "Cómo defraudar a todos y mudarte a Brazil" de Amazon.com, pero no van a saberlo. ¿Por qué? Porque mi navegador web simplemente nunca le enviará mi cookie de Amazon a la compañía de tarjetas de crédito. La regla de oro de las cookies es que sólo pueden ser enviadas de regreso al mismo dominio web del cual provienen. Esto es importante de recordar, porque es lo único que realmente te protege de tener a todos los sitios web que visitas intercambiando información sobre ti. No quiero que mi compañía de crédito sepa que compré un libro sobre bancarrotas. No quiero que un potencial casero sepa que leo muchos artículos sobre cuidado de boas constrictoras. No quiero que empleadores potenciales sepan que leo sitios web sobre bombas caseras. Probablemente lo malinterpreten.

Desafortunadamente, éste en uno de esos casos en que los intereses del consumidor y los intereses de los sitios web están diametralmente opuestos. Cada sitio web en el mundo quiere enseñarte publicidad focalizada. Cuando visito The Dilbert Zone, les encantaría poder saber que leo The Jerusalem Post Online y enviarme publicidad de apartamentos de lujo en Israel, porque la publicidad focalizada se vende por mucho más dinero que la no-focalizada.

Subvirtiendo la Regla Dorada

Compañías de publicidad web, como Doubleclick, están tratando de recolectar tanta información sobre la gente como les sea posible, para poder enviarles publicidad focalizada. La manera en que lo logran es haciendo que sus sitios miembro enseñen publicidad que llegan desde el mismo dominio web.

He aquí un ejemplo de cómo funciona: voy al Jerusalem Post y leo las últimas noticias. El sitio web del Jerusalem Post incluye un aviso publicitario que en realidad se aloja en el servidor web de Doubleclick. Ahora Doubleclick abre un archivo para mí y envía una cookie de regreso a mi navegador web.

Más tarde, voy a The Dilbert Zone. Dilbert también incluye publicidad, también proveniente del servidor web de Doubleclick. Recuerden, la regla dorada de las cookies es que sólo pueden ser enviadas al mismo dominio web del que provienen. Así que mi ingenuo navegador web dice, "Ah, regresaste a Doubleclick, iré a decirles que eres la misma persona que estuvo aquí antes..." y ahora Doubleclick sabe que alguien que estuvo en el Jerusalem Post antes ahora está visitando Dilbert, así que me muestran ese anuncio del costoso departamento en Israel.

Passport tiene otra manera

El truco de Doubleclick para compartir información sólo funciona con publicidad, pero Microsoft Passport encontró una manera de dar un rodeo a la regla dorada para cualquier sitio. Así es como funciona.

Vayan a www.hotmail.com. Miren lo que su navegador web hace. Verán que su navegador primero va a Hotmail por un segundo, luego salta a www.passport.com por una fracción de segundo, y luego inmediatamente regresa a Hormail. ¿Qué está pasando?

Sucede que existe una característica que permite a una página web decirle al navegador que vaya a otro sitio. Por ejemplo, si tratan de ir a e-Scoria.com, ese sitio podría decirle a su navegador web "Oh, caímos en bancarrota. Por favor diríjase al sitio web de nuestro abogado, DeweyCheatumAndHowe.com." Esto se llama redirección de cliente.

Eso es lo que Hotmail está haciendo. Sólo toma un par de segundos, pero mientras sucede, Hotmail y Passport están comunicándose a través de tu navegador web acerca de quién eres tú.

Ahora, si vas a otro sitio web de Microsoft, digamos, www.investor.com, lo mismo sucederá: serás redirigido a Passport y luego de regreso a Investor. Debido a que Passport está "denunciándote", aunque se supone que tu navegador web debería estar protegiendo tu seguridad siguiendo la regla de oro de las cookies, en realidad es en Passport en donde te estás presentando. Conclusión: Hotmail sabe que eres la misma persona que acaba de ir a Investor. Y lo mismo se aplica a cualquier sitio web de Microsoft: Slate, Expedia, Hotmail, Investor, MSN, etc.

La manera en que Passport usa la redirección de cliente para subvertir la seguridad de los cookies básicamente se aprovecha de un agujero de seguridad en los navegadores web. Las cookies no deberían permitir esto. Pero puedes apostar que éste es un 'bug' de seguridad que Microsoft no va a arreglar.

Para resumir:

La regla de oro de las cookies que protege tu privacidad dice que sólo pueden ser enviadas al mismo dominio web del cual provienen. Microsoft Passport elimina esta protección permitiendo a cualquier sitio Passport compartir información sobre tí.

Cómo será desarrollado Passport

El supuesto beneficio de Passport para los consumidores consiste en permitirles usar un nombre y una contraseña para acceder a todos los sitios web de Passport.

Pero el beneficio para los sitios web es mucho mayor, porque ahora pueden reunir y compartir su información sobre tí. Tomemos un ejemplo hipotético que es posible hoy en día. La agencia de viajes en línea de Microsoft, Expedia, es un sitio Passport, y Microsoft Investor también. Un día, Expedia podría comenzar a ofrecer tarifas más elevadas a clientes que posean más de un millón de dólares en su partafolio de acciones de Investor. No hay realmente nada técnicamente imposible en esto, y probablemente es legal también.

A las empresas web les escantaría tener una manera de combinar sus archivos sobre tí. Y mientras más empresas tengan la oportunidad de combinar sus archivos, más valioso sería. Hay un efecto de red en marcha en esto (también llamada la Ley de Metcalfe) : el valor de una red de sitios web que intercambian datos es el cuadrado del número de sitios en la red, debido a que cada sitio puede intercambiar datos con cada uno de los otros.

Lo atemorizante acerca de Passport es que hay una sola compañía que actúa como portero para mantener unida la red: Microsoft. Debido a lo cual esto tiene el potencial de ser un negocio fenomenalmente valioso.

Hay muchas maneras en que Microsoft puede beneficiarse de Passport. Pueden cobrar una comisión cuando los sitios web venden datos sobre sus consumidores. Pueden vender información privada que pueden recolectar en sus sitios participatorios. O pueden simplemente cobrar a los sitios web por pertenecer a la red. Es un enorme negocio que hace parecer que las agencias de crédito no saben nada.

Lo que más asusta es que si utilizas Internet Explorer, Microsoft controla tu navegador web. Puedes estar seguro de que a Microsoft le encantaría eliminar ese feo flash de dos segundos mientras tu navegador web es redirigido a través de passport.com. Puedo apostar a que ya hay una mejora en desarrollo para una futura versión de IE que hará que Passport esté incluído en el navegador web, o incluso en el sistema operativo mismo. ¿No me crees? He aquí una cita del 'white paper' de Microsoft .NET:

Basándose en Microsoft Passport y la tecnología de autenticación de Windows, [Windows.NET] provee niveles de autenticación que abarcan desde contraseñas y wallets hasta tarjetas inteligentes y dispositivos biométricos. Posibilita a los desarrolladores construír servicios que proveean personalización y privacidad para sus clientes, quienes a su vez pueden disfrutar de nuevos niveles de acceso seguro y protegido a sus servicios, sin importar dónde estén o desde qué dispositivo. Con soporte en el primer lanzamiento principal de Windows.NET, nombre en código "Whistler."

Nota la manera en que Microsoft actúa como si estuvieran proveyendo "privacidad" y "un nuevo nivel de acceso seguro y protegido." Ajá. La mejor manera de mentir es repitiendo afirmaciones hasta que eventualmente nadie nota la mentira.

Passport será incorporado en IE, será incorporado en el sistema operativo, y se hará disponible como interfaz de programación para que los desarrolladores puedan usarlo, y francamente, allí se termina tu última línea de defensa contra la construcción corporativa de una gigantesca super-base de datos con inconcebibles cantidades de información personal de todo el mundo.

Sí, seguro; Microsoft promete que protegerá tu privacidad... ¿Alguien cree esto por un minuto? Cada día hay una nueva historia sobre una brecha de seguridad -- Hotmail mismo, un sitio Passport, tuvo una brecha mayor de seguridad hace unos meses que llegó a los titulares. Durante la siguiente ola de fracasos en negocios basados en la web, vamos a comenzar a ver muchas historias más como la de toysmart.com, en cuanto fueran a bancarrota, renegaron de su promesa de proteger la privacidad de sus clientes. Incluso los mejores planes de proteger la privacidad de los clientes no funciona. Siempre hay bugs de software y errores de seguridad. Empleados inescrupulosos en el interior que abusan de su habilidad para mirar las bases de datos. Órdenes de la corte obligan a las compañías a divulgar información que prometieron mantener en secreto.

Si Microsoft fuese honesto acerca de proteger tu privacidad, dejarían que los usuarios mantengan la información privada en sus propias computadoras, y les pedirían permiso cada vez que van a revelar algún dato.

Pero no están siendo honestos. Quieren todos tus datos en una gran base de datos en sus servidores, muchas gracias, y quieren que presiones "I Agree" a las 27 páginas de fojas legales que sólo dicen cosas como "Microsoft se reserva el derecho de cambiar este acuerdo en cualquier momento." Si realmente confías en una compañía de Internet para proteger tu privacidad, tengo un puente para venderte.

Acerca del autor

Soy su anfitrión, Joel Spolsky, un desarrollador de software que reside en New York City. Desde el año 2000 he estado escribiendo artículos acerca de programación, gestión empresarial, negocios e Internet en este sitio web. En mi trabajo diario, gestiono Fog Creek Software, los creadores de FogBugz, el sistema de gestión de fallos de software con nombre estúpido, y Fog Creek Copilot, la forma más fácil de proporcionar soporte técnico a través de internet, sin instalar o configurar nada.

Personal tools