Neutralidad en la red – Giusseppe Domínguez

La neutralidad de red es el principio por el cual los proveedores de servicios de internet y los gobiernos que regulan Internet deberían tratar a todo tráfico de datos que transita por la red por igual, sin discriminarlo o cargar al usuario de manera diferente según el contenido, página web, plataforma, aplicación tipo de equipamiento utilizado para el acceso, o modo de comunicación.

El caso es que estoy subscrito a ISOC-ES y se ha desatado una diatriba que no ha llegado a ser discusión al respecto de este espinoso tema con el detonante de las marquesinas de Vodafone que dicen que privilegian el tráfico de Whatsapp y otros…

La transcribo más o menos íntegra, para consulta futura, sin hacer referencia explícita a los participantes en la misma:

Ayer, Vodafone, me envía un mail dónde me dice que los datos que use con aplicaciones de chat, NO consumiré datos de mi tarifa.

https://www.vodafone.es/c/particulares/es/descubre-vodafone/sacale-partido-a-tu-movil/servicios-para-tu-movil/chat/

Ahora, me pregunto yo, ¿no era 2que en EU había Net Neutrality? A parte. yo uso Threema (www.threema.ch) y Wire, que no están incluidos… En fin, que si bien no es algo «malo per sé», esto es el principio para cargarse la neutralidad… (Ahora que lo pienso, ya han empezado antes, dado que cuando usabas MiVodafone tampoco usaba datos de tu tarifa). Entonces, ¿alguien sabe si esto es legal?

Digamos que en cierto modo… al abrir la puerta al zero-rating de un modo tan generoso como se hace… pues sí.
Añádele los planes de la Admon. Trump de darle la vuelta a las reformas pro-neutralidad de la anterior Administración… y tenemos el círculo completo.

Hola a tod@s,

El asunto me interesa mucho. No soy cliente de Vodafone, pero evidentemente no me ha pasado inadvertida la oferta. Se me ocurren solo dos supuestos teóricos en los que podría hacerse la oferta sin violar la neutralidad de la red:

Supuesto nº 1: Se dispone de una tecnología que no parte de principios como los que subyacen a la DPI (Deep Packet Inspection). Es decir, podemos discriminar sin mirar el contenido de los paquetes. ¿Existe eso?

Supuesto nº 2: Se habilita una pasarela propietaria, exclusiva para el acceso de los clientes de Vodafone, de manera que no sea necesario recurrir a inspeccionar los paquetes de información.

Lo que propongo parte de la base -que planteo aquí con intención de debatirlo- de que, más allá del debate sobre las bondades de la neutralidad de la red, su violación en este caso infringiría en cualquier caso algo mucho más palmario, como es el secreto en la privacidad de las comunicaciones, que está protegido por la ley desde mucho antes de que viéramos la aparición de internet.

Solo hay que mirar la dirección IP de los servidores de destino y si están en la lista de servidores de WhatsApp/etc, se deja pasar sin contar el tráfico.

Luego se puede hacer sin violar la privacidad. Y como lamentablemente se puede también hacer sin transgredir esta «mini-NN» que el Reglamento de 2015 y su interpretación por Berec nos han creado, pues… regresamos al punto de partida.

Cuanto más lo pienso peor me suena.

Estoy pensando en voz alta, así que tendréis que perdonarme el punto de divagación: de acuerdo, basta con controlar la IP y no el contenido. Es decir, para operar necesitan conocer nuestras respectivas IP -la de WhatsApp y la del cliente de Vodafone, por ejemplo- ergo están usando… ¡nuestros metadatos! Por descubrir lo que hacían con ellos el señor Snowden ha tenido que mudarse, así que yo lo consideraría a primera vista una acción invasiva de la privacidad. No estoy en condiciones -hace tiempo que no me miro las resoluciones del BEREC- de afirmarlo taxativamente, pero yo veo violación del secreto: quién llama a quién. Eso también es privado, ¿no? En fin, Pablo vive a caballo de las legislaciones europea y estadounidense y seguramente nos podrá arrojar algo más de luz. Al final yo termino haciendo preguntas y poca cosa más.

No cabe duda de que estás fino con esta cuestión, Andreu! 😉

En efecto, y me obligas con tus observaciones a dar un paso más, habíamos quedado gracias a Joâo en que usan las IPs.

Y debo sin duda concederte que las IPs son DATO PERSONAL. Indiscutible.

Ahora bien, Vodafone conoce las IPs de sus clientes por necesidad absoluta para prestarles el servicio, de ahí que su acceso a las mismas no suponga una violación de la privacidad; sus propios clientes han consentido en ello.

Seguimos 😉

Hombre, la dirección IP te la da Vodafone para acceder a su red…, como el numero de teléfono. O sea que saben cual es (y si no, mal va la cosa). El hecho de meter un cantador para direcciones de destino especificas les puede indicar quien usa más WhatsApp y quien lo usa menos, pero las estadísticas de tráfico forman parte de lo que es normal en operaciones de red. No creo que ese aspecto sea el preocupante. Lo que sí me perturba es que hay una clara diferenciación del trafico hacia WhatsApp y algunos otros servicios, lo cual supone un trato diferenciado (no neutral) de parte del tráfico.

Pues yo tengo un debate “interno” con eso.

En el año 2003, estuve trabajando con el “article 29, data protection working party”, para intentar convencerles que, si bien las direcciones IPv4 era más claro que podrían ser consideradas un dato personal, no así las IPv6. A pesar de ello, finalmente, se consideraron todas dato personal.

De hecho, publicamos un libro al respecto, de descarga gratuita en:
http://www.ipv6tf.org/index.php?page=news/newsroom&id=1260

Luego en mi propio fuero interno, durante unos años cuando he reclamado casos de SPAM, pensé que tenían razón, pero al final acabo volviendo a pensar que no, que las direcciones no son datos personales. Exagerando un poco, ¿acaso son datos personales las gotas de agua que bebemos? Todos son recursos de la humanidad, no identifican a nadie de forma inequívoca.

Sería dato personal la dirección IP de un chip que nos implantaran. Ahí estaríamos de acuerdo, pero Internet y el routing no funcionan así, como mucho una parte de la dirección sería un dato personal, el “identificador” de cada chip.

Una dirección, a diferencia de un número de teléfono, no pertenece a una persona, ya que es un bien de la humanidad. Como tales no se “compran”, se podría decir que en un momento dado pagas por su usufructo.

Además, en IPv6 cada “hogar” puede tener perfectamente, 65.535 veces 2^64 direcciones. Por si fuera poco, las direcciones IPv6, en los sistemas operativos modernos (casi todos), son “cambiantes” cada pocas horas, y se puede hacer ese cambio “más rápido” si así se desea. Por lo tanto, es imposible identificar de forma univoca a una persona. Como mucho se podría identificar a un “hogar” (si el prefijo es estable, que no siempre lo es), pero cuando esa persona sale de su hogar y usa otra red, cambia la dirección completa (incluyendo el prefijo).

De hecho, de lo que decís abajo, no hace falta conocer la dirección origen, sino el DESTINO del flujo de tráfico (direcciones de los servidores de whatsapp), por lo que no creo que sea una violación de privacidad. ¿O acaso consideramos que correos cuando clasifica las cartas, al ver la dirección de destino, para ejecutar esa función, u otras intermedias relacionadas con dicha clasificación, viola la privacidad? Igualmente si esa carta es devuelta, con la dirección del remitente.

Estoy de acuerdo en eso de que la IP no es dato personal per sé, pero, depende para que la usen… (pero eso es otro tema)

De todos modos, lo que más «me molesta» de Vodafone es que hagan un trato preferencial de algunos datos. Y, lo pongan como lo pongan, sea o no «beneficioso» para sus usuarios, hayan encontrado, o no, un vericueto legal para hacerlo, NO ME GUSTA. ¿Por qué? Porque se empieza con eso y se termina ralentizando todo los que les molesta. Es más, hace unos años y ahora que lo pienso, cuando tenía una tarifa de datos muy básica, para poder usar VoIP tenía que conectarme a la VPN. Claro que, en ese entonces, no había «neutralidad» aprobada por la EU. ¿Me gustaría saber si lo están haciendo aún?

No discuto lo que dices de Vodafone, son dos temas aparte, pero ciertamente relacionados. El problema de todos es común: No está cerrado el debate legal en lo que es Internet, ni datos personales, ni defesa del usuario frente a ataques, spam, etc, ni mucho menos neutralidad. Creo que ni gobiernos ni abogados han entendido aun de que estamos hablando.

aun pudiendo estar de acuerdo con tu razonamiento, el hecho es que si las IPs son o no datos personales es típica cuestión de «con la Iglesia hemos dado…». Vamos, que así ha sido establecido en España por la Agencia de datos desde 2003; así ha sido corroborado por reiterada jurisprudencia española desde entonces, sobre todo en los últimos años; y para colmo, el propio Tribunal de justicia de la UE lo ha «santificado» en diciembre de 2016. Ponte a cambiar eso…

Totalmente de acuerdo, en especial en cuanto afectase a IPv6. Ahora bien, aun admitiendo mayores, mucho mayores dificultades de identificación en IPv6: ¿ES REAL Y ABSOLUTAMENTE IMPOSIBLE poder terminar identificando a alguien a partir de una IPv6?

Pues recuerda que basta poder hacerlo para que un dato sea personal.

Si fuera así, IPv6 deberá forzar un cambio de orientación legal en esa línea que sugieres.

Con los logs de un ISP se podría como mucho identificar quien es el “contratante” “tal empresa o tal hogar”, porque por ley están obligados a guardar registros de las direcciones que usa cada “circuito”. Eso no cambia ya se use IPv4, IPv6, X.25 o lo que sea … Pero (y esto es igual con IPv4 cuando hay NAT), lo que no hay forma es de identificar ni que ordenador dentro de la red (de la empresa ni del hogar), y mucho menos quien es la persona que lo usa. En el caso de una red pública, un hotel, etc., es aún más difícil, lógicamente, todo depende de si tienen (y están obligados por ley), registros de quien es el usuario que se ha logeado en una determinada IP en un momento dado. De nuevo, siempre hay que contar que alguien puede usurpar el login de alguien, tanto en una empresa como en un hogar como en un hotel. No sé si con esto te contesto lo suficiente como para determinar ese “limite” que sea “IMPOSIBLE”. Si soy el malo, te aseguro que podré hacerlo imposible.

La cuestión es que, por esa regla de tres, como no hay nada imposible en este mundo, TODO serían datos personales. No creo que eso pueda ser legalmente asumible. Un ISP no puede desvelar que prefijos tiene cada cliente, salvo que el cliente los haga públicos. Sin esa información un posible “malo” no puede saber quién es el cliente, luego no debería considerarse dato personal.

Algunos reguladores lo estudian: https://www.ftc.gov/news-events/events-calendar/2015/11/cross-device-tracking

Mientras la gente sigue con ello

Privacy Threats through Ultrasonic Side Channels on Mobile Devices
Daniel Arp (Technische Universität Braunschweig), Erwin Quiring (Technische Universität Braunschweig), Christian Wressnegger (Technische Universität Braunschweig), Konrad Rieck (Technische Universität Braunschweig)

Users are nowadays exposed to a large number of tracking techniques. An emerging technique embeds inaudible beacons in sound and tracks them using the microphone of mobile devices. This side channel allows an adversary to identify a user’s current location, spy on her TV viewing habits or link together different mobile devices. A comprehensive user profile is the result. In this paper, we explore the capabilities, the current prevalence and technical limitations of this new tracking technique based on three commercial tracking solutions. To this end, we develop detection approaches for ultrasonic beacons and Android applications capable of processing these. Our findings confirm our privacy concerns: We spot ultrasonic beacons in various web media content and detect signals in 4 of 35 stores in two European cities that are used for location tracking. While we do not find inaudible beacons in TV streams from 7 countries, we spot 223 Android applications that are constantly listening for ultrasonic beacons in the background without the user’s knowledge.

Yo me enteré el otro día de este tema de la realimentación por el móvil y lo primero que hice fue revisar las Apps. que tengo, que han pedido usar el micrófono de mi móvil, por si las moscas. Ver Esto: http://thehackernews.com/2017/05/ultrasonic-tracking-signals-apps.html

Yo había oído de un bug en los TV de Samsung que permitía a un hacker tomar el control y “escucharte” o verte con la cámara, igualmente con algún móvil, pero no la combinación de ambos. Supongo que la AGPD o a nivel Europeo, estará al corriente y habrá revisado si los equipos comercializados lo están haciendo o en caso contrario, deberíamos de avisarles por algún camino formal e incluso “de contactos directos” si alguno los tiene.

Sí, eso digamos que del hackeo/crackeo vía Internet de las cosas están sobradamente al cabo.

Lo que al menos yo desconocía, no sé ellos, es lo del ultrasonido y su aprovechamiento a fines de trazado de perfiles y consiguiente emisión de publicidad.

Y una dignísima conclusión de un Ignacio Agulló de quien ya he publicado alguna vez material:

Internet nació neutral; si me equivoco, que lo diga la gente más versada que yo que hay en este foro.

En el principio, los que trabajaban en la red lo hacían impregnados por el idealismo de los pioneros. Sabían que estaban creando algo nuevo, algo importante, algo para la historia. Existía unión. La comunidad era importante. Cuando una empresa de telecomunicaciones sustituyó por primera vez el error 404 por una página publicitaria, la presión de la comunidad fue suficiente para forzarla a rectificar.

Pero Internet comenzó a tener éxito de veras, y las empresas importantes de la red comenzaron a convertirse en gigantes económicos que podían permitirse encogerse de hombros desdeñosamente cuando les reprochaban sus prácticas. Internet ya era una realidad, no una expectativa, y la prioridad dejó de ser permitir a las universidades que siguieran criando la gallina de los huevos de oro para convertirse en vender los huevos a buen precio.

¿A quién conviene la neutralidad de la red? A todos quienes ofrecen y utilizan servicios en red; prácticamente todo el mundo, especialmente a los profesionales del sector TIC.

¿A quién no conviene la neutralidad de la red? A las compañías de telecomunicaciones, que pueden permitirse discriminar en la tarificación y cobrar más por los servicios donde más dinero pueden rascar.

Algunos países aislados aprobaron leyes para garantizar la neutralidad de la red, pero otros no. En Estados Unidos se aprobó una neutralidad limitada; en la Unión Europea otra neutralidad limitada, distinta. En su momento recuerdo que los estadounidenses mostraron su desprecio por la neutralidad limitada de la Unión Europea, como si la suya fuese de verdad y la nuestra de pega en vez de dos versiones limitadas… pues bien, ahora Estados Unidos se ha quedado sin ni siquiera versión limitada.

The FCC just voted to begin «Destroying Internet Freedom» and overturn net neutrality | Privacy Online News https://www.privateinternetaccess.com/blog/2017/05/fcc-just-voted-begin-destroying-internet-freedom-overturn-net-neutrality/

Por supuesto, dado que vivimos en la Era de la Mentira, a la medida la llamaron «Restoring Internet Freedom», como si la neutralidad de la red no fuese una condición original de la red sino una alteración privativa de libertad. El artículo enlazado alude en su título al apodo, mucho más acertado, puesto por el comisionado Mignon Clyburn a la medida.

Aprovecho para recordar aquí una traición que no he de olvidar: la de Ars Technica, noticiero informático de referencia. Desde el principio Ars Technica estuvo claramente a favor de la neutralidad de la red, abucheando ruidosamente las violaciones de dicha neutralidad; llegó a llamar «Hidra» a Comcast por ralentizar el tráfico de Netflix. Pero después se produjo un giro copernicano y pasó a convertise en altavoz de todos los argumentos contra la neutralidad de la red, desde los mas sólidos a los más ridículos. No es que se posicionase claramente contra la neutralidad de la red, pero cada vez que alguien la criticaba aunque fuese con argumentos absurdos, Ars Technica le daba voz, publicando unas noticias que eran claramente propaganda anti-neutralidad. Yo lo consideraba no solamente un buen noticiero, sino también un noticiero con una línea editorial representativa de los intereses de los profesionales de la informática; ahora lo considero como a tantos otros, la voz de su amo.