“Nuestros hallazgos tuvieron un gran impacto industrial y legislativo ya que demostraron que la mayoría de las apps violaban los requerimientos regulatorios”

Narseo Vallina Rodríguez, director del grupo de Análisis de Internet de IMDEA Networks. Su investigación se orienta hacia la protección de los derechos digitales, seguridad e identidad de miles de millones de usuarios de Internet

Preséntenos su investigación

Internet es sin duda alguna la mayor invención humana de todos los tiempos y ha facilitado el acceso a la información, el desarrollo de la economía y la sociedad moderna, y la creación de nuevos servicios que mejoran nuestra calidad de vida, educación o salud.

Sin embargo, Internet es un complejo sistema socio-tecnológico, vivo y cambiante, que apenas lo comprendemos. De hecho, Internet está formado por entidades de todo tipo, algunas con modelos económicos basados en la obtención de datos personales y otras con intereses maliciosos, que usan tecnologías diseñadas por humanos, por lo que pueden tener errores de diseño y presentar comportamientos fraudulentos o abusivos de forma intencionada. Esto se traduce muchas veces en la introducción de vulnerabilidades de seguridad y privacidad que pueden comprometer los derechos digitales, seguridad e identidad de miles de millones de usuarios de todo el mundo sin que estos sean conscientes de ello.

Mis esfuerzos científicos en IMDEA Networks tienen por objetivo el desarrollo de técnicas y metodologías para analizar de forma sistemática Internet y los fenómenos con implicaciones sociales que ocurren en el ciberespacio. Entre otros, estudiamos el uso, la evolución, y los riesgos de tecnologías disruptivas como las tecnologías móviles y el Internet de las Cosas, y los actores que forman la industria digital que obtiene y procesa nuestros datos personales para fines como la publicidad, la desinformación, o la propaganda política. Para ello, estudiamos Internet como se estudiaría la naturaleza y usando el método científico como herramienta. Así podemos obtener evidencia empírica para modelar su evolución, mapear los actores y su rol, verificar el uso y desarrollo correcto de las tecnologías, y también identificar y evaluar problemas. De esta forma, podemos mitigar los riesgos inherentes al uso de la tecnología, informar el debate legislativo y mejorar la seguridad de todos los usuarios independientemente de sus conocimientos técnicos.

¿De qué  manera contribuye tu investigación a afrontar los desafíos de la sociedad? ¿Qué aplicabilidad tiene?

Internet es una tecnología pervasiva que ha habilitado modelos de negocio muy lucrativos basados en la obtención y procesado de datos personales de los usuarios sin su consentimiento. Este modelo se ha desarrollado sin ningún tipo de control y tiene consecuencias sociales muy graves como se demostró con el escándalo de Cambridge Analítica.

Sorprendentemente, estos abusos son muy comunes en Internet pese a la existencia de marcos regulatorios estrictos, como el Reglamento general de protección de datos (RGPD) de la Unión Europea, que intentan limitar la obtención de datos personales. En cierta medida, podemos decir que tenemos la ley y los cuerpos de policía, pero aún no tenemos los medios técnicos para hacer frente a una industria tan poderosa y grande que utiliza tecnologías disruptivas. Nosotros estamos suplir esa demanda con la creación tecnología para monitorizar y regular la tecnología.

Concretamente, en el área de privacidad y seguridad en apps móviles hemos hecho contribuciones muy notables y de gran impacto social, industrial y regulatorio. Obtenemos hechos contrastados que pueden informar el debate legislativo y mejoras de seguridad en productos usados por cientos de millones de usuarios en todo el mundo. Por mencionar algunos casos, hemos mejorado la seguridad del sistema operativo Android. En 2019 demostramos cómo decenas de miles de apps abusaban de vulnerabilidades aún desconocidas por Google y que permitían el uso de canales laterales y encubiertos para acceder a datos sensibles de los usuarios como la geolocalización. Estas vulnerabilidades permitían a los desarrolladores maliciosos eludir los controles de seguridad del sistema de permisos en Android para acceder a muchos datos sensibles de los usuarios sin su consentimiento. Tras nuestro descubrimiento, Google introdujo mejoras de seguridad en Android versión 10 para limitar estas prácticas.


“En un dominio tan cambiante y complejo como la tecnología, la economía digital e Internet, los retos a los que nos enfrentamos son muchos y muy variados”

Otro caso notable es el estudio que realizamos en 2018 sobre el cumplimiento regulatorio de apps móviles orientadas a un público infantil, particularmente juegos y apps educativas. Nuestros hallazgos tuvieron un gran impacto industrial y legislativo ya que demostró que la mayoría de las apps violaban los requerimientos regulatorios. Nuestra investigación acabó influyendo en las nuevas políticas para la publicación de apps infantiles tanto en iOS como Android y fue presentada en el Congreso de EE.UU., motivando cambios legislativos en la ley federal norteamericana COPPA (Children's Online Privacy Protection Act), que protege los derechos a la privacidad de los menores en EE.UU. También logramos crear de forma exitosa una spin-off de ciberseguridad basada en esa tecnología. Finalmente, el año pasado descubrimos un error de implementación en la tecnología desarrollada por Google para habilitar el rastreo de contactos positivos de Covid-19 que también tuvo importantes implicaciones regulatorias, sociales, e industriales en Europa y EE.UU.

Divulgación de la ciencia. ¿Cómo hacer llegar a la sociedad en trabajo de los científicos y científicas?

Diseminar los conocimientos más allá de la comunidad científica es algo muy importante para todo científico, pero es algo que no se valora suficientemente pese a que requiere una gran dedicación.

En mi caso, intento involucrarme en eventos de divulgación científica como la Noche Europea de los Investigadores o invitando a estudiantes de centros de secundaria a nuestras instalaciones en IMDEA Networks para que pasen un día con nosotros y se familiaricen con lo que implica la carrera científica y los retos a los que nos enfrentamos.

Sin embargo, pese a que estas acciones te permiten tener un trato más cercano con la audiencia, no son eficaces para llegar al grueso de la ciudadanía. Por tanto, también soy activo en redes sociales y hago un esfuerzo por hacer llegar algunos de nuestros hallazgos con potencial interés periodístico a medios de comunicación. Estos mecanismos tienen la capacidad de amplificar el alcance de los descubrimientos y también de hacerlos más accesibles al ciudadano. De hecho, gracias a que algunos de nuestros trabajos han sido cubiertos por medios internacionales muy influyentes como The Wall Street Journal, The Washington Post, The Guardian, Le Figaro, o El País, hemos podido sensibilizar a la sociedad sobre los riesgos que las tecnologías nos pueden causar, y también llegar a audiencias como legisladores y reguladores, que a fin de cuentas son quienes tienen la capacidad de definir reglas para controlar los abusos de la industria. En otros casos, el impacto social es indirecto. Por ejemplo, cuando notificamos a desarrolladores y plataformas digitales sobre algunas vulnerabilidades en sus productos, o a través de una colaboración activa con agencias nacionales de protección de datos europeas y norteamericanas para informarles de brechas de privacidad y prácticas potencialmente abusivas.

¿Qué retos se plantea con su investigación en un futuro?

En un dominio tan cambiante y complejo como la tecnología, la economía digital e Internet, los retos a los que nos enfrentamos son muchos y muy variados. Los productos digitales de hoy en día cada vez integran más tecnologías diversas y hacen uso de métodos para evitar el análisis por agentes externos. Como consecuencia, el análisis de software de forma independiente se hace más difícil. Por ejemplo, ¿qué ocurrirá en nuevos paradigmas como en el metaverso en el que los dispositivos pueden aprender muchas cosas sobre nosotros solo por cómo movemos los ojos al usar las gafas de realidad virtual? Para responder a preguntas como ésta tenemos aún muchos retos muy interesantes por delante. Uno de ellos es la necesidad de unir disciplinas con conocimientos, definiciones, enfoques y metodologías muy dispares como pueden ser el derecho e informática. No siempre hablamos el mismo lenguaje y esto nos impide desarrollar metodologías efectivas para automatizar el análisis del cumplimiento regulatorio por parte de productos digitales.

Ya sé que me dirán, como buen investigador, que la ciencia no tiene fronteras, ni nacionalidad… pero no por ello deja de ser cierto que la ciencia la hacen personas concretas en lugares determinados. Muchos de ustedes han recibido fondos públicos, becas, presupuestos para desarrollar su carrera. Permítanme hacer la pregunta del interés general: ¿Cómo avanza Madrid cuando avanza la ciencia en Madrid?

Madrid alberga centros de investigación de referencia internacional en áreas científicas críticas para afrontar los próximos retos a los que se enfrenta la humanidad.  El éxito de la iniciativa de los IMDEA, que hace poco ha celebrado su decimoquinto aniversario, es un buen reflejo del buen hacer de la Comunidad de Madrid en este ámbito, y de cómo esta iniciativa ha servido para catalizar la ciencia en la región y hacerla un referente internacional. Por tanto, creo que la ciencia en Madrid avanza correctamente. Hay mucho talento y una buena infraestructura para seguir por el buen camino. Pero la ciencia es un “negocio” global muy competitivo, y además, en áreas como la informática o biotecnología, la industria ofrece condiciones laborales muy interesantes. Por tanto, ni los científicos ni las administraciones nos podemos relajar en ningún momento. Desde mi experiencia en muchos centros de investigación nacionales y extranjeros, creo que es necesario que la administración pública, tanto regional como nacional, siga apostando por la ciencia como motor del desarrollo, y para ello es necesario dotar a los centros de investigación y a los investigadores de recursos, definir formas más dinámicas para la gestión de los centros de investigación que eliminen trabas burocráticas, y definir planes ambiciosos para atraer nuevo talento internacional a la vez que retener el que ya hay en la Comunidad de Madrid.

Añadir nuevo comentario

Para el envío de comentarios, Ud. deberá rellenar todos los campos solicitados. Así mismo, le informamos que su nombre aparecerá publicado junto con su comentario, por lo que en caso que no quiera que se publique, le sugerimos introduzca un alias.

    Normas de uso:  
  • Las opiniones vertidas serán responsabilidad de su autor y en ningún caso de www.madrimasd.org  
  • No se admitirán comentarios contrarios a las leyes españolas o buen uso.  
  • El administrador podrá eliminar comentarios no apropiados, intentando respetar siempre el derecho a la libertad de expresión.  


CAPTCHA de imagen
Introduzca los caracteres mostrados en la imagen.

Responsable del tratamiento: FUNDACIÓN PARA EL CONOCIMIENTO MADRIMASD con domicilio en C/ Maestro Ángel Llorca 6, 3ª planta 28003 Madrid. Puede contactar con el delegado de protección de datos en dpd@madrimasd.org. Finalidad: Publicar los comentarios recibidos y conocer el interés que suscita el boletín por áreas geográficas. Por qué puede hacerlo: Por el interés legítimo de favorecer la participación y el debate en el ámbito de la tecnología, la ciencia y la innovación, y en atención a su solicitud. Comunicación de datos: Su comentario es publicado al pie de la noticia junto con su nombre o alias. Derechos: Acceso, rectificación, supresión, oposición y limitación del tratamiento. Puede presentar una reclamación ante la Agencia Española de Protección de datos (AEPD). Más información: En el enlace Política de Privacidad..