Meta ha suspendido un polémico programa de seguimiento de empleados después de que una revisión interna de seguridad revelara que los datos muy detallados sobre las pulsaciones de teclas y las capturas de pantalla de los ordenadores portátiles del personal eran accesibles dentro de la empresa a un número de personas mucho mayor de lo previsto.
El programa formaba parte de la Iniciativa de Capacidades de Modelos (MCI) de Meta, que recopilaba los movimientos del ratón, las ubicaciones de los clics, las pulsaciones de teclas y el contenido de la pantalla de los ordenadores portátiles de trabajo de los empleados para ayudar a entrenar los sistemas internos de inteligencia artificial.
El programa también planteaba un riesgo evidente. Una cosa es recopilar datos muy sensibles sobre la actividad de los empleados y otra muy distinta es garantizar su seguridad adecuada.
Según las informaciones basadas en documentos internos y testimonios de empleados, los datos no solo se recopilaron, sino que se dejaron accesibles en miles de tablas de datos internas, entre las que se incluían indicaciones de IA, transcripciones, conversaciones privadas e información relacionada con el rendimiento.
Tras la publicación de la noticia, Meta redujo el alcance de la iniciativa y, posteriormente, la suspendió, en medio de una fuerte reacción interna y de dudas sobre si las medidas de protección de la privacidad habían sido alguna vez algo más que una simple promesa en un memorándum.
Desde el punto de vista de Meta, la Iniciativa de Capacidad de los Modelos fue una apuesta por la eficiencia. El objetivo era proporcionar a los modelos de IA «ejemplos reales de cómo la gente utiliza realmente los ordenadores», registrando de forma pasiva cómo los empleados utilizan herramientas cotidianas como Gmail, GChat, Metamate y VS Code. De este modo, los agentes podrían aprender a partir de flujos de trabajo reales en lugar de pruebas sintéticas.
A los empleados se les prometió que la recopilación de datos se limitaría a las aplicaciones de trabajo y no a sus teléfonos móviles. Pero ya te puedes imaginar cómo se interpretó esto:
- Se instaló software de registro de pulsaciones de teclado y seguimiento del ratón en los ordenadores portátiles de los trabajadores estadounidenses, sin posibilidad de desactivarlo en los dispositivos de la empresa, tal y como confirmó internamente el director técnico de Meta.
- El software capturó las entradas y el contenido de pantalla asociado, creando un conjunto de datos de comportamiento: lo que escribes, dónde haces clic y lo que aparece en tu pantalla mientras lo haces.
El programa suscitó importantes críticas internas. Una publicación interna de un ingeniero en la que protestaba contra la «vigilancia de los ordenadores portátiles» y el control de pantallas se hizo viral dentro de Meta, lo que dio lugar a una petición para eliminar el programa por completo.
Desde el punto de vista del cumplimiento normativo, los programas de supervisión de los empleados de este alcance pueden plantear cuestiones jurídicas y normativas complejas, especialmente en aquellas jurisdicciones que exigen transparencia en materia de vigilancia en el lugar de trabajo y recopilación de datos.
Podría decirse que el impacto en la reputación es aún peor. Cuando una empresa está constantemente en el punto de mira por rastrear a los usuarios, romper la confianza con los empleados envía una señal clara sobre su actitud habitual respecto a los datos.
Todo ello sabiendo que los datos de pulsaciones de teclas y capturas de pantalla son, por su propia naturaleza, de alto riesgo. Este tipo de datos es rico en contenido, de carácter conductual y, a menudo, contiene información confidencial. Su recopilación a gran escala supone una carga para la seguridad. Cada nuevo dato añade obligaciones en materia de control de acceso, minimización, conservación y auditoría, que la organización debe gestionar de forma activa mientras los datos existan.
- Los controles de acceso deben ser precisos y someterse a auditorías periódicas, ya que un simple error de configuración puede acarrear graves consecuencias.
- La minimización de datos y los límites de conservación son esenciales, ya que el almacenamiento a largo plazo multiplica el impacto de una posible filtración.
- Cualquier futura filtración de datos —ya sea interna o externa— podría revelar no solo los correos electrónicos, sino también las secuencias exactas que teclean los empleados, incluidos los procesos de autenticación y el contenido de los borradores. En manos equivocadas, este tipo de información podría poner en peligro a la empresa.
Este episodio nos recuerda que cada nuevo conjunto de datos conlleva nuevas responsabilidades. Cuanto más detallada y sensible sea la información, mayores serán las consecuencias si fallan los controles de acceso.
Los estafadores no necesitan hackearte. Solo necesitan que hagas clic una vez.
Malwarebytes Identity Theft detecta actividades sospechosas antes de que se conviertan en un problema.
