La empresa actualiza sus políticas de privacidad para impedir que los desarrolladores de otras apps tengan barra libre en Gmail, un lucrativo negocio que ha permitido hasta ahora.

Google va a barrar el paso a empresas, desarrolladores y servicios que quieran seguir leyendo el contenido de los correos electrónicos de su gestor, Gmail, para ofrecer publicidad más relevante a cada uno de sus usuarios. Se trata de un movimiento sorprendente ya que ésta ha sido una importante fuente de ingresos para la compañía, pero los motivos se comprenden por la noticia que le precedía.

Google anunció ayer, tras meses de saberlo -y esconderlo-, que los datos de medio millón de sus usuarios estuvieron expuestos durante unos tres años, accesibles a cualquiera de las 438 aplicaciones que usaban la plataforma del servicio Google+ a través de sus API. Potencialmente, información personal como nombre, edad, género, ocupación y dirección de correo electrónico estuvo al alcance de los desarrolladores de apps de terceros.

La brecha de seguridad de Google+ se ha escondido bajo la presentación del Proyecto Strobe, que incluye la limitación de acceso a los datos de usuarios de Gmail

Un anuncio de este calibre tiene, habitualmente, implicaciones importantes para cualquier empresa tecnológico. En Google, sin embargo, la comunicación del hecho se ha planeado de manera que el impacto sea el mínimo posible. Ya para empezar, el poco éxito de Google+ ha jugado a favor. La red social no cuenta con una gran base de usuarios activos. De hecho, ayer mismo la empresa reconoció que el 90% de usuarios pasaban menos de 5 segundos en la plataforma. Con un bounce rate tan elevado, es seguro afirmar que la gran mayoría de accesos a Google+ eran por error.

Más allá de lo poco relevante de la red social, su problema de seguridad no ha generado demasiada alarma por qué se ha presentado tarde (siete meses después de haberse detectado), para no afectar a su reputación, y porqué se el mismo anuncio se ha acompañado de varias noticias más: la brecha de seguridad ya ha sido subsanada, se ha decidido cerrar la red social de forma completa -en su versión para usuarios individuales- y se ha escondido todo bajo la presentación del Proyecto Strobe, que incluye la limitación de acceso a Gmail.

El Proyecto Strobe analizó “las áreas [con datos de usuarios] donde a los desarrolladores se les podría haber otorgado un acceso demasiado amplio”

El Proyecto Strobe es una revisión completa de todos los servicios de Google y de Android que empezó este 2018 y que está orientada a comprobar qué datos de los usuarios están disponibles para empresas de terceros y cómo limitarlos. Según Google, el proyecto analizó sus controles de privacidad, “las áreas donde a los desarrolladores se les podría haber otorgado un acceso demasiado amplio y otras áreas en las que nuestras políticas deberían ajustarse”.

A raíz de este proyecto, el permiso que se dará a las aplicaciones será más granular y más limitado, incluyendo SMS, contactos y registro de llamadas en los teléfonos. Una de las limitaciones afecta de lleno la API de Gmail y el acceso que tenían los desarrolladores de aplicaciones a esa plataforma.

Las apps de terceros que accedan a Gmail deberán usar los datos para proporcionar funciones al usuario y no para venderlos con otros objetivos

A raíz de casos como los de Cambridge Analytica, que destapó ciertas prácticas fraudulentas o éticamente reprobables, y nuevas regulaciones como el RGPD europeo, empresas como Unroll.me dejaron de poder operar en países europeos. Este servicio en concreto, uno de los más conocidos en Gmail y un buen ejemplo de este tipo de prácticas, prometía limpiar la bandeja de correo electrónico de boletines y newsletters para ahorrar tiempo a los usuarios. Para ello, requería acceder a los correos electrónicos -obviamente- pero también u saba ese acceso privilegiado para vender las palabras clave que encontraba entre los correos personales a empresas de terceros que comercian con publicidad.

Esto se ha acabado, según explica Google en su publicación oficial en un comunicado enviado a los desarrolladores para notificarles la nueva normativa de uso: “Las aplicaciones de terceros que acceden a estas API deben usar los datos para proporcionar funciones orientadas al usuario y no pueden transferir o vender los datos para otros fines, como el targeting de anuncios, estudios de mercado, seguimiento de mensajes de correo electrónico y otros fines no relacionados”.

“El contenido de Gmail no se utilizará ni se analizará para ninguna personalización de anuncios después de este cambio”

Aunque Google ha defendido alguna vez la práctica del e scaneo de correos electrónicos para ofrecer publicidad relevante y ha defendido la seguridad que ofrecen sus políticas de privacidad, en junio anunció que este era el último año en el que usarían este tipo de técnica para mostrar anuncios: “[La información de] Gmail de G Suite ya no se usa para la personalización de los anuncios, y Google ha decidido seguir el ejemplo a finales de año en el servicio gratuito de Gmail para el consumidor. El contenido de Gmail no se utilizará ni se analizará para ninguna personalización de anuncios después de este cambio”.

A partir de principios de 2019 se supone que ni Google, ni Gmail, ni otras aplicaciones de terceros, tendrán acceso a los correos electrónicos personales para usarlos con la finalidad de vendernos publicidad. Todo ello, hasta la próxima brecha de seguridad o polémica destapada.

Septiembre-octubre 2018