Privacidad en videojuegos: desafíos técnicos, legales y estandarización de la seguridad

Lic. Villan, Marco Antonio y Dr. Timpanaro, Juan Pablo Universidad Argentina de la Empresa, Buenos Aires, Argentina. mvillan@uade.edu.ar, jptimpanaro@uade.edu.ar

Abstract—El siguiente artículo se enfoca en Playstation 4, la consola más popular del mercado Argentino, en la privacidad y seguridad de los datos personales de los usuarios, teniendo en cuenta la ley 25.326 (Ley de protección de datos Personales – Argentina) y los desafíos legales del uso de la nube. Como así también, la necesidad de establecer estándares para los lineamientos básicos y buenas prácticas sobre el cuidado de la Privacidad del Usuario.

Keywords—Privacidad, Datos Personales, Seguridad, PS4, Gobernanza en Internet

Introducción

En los últimos años, tanto las consolas como los videojuegos se han convertido en dispositivos con contenidos sociales ya que integran no sólo un registro de usuarios, sino también la posibilidad de que los jugadores realicen sus propios contenidos, compartan información personal, gameplays u otro tipo de datos en sus redes mediante el uso de las consolas o los juegos, por lo que el debate sobre la seguridad y privacidad se ha instaurado dentro del mundo gamer. Sin embargo, uno de los problemas que puede afectar a los derechos de los usuarios es la excesiva recopilación de información y la descentralización de la nube. En ambos casos puede generar incertidumbre en el usuario porque no se informa, ni garantiza el resguardo absoluto, ni tampoco el lugar exacto en donde se alojará dicha información. El usuario desconoce los niveles de seguridad que puede tener la empresa y la ubicación de los datos cedidos a terceros, más allá de los informados por una política de privacidad.

La manipulación de los datos personales junto con la recopilación excesiva de información puede afectar la privacidad y la intimidad de una persona, derecho que se encuentra reconocido por el artículo 19, de la Constitución Nacional Argentina. En Latinoamérica las leyes de Protección de Datos Personales fueron sancionadas entre 1997 y 2008 en países como Panamá, Brasil, Paraguay, Chile y Uruguay. Se asemejan al modelo europeo como el de España y Alemania. En el caso de Estados Unidos la legislación tiene base en la Privacy Act de 1974.

Requerimientos técnicos exigidos por la Ley

El derecho a la protección de datos personales, información referida a las personas físicas o de existencia ideal que puedan ser asociados a personas, es uno de los derechos fundamentales garantizados por las diferentes constituciones y actas en la sociedad actual. Se caracteriza por proteger la información personal, la integridad de los datos personales y garantizando así el derecho al honor y la intimidad. En Argentina, estos derechos humanos se hallan resguardados por la Constitución Nacional, en el art. 43 párrafo tercero, el artículo N° 18 y N° 19 y la Ley 25.326, conocida como la Ley de Protección de Datos Personales. A nivel internacional, la OEA y la ONU han declarado el acceso a Internet como un derecho humano universal, y por lo tanto los Estados y la Comunidad Internacional deben resguardar a los titulares de datos personales que utilizan la red ante cualquier inconveniente o mal uso de sus datos, es decir, se deben garantizar los mecanismos para posibilitar el bloqueo o la supresión de la información privada o íntima que no corresponde que sea tratada por ciertos responsables de bases de datos, en este caso particular por las empresas que manejan las consolas de videojuegos.

Por otra parte, hay que entender que muchos datos son recolectados por las empresas y la industria de videojuegos, ya sea mediante la recolección en formulario de registro de usuarios, inscripciones, suscripciones, membresías y tarjetas de crédito. De esta manera, el tratamiento de datos implica operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. En relación al consentimiento se debe constar por escrito o por otro medio que permita equiparar. En el caso de las redes sociales y de las consolas de videojuegos se firma un contrato digital, que son los términos y condiciones de uso, en las que previamente el usuario debe aceptar para poder utilizar los servicios. Cuando se recaben datos se deberá informar previamente en forma clara la finalidad, la existencia del archivo o banco de datos, el carácter obligatorio de las respuestas al cuestionario que se le proponga al usuario, las consecuencias de proporcionar los datos y la posibilidad del interesado de ejercer sus derechos de acceso, rectificación y supresión de los datos. Playstation 4 y sus vulnerabilidades PS4 utiliza múltiples clientes TLS, con diferentes versiones y configuraciones del lado del servidor de PSN. La consola cifra los chats mediante el protocolo Transport Layer Security (TLS). Además utiliza cifrado simétrico, el AES256-CBC y 2048 asimétrico RSA. Sin embargo, los rangos de los protocolos que utiliza van desde TLS 1.0 desarrollado en 1999 o TLS 1.2 desarrollado en 2008. Se ha detectado que algunos certificados enviados por PSN utilizan algoritmos inseguros como SHA1 con RSA, que según el Instituto Internacional de Estándares y Tecnología (NIST) no deberían ser utilizados. Dentro del conjunto de cifrado incluye el sistema RC4 para sus conexiones TLS, suele considerarse peligroso ya que posee vulnerabilidades, por lo que un atacante podría descifrar la información y los mensajes. Existe el problema de que si esas comunicaciones son vulneradas, podrían comprometerse no sólo los datos de los usuarios sino descifrar voz sobre IP. También, utiliza una versión 1.0 del protocolo TLS, insegura si se tiene en cuenta que hay nuevas versiones que son utilizadas por la industria de tarjetas de créditos [1]. Por otra parte, durante el análisis del webkit o navegador de la PS4 fue posible realizar un ataque de SSLStrip, vulnerabilidad parcheada en diferentes navegadores, es posible realizarlo en una consola de última generación y capturar las credenciales en texto plano. Este ataque permite descifrar todo el tráfico HTTPS, hace creer al usuario que está navegando en sitios web cifrados con las capas de seguridad Secure Sockets Layer (SSL) y Transport Layer Security (TLS) pero en realidad los datos que están siendo transmitidos son mediante el protocolo HTTP, razón por la cual las comunicaciones cliente y del servidor no son seguras y pueden ser vistas por un tercero. SSLStrip permite descifrar todo el tráfico HTTPS, lo que realiza la herramienta presentada por Moxie Marlinspike en 2009 es hacer creer al usuario que está navegando en sitios web cifrados con las capas de seguridad Secure Sockets Layer (SSL) y Transport Layer Security (TLS) pero en realidad los datos que están siendo transmitidos son mediante el protocolo HTTP, razón por la cual las comunicaciones cliente y del servidor no son seguras y pueden ser vistas por un tercero. SSLStrip reemplaza las peticiones HTTPS por HTTP.

PS4: la nube, recopilación de datos y medidas de privacidad La información es la que proporciona el usuario que puede ser mediante un registro o creación de cuentas desde la Web o la Consola. Según la política de privacidad de la información que recopilan las consolas son los datos de navegación Web, hardware, software, ubicación física o geográfica, publicidad, cookies, balizas web y secuencias de comandos incrustados[2]. Los datos y la información personal que recopilan, transfieren y procesan se encuentran almacenados en Estados Unidos, pero la empresa también menciona que puede estar ubicada en otros países del mundo. Según la Ley 25.326, los responsables de bases de datos que utilicen estos recursos de almacenamiento y tratamiento de la información, y que alojen datos de titulares Argentinos en la nube en el exterior autorizados dentro de las excepciones previstas por el artículo N° 12 de la ley 25326 o en el decreto 1558/01 siempre con el resguardo de que en el caso de que los países donde se aloje el servidor no poseen legislación adecuada, deberán redactar un contrato de transferencia internacional de datos personales[3]. En cuanto a los ajustes de privacidad están también orientados a la visibilidad frente a otros usuarios. El sistema permite configurar con quien compartir la información, el etiquetado, ocultar los juegos y la información sobre sus actividades. Sin embargo, los usuarios pueden ser víctimas de Phishing, Ingeniería social y Grooming. Este tipo de amenazas pueden ser mediante la utilización del chat o utilizando la cámara de PlayStation y micrófonos. Además, es importante analizar los servicios en la nube ya que el tratamiento de datos personales podría ser más complejo porque involucra una gran cantidad de transferencias de datos, de los cuales en ocasiones se desconoce la ubicación donde se alojan la información y como son resguardados los datos. Entre la empresa y los usuarios debe existir necesariamente, una relación jurídica entre las partes vinculantes mediante Contrato de Transferencia Internacional de Datos, si bien existen las condiciones de uso suelen ser confusas si se tienen en cuenta que los juegos pueden ser utilizados por una franja etaria variada.

Conclusiones

Si bien las consolas poseen determinados niveles de seguridad presentan vulnerabilidades y vacíos legales las cuáles pueden atentar contra la privacidad de los datos personales. El tratamiento debería ser diferente y las empresas deberían contemplar políticas de privacidad y confidencialidad más claras para que los usuarios puedan ejercer sus derechos en sus países. Existe un cambio de paradigma entre los datos personales recolectados y el negocio generado a su alrededor. Se debería crear un nuevo tipo de regulación, a nivel nacional e internacional.
También, se deberían diseñar políticas de privacidad y confidencialidad más transparentes y así como establecer pautas y lineamientos para un mejor tratamiento de los datos durante su ciclo de vida que va desde la recolección hasta la destrucción. El borrado o destrucción de la información muchas veces no suele estar garantizada y es una de las grandes preocupaciones de los usuarios. Por otro lado, se deberían establecer buenas prácticas en el desarrollo orientadas al Privacy and Security By Design (cuidado de la privacidad desde el diseño) desde las organizaciones que engloban la industria de los videojuegos teniendo en cuenta: medidas proactivas, privacidad por defecto e implementadas desde el diseño, para mejorar la transparencia y visibilidad. [4]

Por otro lado, existe la problemática de la inexistencia de una regulación y configuración de una legislación global, que pueda integrar los derechos de los usuarios de videojuegos sin pensar en la ubicación del almacenamiento de datos y su tratamiento en zonas que no poseen una ley adecuada.

REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS REFERENCIAS

[1] HOLMES, David, Paris Attacks: What kind of Encryption Does the PlayStation 4 Use, Anyway?, Security Week [en línea]. [Fecha de consulta: 18 Noviembre 2016]. Disponible en <http://www.securityweek.com/paris-attacks-what-kind-encryption-does-playstation-4-use-anyway>

[2] SONY PLAYSTATION, Política de Privacidad. Sony [en línea]. [Fecha de consulta: 15 Septiembre 2016]. Disponible en <https://www.playstation.com/es-ar/network/legal/privacy-policy/

[3] PACHECO, Natalia, VILLAN, Marco Antonio Videojuegos: Privacidad y cesión de datos. CXO Community [en línea]. [Fecha de consulta: 28 de Febrero 2016]. Disponible en < http://www.cxo2cso.com/2015/05/videojuegos-privacidad-y-cesion-de-datos.html

[4] CAVOUKIAN, Ann, Privacy By Design, Information and Privacy Comissioner of Ontario. [En línea]. [Fecha de Consulta: 28 de febrero de 2016] Disponible en <https://www.ipc.on.ca/images/resources/privacybydesign.pdf>

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *