"La seguridad de datos no debería ser complicada".

El Centro de Ingeniería de Seguridad de Google (GSEC) de Múnich trabaja en la privacidad y seguridad de datos en Internet desde 2019. En este artículo, el director del GSEC Wieland Holfelder analiza los acontecimientos más recientes en el centro, los métodos de trabajo de su equipo y el papel de Múnich como centro de excelencia digital.

Dr. Holfelder, el Centro de Ingeniería de Seguridad de Google (o GSEC) de Múnich abrió sus puertas en 2019. ¿Qué hacéis en el centro?

El GSEC es el centro global de ingeniería en privacidad y seguridad de Google. Aquí es donde desarrollamos nuevos productos, identificamos requisitos de usuario, compartimos conocimientos y colaboramos con nuestros partners para mejorar la seguridad de Internet.

La privacidad y seguridad de datos son muy importantes en Alemania. ¿Qué peso tuvo la tradición local en la decisión de establecer el Centro de Ingeniería de Seguridad de Google aquí?

Hace 12 años, mientras poníamos en marcha la oficina de Google en Múnich, vimos rápidamente que la protección y seguridad de datos era una cuestión de enorme importancia para nuestros usuarios alemanes. Así que, lo primero que hicimos fue crear equipos de desarrollo centrados específicamente en estos temas. Diez años después, quisimos ampliar el alcance de estos equipos y abrirlos a la interacción con los usuarios, y esta fue la razón por la que se decidió localizar el GSEC –cuyo cometido tiene mucho que ver con estas cuestiones– aquí en Múnich. Durante este tiempo, hemos trabajado para garantizar que todos nuestros productos cumplen los requisitos del Reglamento General de Protección de Datos (RGPD) europeo. Ahora, este conocimiento y experiencia están transfiriéndose a otros países. De hecho, la privacidad y seguridad de datos reciben cada vez más atención en todo el mundo.

¿Qué tipo de cosas hacéis que un usuario pueda encontrarse al navegar por Internet un día cualquiera?

Si utilizas productos de Google, es posible que, por ejemplo, te hayas preguntado qué datos se utilizan para personalizar tus búsquedas y ofrecerte mejores resultados. La cuenta de Google te proporciona un resumen de los datos de actividad que se emplean para compilar esta información personal. También puedes configurarla para decidir si estos datos siguen recogiéndose o no. Precisamente para esto hemos creado Revisión de Seguridad, que te permite configurar rápidamente las preferencias de privacidad de tu cuenta de Google. Además, hemos desarrollado Gestor de Contraseñas para Chrome y Android que, a petición del usuario, crea y almacena automáticamente una contraseña para cada sitio web y aplicación que utilizas. Los usuarios también pueden utilizar Revisión de Contraseñas para detectar posibles deficiencias de seguridad en sus contraseñas. En pocos segundos, pueden ver si cualquiera de ellas se ha visto afectada por una sustracción de datos y obtener instrucciones para cambiarlas. Estoy especialmente orgulloso del trabajo que el GSEC ha hecho con estas herramientas de protección de contraseñas.

¿Puedes explicarnos por qué?

Gestor de Contraseñas no solo te permite crear una contraseña nueva y segura para cada sitio web sin necesidad de recordarla, sino que además es inmune a los ataques que lanzan los sitios de phishing. Esto impide que los hackers descubran tus contraseñas y evita que tengas que utilizar la misma para diferentes sitios.

¿Qué problema hay con esto?

Supongamos que quiero pedir unas flores para mi mujer en un sitio web y, con las prisas, introduzco como contraseña para ese sitio la misma que utilizo para otros. Si los hackers consiguen acceder al servidor de la floristería y obtener esta contraseña, podrán determinar rápidamente si es posible acceder a mi cuenta de Google o a mi correo electrónico utilizándola. Es más, podrán incluso crear nuevas contraseñas para el resto de cuentas que utilizo. Gestor de Contraseñas garantiza tu seguridad en Internet al generar automáticamente contraseñas seguras y únicas para cada sitio.

¿Es posible utilizar medidas aún más seguras?

Sí, si tienes una cuenta de Google también puedes utilizar verificación en dos pasos. Con ella, cada vez que inicias sesión en tu cuenta a través de un nuevo dispositivo, debes introducir el código que te enviamos a tu teléfono.

¿Qué es lo que hacéis exactamente en el GSEC para desarrollar estos nuevos productos?

Por ejemplo, invitamos a personas a asistir a nuestro "laboratorio de investigación de experiencia de usuario" o a realizar entrevistas online para saber cómo utilizan Internet o qué enfoque adoptan a la hora de realizar búsquedas. Esto nos permite saber qué herramientas y ayuda suelen necesitar para tomar decisiones informadas en relación con sus preferencias de privacidad. Por ejemplo, les pedimos que nos cuenten para qué utiliza el navegador Chrome cada miembro de la familia o que interactúen con nuestros productos para poder evaluar su respuesta a los mismos. Esta información es muy importante para nosotros, ya que nos permite entender si hemos colocado el texto en el lugar adecuado o si la interfaz y los botones resultan o no útiles. Gracias a ello, podemos asegurarnos de que nuestros productos satisfacen las necesidades de los usuarios. Nuestra filosofía parte de la premisa de que nadie debería ser un experto en seguridad web para sentirse seguro navegando por Internet. Estas condiciones, y el hecho de que las necesidades de cada usuario en este contexto son muy distintas, seguirán guiando nuestro trabajo en el futuro.

Tengo entendido que, entre otras cosas, estáis trabajando para retirar las cookies de terceros. Antes de nada... ¿qué son las cookies?

Las cookies se utilizan prácticamente desde que nació Internet. Se trata de pequeños archivos que los proveedores de los sitios web usan para almacenar información localmente en un ordenador. A día de hoy, siguen desempeñando un importante papel en Internet. Por un lado tenemos las cookies propias, que se utilizan para mantener iniciadas sesiones de cuentas online o gestionar carros de compra en sitios de comercio electrónico. Por otro, están las cookies de terceros, que permiten mostrar publicidad relevante. Estas cookies de terceros también registran las búsquedas que realiza un determinado usuario sobre un producto concreto en Internet. Así, una cookie puede registrar que has estado buscando una mochila en un determinado sitio y, posteriormente, mostrarte el anuncio de un artículo similar que se vende en otro sitio distinto.

¿A qué se debe esto?

Internet es una plataforma abierta y mayoritariamente gratuita. Los contenidos que los sitios web ofrecen se costean principalmente con publicidad, y cuanto más relevante es esta publicidad, mejores son los resultados para los usuarios y los proveedores.

Las cookies de terceros permiten hacer un seguimiento de los movimientos de los usuarios en Internet. Ahora estáis trabajando en formas de evitar que esto siga sucediendo en el futuro, ¿verdad?

Sí, actualmente estamos desarrollando The Privacy Sandbox, una zona de pruebas de privacidad, para que, en el futuro, los anunciantes no puedan identificar a los usuarios a través de sus cookies. Con el tiempo, la comunidad de Internet ha ido tomando cada vez más consciencia de que las cookies de terceros no cumplen las expectativas de los usuarios. Actualmente, estos exigen más privacidad y transparencia, capacidad de elección y control sobre el uso que se hace de sus datos. Por tanto, resulta obvio que el ecosistema de Internet debe evolucionar para satisfacer sus demandas. Para poner fin al seguimiento de sitios, la Web debe alejarse de las cookies de terceros y otras técnicas encubiertas, como, por ejemplo, el fingerprinting de navegadores. Sin embargo, durante los últimos 30 años, muchas capacidades esenciales de Internet han terminado dependiendo de estas mismas técnicas. No queremos que la Web pierda estas capacidades críticas, como permitir a los editores web seguir ampliando sus negocios y garantizando la sostenibilidad de Internet, asegurando el acceso universal a contenidos, proporcionando las mejores experiencias a las personas en sus dispositivos individuales, diferenciando a los usuarios reales de los bots y los usuarios fraudulentos, etc. Nuestro objetivo al desarrollar la iniciativa de código abierto The Privacy Sandbox es hacer que Internet ofrezca más privacidad y seguridad a los usuarios sin dejar de apoyar a los editores web.

¿Qué ha hecho Google para solucionar el problema?

En el marco de la iniciativa Privacy Sandbox, estamos trabajando con la comunidad de Internet para desarrollar tecnologías novedosas que protejan la privacidad de la información de los usuarios y evite las técnicas de seguimiento invasivas, como el fingerprinting, a la vez que se proporciona a los sitios web una forma de ofrecer anuncios útiles para financiar sus negocios. A comienzos de este año, presentamos la API Topics, una nueva propuesta de Sandbox de anuncios basados en intereses que sustituye al FIoC y que ha sido desarrollada a partir de los comentarios de reguladores, organismos de supervisión de la privacidad y desarrolladores. Esta solución permite a los anunciantes mostrar anuncios relevantes en función de los intereses, como por ejemplo, "Deportes", que se infieren a partir de los sitios web visitados, todo ello protegiendo al máximo la privacidad de los usuarios. Mientras que en el pasado las cookies identificaban a los usuarios, la idea que subyace a Topics es que el historial de navegación personal de los internautas no sale del navegador o el dispositivo ni se comparte con nadie, tampoco con los anunciantes. Gracias a ello, los anunciantes pueden seguir ofreciendo anuncios y contenidos relevantes sin necesidad de realizar un seguimiento en Internet.

También estamos avanzando mucho en otras propuestas para Privacy Sandbox, incluido FLEDGE y las API de medición, y seguimos colaborando con la Autoridad de Competencia y Mercados del Reino Unido (CMA) para garantizar que nuestras propuestas funcionan en todo el ecosistema.

En los últimos años, Múnich se ha convertido en un destino popular para las start-up digitales y otras compañías tecnológicas. ¿Cuál ha sido tu percepción de este fenómeno como director del centro de Google en la ciudad?

Múnich está experimentando cambios notables. No solo Apple, Amazon y Google están invirtiendo y ampliando su presencia en Múnich, sino que otras empresas fantásticas como Celonis, una unicornio que proporciona servicios de análisis de datos, han traído su sede hasta aquí. La razón por la que la proporción de compañías B2B que se establece aquí es mayor que en ningún otro lugar es el gran número de empresas tecnológicas de primer nivel localizadas en la región. También contamos con excelentes universidades, como la LMU y la TUM, que poseen sus propios centros de emprendimiento locales. Además, el gobierno estatal de Baviera está ofreciendo un apoyo sin parangón a través de su "Agenda de Promoción Tecnológica", en el marco de la cual se están realizando enormes inversiones en inteligencia artificial y computación cuántica que tendrán un excelente impacto. Son, por tanto, la larga tradición en ingeniería y tecnología de la región, su sólida posición económica, su buen apoyo político, sus excelentes instituciones educativas y su elevada calidad de vida las que hacen de Múnich la ubicación perfecta para estas empresas y profesionales.

Las nuevas oficinas de Google en Múnich están en obras. ¿Ha cambiado vuestros planes la pandemia?

Antes de la pandemia, pasábamos la mayor parte del tiempo en la oficina, donde tenemos cafeterías, salas de reuniones y restaurantes que permiten a los empleados reunirse presencialmente y trabajar conjuntamente en sus proyectos. Naturalmente, esta forma de trabajar se ha visto notablemente alterada por la pandemia, y ya estamos incorporando muchas de las lecciones aprendidas durante el pasado año en la planificación de nuestro nuevo y emocionante proyecto Arnulfpost.

¿Es posible crear esa misma atmósfera con el teletrabajo?

Nuestra empresa nació y evolucionó en la nube, y todos los que trabajamos en ella vivimos también en la nube. Esta es la razón por la que tratamos de fomentar que nuestra plantilla interactúe a través de desayunos online o videoconferencias abiertas. Sin embargo, creemos que este entorno no nos permitirá valernos del capital social que hemos acumulado durante años para siempre. Hemos contratado a muchos empleados que, de hecho, aún no han pisado las oficinas de la empresa, y conocer y gestionar a toda la plantilla en un contexto así supone un verdadero desafío para los gerentes.

¿Qué implicaciones específicas tiene esto para la forma en la que el GSEC de Múnich trabajará en el futuro?

Dado que sabemos lo importante que es reunir a las personas en un lugar de trabajo para crear la serendipia necesaria para generar ideas innovadoras, no apostaremos por un entorno 100 % virtual. No obstante, tras analizar si era necesario que todos los empleados contasen con espacio de trabajo físico, decidimos que nuestro equipo de ventas pudiese acogerse a fórmulas de trabajo flexibles y migramos a la nube muchas de las herramientas de desarrollo que utilizan nuestros ingenieros. En el futuro, cada equipo podrá decidir el número de estaciones flexibles y fijas que desea conservar. Quizá así, en lugar de crear estaciones fijas, tengamos que proporcionar más espacios creativos para lluvias de ideas con cámaras, proyectores y pizarras electrónicas.

Fotografías: Sima Dehgani