En qué lugar del mundo están mis datos y qué seguridad tienen?
Cuando Max Schrems, un activista austriaco de la privacidad, solicitó ver sus datos personales que Facebook almacenaba en sus servidores, recibió por correo un CD-ROM que contenía un documento de 1.222 páginas.
Ese archivo, que se extendería casi un cuarto de milla si se imprimiera y se colocara de punta a punta, ofrecía un vistazo al apetito de Facebook por los detalles privados de sus 1.650 millones de usuarios.
La información incluía los números de teléfono y las direcciones de correo electrónico de los amigos y familiares del Sr. Schrems; un historial de todos los dispositivos que utilizaba para iniciar sesión en el servicio; todos los eventos a los que había sido invitado; todas las personas a las que se había hecho «amigo» (y a las que posteriormente había dejado de serlo); y un archivo de sus mensajes privados.
Incluso incluía transcripciones de mensajes que había borrado.
Pero el Sr. Schrems, que dice que sólo utilizó Facebook ocasionalmente durante un período de tres años, cree que se le ocultó una parte considerable de información.
Recibió registros de datos para unas 50 categorías, pero cree que hay más de 100, dice a la BBC.
«Retuvieron mis datos de reconocimiento facial, que es una tecnología que puede identificarme a través de mis fotos. Tampoco revelan la información de rastreo, que es lo más espeluznante que hacen: cosas como si has leído una página web sobre un coche deportivo y cuánto tiempo la has leído».
Facebook puede incluso rastrear el uso de Internet de los no miembros mediante el uso de cookies colocadas en sus máquinas, como confirmó una reciente decisión legal en Bélgica.
La experiencia del Sr. Schrems ilustra vívidamente los desafíos a los que nos enfrentamos en una era digital llena de aplicaciones de mensajería, redes sociales, motores de búsqueda a medida, clientes de correo electrónico y aplicaciones bancarias, todos ellos recogiendo datos personales sobre nosotros y almacenándolos, en algún lugar, en la nube.
¿Pero dónde están exactamente todos estos datos, cómo se utilizan y qué seguridad tienen?
Las cuatro grandes
Más de la mitad del almacenamiento en la nube alquilable del mundo está controlado por cuatro grandes empresas. Amazon es, con diferencia, la más grande, con cerca de un tercio de la cuota de mercado y más de 35 centros de datos en todo el mundo.
Los siguientes tres mayores proveedores son Microsoft, IBM y Google, y cada uno de ellos adopta un patrón global similar de granjas de servidores.
Varios de estos grandes proveedores de nubes públicas duplican habitualmente los datos de los usuarios en sus redes. Esto significa que la información que se sube a la nube en, por ejemplo, el Reino Unido o Estados Unidos, es probable que se transfiera en algún momento a servidores en las principales ciudades del mundo, desde Sidney hasta Shangai.
El problema de esto, dice el profesor Dan Svantesson, especialista en derecho de Internet de la Universidad de Bond (Australia), es que «siempre existe el riesgo de que el país al que van tus datos no tenga el mismo nivel de protección .
«Si tus datos acaban en otro país, puede no estar claro quién tiene acceso a ellos, ya sean los proveedores de la red o las fuerzas del orden», afirma.
Benjamin Caudill, consultor de ciberseguridad de Rhino Security Labs en Seattle, también tiene dudas sobre cómo se distribuyen estos datos.
«Nadie sabe realmente cómo se hace la salchicha», dice el Sr. Caudill, cuyo trabajo incluye probar las defensas de las empresas a través del «hacking ético».
«Es muy difícil saber dónde se almacenan los datos. Muchas veces las propias empresas no están seguras de dónde pueden residir todos los datos»
Dice que un cliente suyo, que utilizaba el servicio en la nube Azure de Microsoft, fue víctima de un hackeo: se borraron todos los datos y las copias de seguridad.
Pero después de indagar un poco, se descubrió que una parte de los datos perdidos se había almacenado en otro lugar de los servidores de Azure. Aunque esto supuso un alivio para el cliente del Sr. Caudill, la aparente naturaleza aleatoria de la colocación de los datos en los servidores de Microsoft no le llenó de confianza.
«Nadie sabe realmente lo seguros que son los servicios en la nube de los principales proveedores», dice el Sr. Caudill, que sospecha que «tanto Amazon como Azure han tenido importantes problemas de seguridad en algún momento».
¿Quiebra de seguridad?
Por su parte, todos los grandes proveedores de nubes públicas dicen que la seguridad es una prioridad.
En las instalaciones de servidores de Google en Carolina del Sur, por ejemplo, los guardias patrullan las puertas y emplean escáneres biométricos de iris en las entradas al santuario interior. Los rayos láser bajo el suelo detectan a los intrusos.
Pero nadie diría que nunca han tenido fallos de seguridad.
Un portavoz de Microsoft dijo a la BBC: «Microsoft tiene un compromiso con los clientes para ayudarles a salvaguardar sus datos y permitirles tomar decisiones sobre ellos. Recomendamos a los clientes que visiten el Centro de Confianza de Microsoft para saber más sobre cómo se gestionan sus datos y se mantienen seguros»
Amazon subraya que los clientes «mantienen la propiedad y el control de sus contenidos. Ellos eligen en qué ubicación almacenar sus datos y estos no se mueven a menos que el cliente decida moverlos».
Esta capacidad de elegir en qué región se almacenan sus datos está siendo cada vez más popular entre las empresas, especialmente en la Unión Europea, donde el nuevo y estricto Reglamento General de Protección de Datos entrará en vigor en 2018.
Por favor, no te arriesgues
Pero los consumidores a menudo no tenemos este lujo.
«Los datos de tu cuenta de Gmail están absolutamente en más de un servidor. Está absolutamente en más de un país», dice el profesor Svantesson.
¿Pero por qué debería importarnos?
Cuantos más datos tengamos dispersos por el mundo, más vulnerables serán a los hackers, afirma Caudill, una suposición que se ve confirmada por el hecho de que el fraude de identidad va en aumento.
Mientras la gente sigue subiendo su información digital a la red, en un pantano de complejidades legales territoriales y protocolos de seguridad nacional no revelados, el profesor Svantesson ofrece algunos consejos prácticos, que mucha gente sigue sin seguir.
«Yo sugeriría no poner nunca nada sensible en la nube, como la información de las tarjetas de crédito, o imágenes personales que no quieras que otros vean.
«Algunas cosas deberías dejarlas para ti mismo», aconseja.
Sigue al editor de Technology of Business @matthew_wall en Twitter
Haz clic aquí para ver más artículos de Technology of Business