La Asamblea Global de Privacidad advierte sobre los riesgos para la privacidad del scraping.

El raspado de datos es la extracción automatizada de datos de aplicações web y móviles. Los scrapers extraen datos por muchos motivos, desde obtener una ventaja competitiva hasta agregar datos para comparar precios. Las organizaciones a menudo intentan evitar el raspado porque no quieren que los competidores obtengan acceso a sus datos de precios o inventario o porque el volumen de tráfico de raspado afecta el rendimiento de la aplicación. En muchos casos, el raspado de tráfico puede representar más del 95 % del tráfico total y puede ralentizar o incluso bloquear las aplicações.

Las normas de privacidad tienen como objetivo proteger los derechos de privacidad de datos de las personas, permitiéndoles decidir quién puede utilizar sus datos, con qué propósito y durante cuánto tiempo. Cuando los usuarios comparten datos en las redes sociales, su intención es que estos sean vistos por un determinado grupo de personas, según lo establecido en las políticas y configuraciones de privacidad de la aplicación. Cuando estos datos se extraen sin su conocimiento, las personas pierden el control de su información personal, ya que los recopiladores pueden utilizarla de maneras distintas a su propósito previsto.

El raspado de datos también viola el derecho de las personas a solicitar la eliminación o corrección de sus datos personales. Una vez extraídos los datos, incluso si el creador los elimina del sitio de redes sociales, los recopiladores continuarán usando y compartiendo esos datos.

Esta pérdida de control sobre los datos personales, según la declaración conjunta del GPA, pone a las personas en riesgo de varias maneras. Los delincuentes pueden utilizar estos datos para ingeniería social, phishing dirigido y fraude de identidad. Los datos podrían permitir a los delincuentes elaborar perfiles de individuos con la intención de eludir los sistemas de autorización. Y los vendedores poco escrupulosos pueden usar los datos para marketing directo y spam.

Según la declaración conjunta del GPA, la información personal, incluso cuando está disponible públicamente en Internet, está sujeta a las leyes de protección de datos. Esto significa que la extracción masiva de información personal puede constituir una violación de datos denunciable en muchas jurisdicciones.

La declaración conjunta recomienda medidas para prevenir la extracción de datos que son requeridas por requisitos legales en muchas jurisdicciones y pueden ser “interpretadas como tales por los tribunales y las autoridades de protección de datos”.

Para mitigar los riesgos de privacidad que supone la extracción de datos, el GPA recomienda controles técnicos y de procedimiento de múltiples capas, comenzando con la creación de un equipo designado para implementar los controles y supervisar su eficacia. Otros controles incluyen limitar la velocidad de los usuarios, monitorear los enlaces rápidos dentro de la red social, tomar acciones legales contra los recopiladores de datos para asegurar la eliminación de los mismos y notificar a individuos y reguladores sobre actividades de recopilación de datos que constituyan una violación de datos.

Como componente de los controles de múltiples capas, el GPA también recomienda mitigar los bots que extraen datos. La declaración conjunta menciona específicamente CAPTCHA y la limitación de la velocidad de IP. Las organizaciones que desean una protección multicapa eficaz deben considerar soluciones de gestión de bots que utilicen la recopilación de señales e inteligencia artificial para mitigar los bots avanzados que eluden CAPTCHA y la limitación de velocidad de IP.

Si consideramos el raspado de datos a la luz de los recientes avances en phishing , la amenaza a la privacidad individual se vuelve aún más alarmante. Los proveedores de phishing como servicio (PhaaS) proporcionan conjuntos de herramientas completos para lanzar ataques de phishing, incluidas plantillas de correo electrónico, sitios web falsos diseñados para parecer auténticos, detalles de contacto de objetivos potenciales, instrucciones detalladas sobre cómo hacerlo y atención al cliente, todo lo cual hace que el phishing sea más efectivo incluso para atacantes poco capacitados. Además, el phishing se ha convertido en el principal medio para eludir la MFA a través de servidores proxy de phishing en tiempo real que engañan a los usuarios para que envíen contraseñas de un solo uso en aplicaciones controladas por los atacantes. (Consulte el informe de F5 Labs sobre cómo el phishing está haciendo que la MFA sea ineficaz).

Debemos esperar que el phishing se vuelva cada vez más efectivo mediante la aplicação de modelos de lenguaje grandes. Los informes sobre nuevas herramientas de ataque a la venta en la red oscura, incluidas WormGPT y FraudGPT , indican que los delincuentes han comenzado a adaptar la IA generativa para fines nefastos, incluido el phishing. Es casi seguro que estas herramientas se beneficiarán de la ingesta de datos personales extraídos de múltiples aplicaciones para crear mensajes de phishing efectivos y personalizados, un desarrollo que puede conducir a la automatización del phishing selectivo.