Han crecido los temores hacia el uso de servicios en la nube. Las brechas o fugas de datos reiteradas en servicios como Google –errores y cierre de Google+– y acciones de Facebook -el caso Cambridge Analytica o 150 Companies– ponen en entredicho la seguridad y privacidad de los datos de millones de usuarios.
Los casos anteriores son los más notorios fuera del ámbito de la educación. Estos ponen de manifiesto una alta fragilidad de la privacidad de los datos. Otro caso de cifras escandalosas -relacionado con hackers- es el de la cadena de Hoteles Starwood de Marriott. La cadena denunció en noviembre del 2018 que 500 millones de registros fueron robados de su base de datos. Esto significa que se han puesto al descubierto datos personales de más de 327 millones de clientes, como detalles del pasaporte o tarjetas de crédito. A la fragilidad de la privacidad de los datos se le suma la fragilidad en la seguridad de los mismos.
Usos indebidos de datos educativos
En el ámbito educativo la incertidumbre de un posible mal uso de la analítica del aprendizaje genera miedos y crea inquietudes que la perjudican -a pesar de sus poderosas posibilidades en el aula-. Estos miedos vienen infundados por algunos de los casos más sonados en educación, que ponen en entredicho la aplicación de la analítica y la ética de algunos proveedores. Uno de ellos es el caso inBloom Schools, institución que recibió fondos de la Fundación Gates, de Bill Gates.
InBloom se diseñó como una institución sin ánimo de lucro. Pretendía recolectar datos de estudiantes y profesores para ofrecer mejores servicios personalizados. Con tal pretexto inBloom recolectó datos educativos de 9 estados de EEUU -cedidos por estos mismos- y los vendió a proveedores privados, sin consentimiento parental alguno.
Tales movimientos generaron una filtración de 2.7 millones de datos educativos. Estos datos educativos hacen referencia a nombres, resultados de evaluación, direcciones de la vivienda, datos económicos, raciales y hasta datos relacionados con adaptaciones curriculares. Sin duda es un escándalo que perjudica seriamente a iniciativas de análisis de datos, y que creo deben ponerse en perspectiva.
Accesos indebidos a datos educativos
Los interesados en los datos educativos de nuestros alumnos no solo son proveedores. En el ciberspacio podemos encontrar interesados capaces de realizar acciones aún más ilegales y contraéticas como acciones de hacking de sombrero negro. Lamentablemente, y más aún con la aparición de la RGPD, están denunciándose muchísimos incidentes de ciberseguridad en escuelas y empresas tecnológicas educativas.
Uno de los casos con más repercusión fue el de Edmodo, al que le robaron datos de más de 77 millones de cuentas de usuario. Otro a destacar es el caso FAFSA (Free Application for Federal Student Aid) donde se robó información de más de 100.000 contribuyentes. FAFSA es la forma que utiliza el gobierno de EEUU y instituciones educativas para determinar la ayuda financiera para millones de estudiantes.
Yo mismo, siendo administrador de servidores y plataformas educativas, he vivido distintos intentos de hacking, phishing, web defacement y accesos por fuerza bruta. Los intereses son distintos, pero mayoritariamente el interés principal se centra en acceder a datos educativos para después revenderlos a buen precio.
Doug Levin ha creado la cuenta en Twitter @K12CyberMap donde expone los incidentes en escuelas públicas de EEUU desde 2016. Ya lleva contabilizados unos 400 casos. Esto significa que cada 2 días una escuela de Estados Unidos sufre un ataque de distinto tipo, por ejemplo:
- Encriptación de datos y rescate
- Email phishing
- Acceso a cuentas de servicios online por usuarios desconocidos
Es interesante ver el mapa que Levin pone a disposición para conocer dónde se han efectuado los ataques y leer la descripción en detalle de cada uno de ellos.
Expectativas rol educativo vs rol proveedor
Los casos expuestos nos enseñan a ser cautelosos a la hora de tratar datos educativos -de cualquier tipo– o de confiar en servicios de terceros. Hay que entender que:
- Cualquier servicio en internet es una puerta expuesta a ciberataques.
- Cualquier servicio que recolecte datos educativos tiene la responsabilidad de velar por los mismos.
- Cualquier proveedor puede quebrantar la ley si así facilita sus acciones comerciales -como en el caso de Facebook y trata de datos con Amazon, Netflix, Spotify y otras más de 150 compañías-.
Considerar que todos actuamos de buena fe, hace que las leyes sean poco útiles. No existe una actuación legal a tiempo real, en consecuencia, es necesaria una tecnología de automatización que la haga cumplir.
Esta tecnología debe considerar también los acuerdos entre usuarios y entidades más allá de las regulaciones aplicables. Esto es precisamente necesario ya que los roles educativos tenemos unas expectativas distintas a los roles proveedores que las limitan comercialmente.
Los últimos movimientos entre compañías dan por supuesto que el comerciar y la privacidad no son compatibles. Esta incompatibilidad es la que genera recelos en el uso de herramientas educativas que recolectan datos -sin necesidad de ofrecer funcionalidades analíticas-.
La tecnología nos hace vulnerables
La idea de que la tecnología es inquebrantable es un mito. Los ataques hackers son una prueba de ello. No obstante, y más allá de la fragilidad en la seguridad de las construcciones digitales, existe una creciente dependencia a la tecnología digital como servicio que hacen el escenario aún más peligroso.
Hemos pasado de una era industrial donde el producto tangible era lo primordial a una era digital donde el servicio es el valor añadido. El producto ahora ya no es tan importante y se convierte en la interfaz de comunicación con el servicio.
El «internet de las cosas» o el «internet de los cuerpos» son los principales movimientos que encarnan esta nueva predisposición hacia el servicio digital. Son casos de ejemplo un wereable que conecta tus datos biométricos con una plataforma social, una lentilla que permite regular el azúcar en sangre a la vez que envía datos en el servidor para que el doctor pueda hacer un seguimiento o un Amazon Echo que registra todas las grabaciones –ver caso Amazon Echo y exposición de grabaciones personales-.
Esta connectividad en los dispositivos electrónicos genera por una parte dependencia y vulnerabilidad.
La dependencia a los servicios se ha conseguido puesto que estos ofrecen inmediatez, análisis, conocimiento y funcionalidades nuevas en el producto e incluso en el servicio.
Los servicios son vulnerables. Pueden sufrir ataques, escapes de datos, de generar intercambio de datos entre empresas y de exponer millones de datos de personas físicas.
Es justamente esta vulnerabilidad de los servicios que nos hace a la vez vulnerables. El uso de los mismos significa compartir con negocios nuestros datos personales, nuestros datos biométricos e incluso nuestras conversaciones de voz. La dependencia a servicios aumenta nuestra vulnerabilidad.
Cuando encontramos normales situaciones que pueden poner en riesgo posibles fugas y mal usos de nuestra información personal, añadimos un nivel adicional de vulnerabilidad. Una medida preventiva es asegurar que el servicio cumple con la RGPD, LOPD o cualquier ley a la que deba estar sujeto. No obstante, y como he dicho antes, la buena fe no es parámetro para elegir un proveedor de servicios.
A modo de reflexión, si aceptamos que en los exámenes en educación en línea se use una cámara web para registrar nuestras acciones, ¿qué limita que a la par nos puedan tomar datos biométricos? De estas posibles situaciones rocambolescas hablo en el hilo «el colmo de Learning Analytics» -algunas de ellas ya se han cumplido-.
Tomar el control: Big Data o Small Data
Big Data en educación abre un nuevo debate. En resumidas cuentas, esta aproximación implica el uso de algoritmos, técnicas de machine learning, de data science y de estadística compleja en el análisis de datos educativos. Su objetivo es extraer patrones y generar predicciones a partir de datos del pasado. El uso del Big Data como una bola de cristal conlleva peligros encerrados en sus algoritmos.
Cualquier predicción implica que una réplica de situaciones concretas del pasado. Esto significa que se aplican algoritmos que encierran factores pasados culturales, sociales, políticos o éticos, por citar algunos. Creer que las predicciones realizadas con datos de un país pueden encajar en otras realidades educativas implica unos riesgos muy elevados.
El Small Data muestra la otra cara de la realidad, más amable con el alumno y más controlada por el profesor e institución educativa.
Seguridad, Privacidad y Ética
Todo el escenario anterior dibuja un futuro que requiere una regulación y un análisis en profundidad del impacto en educación de la integración de servicios de datos.
En este escenario nos encontramos con tres términos fundamentales que tenemos que tener en cuenta para reducir la incertidumbre en los malos usos de servicios en la nube o locales:
- Seguridad: Certidumbre en cuanto se puede confiar en la tecnología para tener unos datos protegidos ante accesos indebidos o de corrupción.
- Privacidad: Certidumbre de que los datos son visibles para los usuarios asignados dentro de unas casuísticas arbitrarias.
- Ética: Certidumbre de que no se va a hacer un mal uso de los datos recolectados.
Podemos afirmar que una incertidumbre en estos aspectos pueden interferir negativamente en la opinión de estudiantes y profesores en cuanto a los servicios ofertados por la institución. La dirección de la institución educativa juega un papel esencial en la recomendación de líneas a seguir en relación a estos tres términos.