domingo, mayo 10, 2015

¿Cómo sabe Twitter los cereales que comes o que esperas un bebé?

Muchos han sido los servicios de inteligencia que hablan de sacar conocimiento a partir de los datos que Twitter tiene. Saber cuál es la ideología política, los gustos o las relaciones sociales de una persona a través de lo que publica en su time-line, a quién sigue o quién le sigue es más que posible. Seguro que se os ocurren muchas cosas que se pueden aprender simplemente haciendo análisis del Big Data que tiene Twitter, pero lo que tal vez es más difícil de entender es cómo es posible que Twitter esté ofreciendo a sus anunciantes hacer publicidad dirigida tan ajustada como el salario que tiene una persona, los cereales que compra o si está esperando un bebé en los próximos seis meses.

Figura 1: ¿Cómo sabe Twitter los cereales que comes o que esperas un bebé?

La pregunta que muchos se hacen es cómo es posible que Twitter sepa eso. Cómo es posible que conozca una empresa a partir de los tuits que pone los cereales que desayuna. No es que haya alguno que lo publique en su time-line, que seguro que muchos lo hacen, pero como para saber con exactitud que 1.6 Millones de sus usuarios comen una determinada marca de cereales u otra. Esa es la pregunta que responde Mikko Hypponen este esta conferencia en Re:Publica15.


Figura 2: Conferencia de Mikko Hypponen en Re:publica15

Según explica Mikko Hypponen este tipo de datos solo se consiguen de una forma, y es el Mundo Real, comprando los datos de tus interacciones en el mundo físico a grandes empresas que a su vez compran las bases de datos en tiendas, cadenas de hoteles, viajes, centros comerciales - que los recolectan tal y como os expliqué en "Cómo te espía tu Centro Comercial" -, empresas de servicios, etc... Con todos esos datos, un anunciante en Twitter puede seleccionar, tal y como se puede ver en esta imagen, poner tuits promocionados a personas que desayunan un determinado tipo de cereales.

Figura 3: Anuncios en Twitter dirigidos a consumidores de determinados cereales

O que tienen un determinado nivel salarial, es de que se conoce de cada cuenta Twitter en la que se va a poner el anuncio el rango de dinero que está cobrando la persona que está detrás de esa cuenta.

Figura 4: Un anunciante en Twitter puede poner los anuncios a gente en función de sus salarios

Twitter compra los datos del mundo real a empresas como CBG, Acxiom o Datalogix - esta última recientemente comprada por Oracle - para poder cruzar todos los datos de actividad en el mundo real de las personas con la cuenta Twitter que tiene delante y a la que le tiene que poner un tuit promocionado. La clave para todo esto es que a Twitter, al igual que a muchos otros servicios le estamos dando nuestra verdadera identidad al darle el número de teléfono.

Figura 5: Los anunciantes en Twitter saben vas a ser papá porque Twitter ha comprado esos datos

El número de teléfono a Twitter se lo dimos inicialmente con la idea de poner un Segundo Factor de Autenticación basado en mensaje a nuestro número de teléfono. Al darle ese número de teléfono a Twitter le estamos dando el dato que le permite identificar las acciones que ha comprado en las bases de datos del mundo real con sus clientes, y llegar a saber que la cuenta Twitter que tiene delante tiene una alergia primaveral.

Figura 6: Puedes poner anuncios solo a usuarios con alergias primaverales

Cuando diseñamos Latch como Segundo Factor de Autorización una de las cosas que tomamos muy en serio fue en hacer Latch anónimo y no capturar ningún dato de los usuarios. Los sistemas OTP basados en el número de teléfono utilizan un dato personal que no hace anónimo al usuario en una cuenta. La suposición de Mikko sobre la adquisición de WhtatsApp por Facebook es que era el servicio que más identidades reales había sido capaz de captura en los dispositivos móviles al haber usado como identidad el número de teléfono.

Figura 7: Según Mikko el valor de WhatsApp estaba en su
base de datos de apps asociadas a números de teléfono

Si al final el servicio va a ser un servicio oficial en el necesitamos dar nuestra identidad real, utilizar el número de teléfono con sistemas como Mobile Connect es una buena opción. Si en el sitio queremos ser anónimo, utilizar un OTP vía número de teléfono como Segundo Factor de autenticación no nos hará nunca anónimos. Si solo tienes media hora hoy para perder, piérdela viendo esta charla de Mikko Hypponen.

Actualización: Para completar el círculo, ahora Twitter deja a sus usuarios de Periscope autenticarse con su número de teléfono en lugar de con su cuenta de Twitter, ¿por qué? Pues porque si en el mismo terminal está la cuenta de Twitter, también puede hacer el matching. Es decir, con la app de Twitter tienen la cuenta de Twitter y el ID del smartphone. Con la app de Persicope tendría el número de teléfono y el ID del smartphone. Con lo que conseguiría relacionar la cuenta de Twitter y el número de teléfono. Es decir, el mismo truco que Facebook o Instagram con WhatsApp

Saludos Malignos!

4 comentarios:

Jonathan Novel dijo...

Buenas,
Esto ya asusta ¬¬
La cosas esta que arde, increíble o__O?

Una vez mas, muchísimas gracias por la info Chema, ahora mismito veo la conferencia y así plancho la oreja y enderezo un poco la bisagra que ya va siendo hora ;-)

PD: jo "menudo madrugón"

Salu2!

Jonathan Novel dijo...

Buenas,

He visto la conferencia y aunque esta en ingles y la traducción de los subtítulos por parte de YouTube/Google no es que ayuden mucho, se entiende, sobre todo en el punto donde comenta el echo de aceptar los términos de licencia/privacidad de forma deliberada sin tan siquiera leer una linea de la misma.

No hace mucho, en un grupo de Whatsapp en el cual hablamos de todas estas cosas, hice referencia con un toke de humor sobre eso mismo, diciendo y aconsejando que nos vayamos acostumbrandonos a leer antes de aceptar nada, si un día pican a la puerta reclamandote un riñón que no se extrañe nadie, muchos se lo tomaron al pie de la letra sin captar el mesaje ni la metáfora y comentaban que eso era muy descabellado y fuera de contesto, a lo que respondí; Haaa¡ pero tu aceptaste >.<

Tambien es cierto que las grandes empresas los saben y no dudan sacar tajada de ello al precio que sea, quien iva a decir que ha alguien le puediese interesar algo de mi, claro que muchas veces he comentado que yo no tenga nada que ocultar, pero me refiero a algo que me comprometa con la justicia o la ley en si, pero si que soy cosnciente de que al igual que de mi del resto del mundo somos victimas del ciber espionaje, no se, creo se deberia de añadir al diccionario un nuevo adjetivo calificativo como 'ciberspiomarketing' o algo asi...

He de decir que tampco me leo casi ninguna (por no decir ninguna) y muchos diran, va pero no soy el unico...
A esto se le podria llamar; Consuelo de tontos ;-)

Salu2!

Carmen dijo...

Hola,
Buscaba una manera de rentabilizar mi blog ( beneficios = 0 - 2,10 €/mes, que desastre!!!!) y he dado con tu pag.

Después de echar un vistazo, ...... pentesting, faast, deep web ...... ,sin entender nada ( solo soy una madre, je), no sé como he llegado a tu curriculum y.... he sentido la necesidad de FELICITARTE, es brillante!!!!

El sentido común me dice que no hay peligro ni malos "consejos" en tu blog, entonces? por qué, UN INFORMÁTICO EN EL LADO DEL MAL?

Bueno, no pretendo entrometerme, por eso retomo el sentido del mensaje.
De nuevo, felicidades, suerte y mas trabajo.
Saludos.
Carmen

Limpiando Pelusas dijo...

Es lo que tiene el auge del Data Mining hoy en día. La facilidad que ofrece Twitter para acceder a sus datos de forma pública (siempre que el usuario lo permita) hace que multitud de empresas se sumen a la carrera del conocimiento a través del análisis de datos en las redes sociales. Gracias a detalles como los que indicas en la entrada, es posible tomar importantes decisiones de negocio.

Muy buena entrada, sin duda. Es importante que la gente sea consciente de esto, y no "se asuste" al conocer datos como éste.

Saludos y enhorabuena por el blog

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares