Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
¿Recuerdan cuando eran niños, seguramente tenían un juguete preferido que era un compañero constante, como Christopher Robin tenía a Winnie the Pooh, y su imaginación alimentaba aventuras sin fin? ¿Qué podría ser más inocente que eso? Bueno, déjenme presentarles a mi amiga Cayla.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla fue elegida juguete del año en países alrededor del mundo. Se conecta a internet y utiliza tecnología de reconocimiento del habla para responder las preguntas de sus niños, responde como un amigo. Pero el poder no está en la imaginación de su niño. En realidad está en la compañía que recolecta información personal mientras su familia conversa inocentemente en la seguridad de su hogar, un sentido peligrosamente falso de seguridad. Este caso me hizo sonar alarmas, ya que es mi trabajo proteger los derechos del consumidor en mi país. Con millones de dispositivos como autos, contadores eléctricos y hasta aspiradoras que se espera que salgan en el 2020, pensamos que este caso valía la pena ser investigado a fondo. Porque ¿qué hacía Cayla con todas las cosas interesantes que aprendía? ¿Tenía otro amigo al que le era fiel y al que le compartía información? Sí, adivinaron bien. Lo hacía. Para poder jugar con Cayla, necesitas descargar la aplicación para acceder a sus características. Los padres deben aceptar el cambio de los términos sin aviso. Las grabaciones del niño, de sus amigos y familia pueden utilizarse para publicidad. Y toda esta información puede compartirse con terceras partes anónimas.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
¿Suficiente? No tanto. Cualquiera con un smartphone puede conectarse a Cayla a cierta distancia. Cuando confrontamos a la compañía que creó y programó a Cayla, publicaron una serie de declaraciones sobre que alguien tenía que ser un experto en tecnología para violar la seguridad. ¿Deberíamos verificar esa declaración y hackear en vivo a Cayla? Aquí está. Cayla está equipada con un dispositivo bluetooth que puede transmitir hasta 20 metros, un poco menos si hay una pared de por medio. Eso significa que yo, o cualquier extraño, puedo conectarme a la muñeca mientras estoy fuera del cuarto donde están Cayla y sus amigos. Para ilustrar esto, voy a encender a Cayla. Veamos, uno, dos, tres. Listo. Está encendida. Y le pedí a un colega que se pare afuera con su smartphone y está conectado, y para hacer esto más aterrador...
(Laughter)
(Risas)
let's see what kids could hear Cayla say in the safety of their room.
veamos qué escuchan los niños decir a Cayla en su cuarto.
Man: Hi. My name is Cayla. What is yours?
Hombre: Hola. Mi nombre es Cayla. ¿Cuál es el tuyo?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Eh, Finn.
Man: Is your mom close by?
Hombre: ¿Está tu madre cerca?
FM: Uh, no, she's in the store.
FM: Eh, no, está en la tienda.
Man: Ah. Do you want to come out and play with me?
Hombre: Ah. ¿Quieres salir y jugar conmigo?
FM: That's a great idea.
FM: Es una idea genial.
Man: Ah, great.
Hombre: Buenísimo.
FM: I'm going to turn Cayla off now.
FM: Ahora voy a apagar a Cayla.
(Laughter)
(Risas)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
No necesitamos ninguna contraseña o evadir ningún tipo de seguridad para hacer esto. Publicamos un informe en 20 países alrededor del mundo, exponiendo esta importante falla de seguridad y muchos otros problemas. ¿Qué sucedió? Cayla fue prohibida en Alemania, salió de los estantes en Amazon y Wal-Mart, y ahora descansa en paz en el German Spy Museum en Berlín.
(Laughter)
(Risas)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Sin embargo, Cayla también estuvo a la venta alrededor del mundo durante más de un año luego de que publicamos el informe. Lo que descubrimos es que hay pocas reglas para protegernos y las que tenemos no se cumplen adecuadamente. Tenemos que corregir la seguridad y privacidad de estos dispositivos antes de que salgan al mercado, porque ¿qué sentido tiene cerrar una casa con llave si cualquiera puede entrar a través de un dispositivo conectado?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Podrán pensar, "Esto no me va a pasar. Me voy a mantener alejado de estos dispositivos fallados". Pero eso no los mantendrá seguros, porque conectándose a internet están en una posición imposible de tómalo o déjalo.
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Déjenme mostrarles. Como muchos de Uds. tengo docenas de aplicaciones en mi teléfono y si las usamos adecuadamente, pueden hacernos la vida más fácil, más práctica y hasta más saludable. Pero ¿hemos sido llevados a un falso sentido de seguridad? Comienza simplemente tildando un cuadro. Sí, decimos, he leído los términos. Pero ¿realmente han leído los términos? ¿Están seguros de que no parecían muy largos y su teléfono se quedaba sin batería y la última vez que intentaron eran imposibles de entender, y necesitaban usar ya el servicio? Ahora, el poder de desequilibrio está establecido porque aceptamos que nuestra información personal se recolecte y utilice a una escala que nunca imaginamos.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Es por esto que mis colegas y yo decidimos observar más en profundidad. Nos dispusimos a leer los términos de aplicaciones populares en un teléfono regular. Y para mostrarle al mundo cuán poco realista es esperar que los consumidores realmente lean los términos, los imprimimos, más de 900 páginas, y nos sentamos en la oficina y los leímos en voz alta, transmitiendo el experimento en vivo en nuestros sitios web. Como verán, llevó mucho tiempo. Nos llevó 31 horas, 49 minutos y 11 segundos leer los términos en un teléfono promedio. Eso es más tiempo que una maratón de las películas de "Harry Potter" y "El padrino" combinadas.
(Laughter)
(Risas)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
Y leerlo es una cosa. Entenderlo es otra historia. Eso nos hubiera llevado mucho, mucho más tiempo. Esto es un verdadero problema porque las compañías han discutido por 20 o 30 años contra una mejor regulación de internet porque los usuarios han consentido los términos y condiciones.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Como demostramos con este experimento, lograr consentimiento informado es casi imposible. ¿Creen que es justo poner la carga de la responsabilidad en el consumidor? Yo no. Creo que debemos demandar menos tómalo o déjalo y más términos entendibles antes de aceptarlos.
(Applause)
(Aplausos)
Thank you.
Gracias.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Ahora quiero contarles una historia sobre el amor. Algunas de las aplicaciones más populares del mundo son las de citas, una industria que ahora vale más, o cerca, de 3 mil millones al año. Por supuesto, estamos bien compartiendo nuestros detalles íntimos con nuestra otra mitad. Pero ¿quién más está husmeando, guardando y compartiendo nuestra información mientras desnudamos nuestras almas? Mi equipo y yo decidimos investigar esto. Para entender el asunto desde todos los ángulos, y para hacer realmente un trabajo minucioso, me di cuenta de que tenía que descargar una de las aplicaciones de citas más populares del mundo.
So I went home to my wife ...
Así que fui a hablar con mi esposa...
(Laughter)
(Risas)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
con la que me acababa de casar. "¿Está bien si me creo un perfil en una aplicación de citas muy popular con fines puramente científicos?".
(Laughter)
(Risas)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Esto es lo que encontramos. Oculto detrás del menú principal había un cuadro pretildado que le daba a la compañía de citas acceso a mis fotos en Facebook, en mi caso más de 2000, y algunas eran muy personales. Más grave aún, cuando leímos los términos y condiciones descubrimos lo siguiente, y voy a necesitar sacar mis anteojos de lectura para esto. Se los voy a leer porque es complicado. De acuerdo.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Al publicar contenido"... y contenido se refiere a fotos, charlas y otras interacciones en el servicio de citas, "como parte del servicio, Ud. automáticamente le concede a la compañía, sus afiliados, titulares y sucesores un irrevocable", lo que significa que no pueden cambiar de idea, "perpetuo", que significa para siempre, "no exclusivo, transferible, sublicenciable, completamente saldado, derecho mundial y licencia para usar, copiar, almacenar, exhibir, reproducir, registrar, emitir, adaptar, modificar y distribuir el contenido, preparar trabajos derivados del contenido, o incorporar el contenido en otros trabajos y conceder y autorizar sublicencias del precedente en cualquier medio ahora conocido o creado en adelante".
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Eso básicamente significa que todo tu historial de citas y lo relacionado con ello puede usarse con cualquier fin para siempre. Imaginen a sus hijos viendo sus fotos de citas atrevidas en un comercial de anticonceptivos dentro de 20 años.
But seriously, though --
Pero de verdad,
(Laughter)
(Risas)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
¿qué significarían estas prácticas comerciales? Por ejemplo, pérdida financiera: basándonos en tu historial web, los algoritmos pueden decidir si obtendrás una hipoteca o no. Manipulación subconsciente: las compañías pueden analizar tus emociones basados en fotos y charlas y enviarte publicidades cuando estás más vulnerable. Discriminación: una aplicación de salud puede vender tu información a una compañía de seguros evitando que obtengas cobertura en el futuro. Todo esto sucede hoy en el mundo.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Pero claro, no todos los usos de información son malignos. Algunos tienen fallas o necesitan más trabajo, y algunos son increíbles. Y también hay buenas noticias. Las compañías de citas cambiaron su política a nivel mundial luego de que presentáramos una denuncia legal. Pero las organizaciones como la mía que luchan por los derechos del consumidor no pueden estar en todas partes. Y los consumidores no pueden arreglar esto por su cuenta, porque si sabemos que algo inocente que dijimos volverá para perseguirnos, dejaríamos de hablar. Si supiéramos que nos observan y nos monitorean, cambiaríamos nuestro comportamiento. Y si no podemos controlar quién tiene nuestra información y cómo se utiliza, hemos perdido el control de nuestra vida.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
Las historias que les conté hoy no son ejemplos al azar. Están en todos lados y son una señal de que las cosas deben cambiar. ¿Cómo podemos lograr ese cambio? Las compañías deben darse cuenta de que al darle prioridad a la privacidad y la seguridad se ganarán la confianza y lealtad de sus usuarios. Los gobiernos deben crear una internet más segura asegurando la imposición y actualización de normas. ¿Y los ciudadanos? Podemos usar nuestra voz para recordarle al mundo que la tecnología solo puede beneficiar a la sociedad si respeta los derechos básicos.
Thank you so much.
Muchas gracias.
(Applause)
(Aplausos)