El 7 de octubre de 2019 la Online Trust Alliance (OTA, por sus siglas en inglés) de Internet Society publicó la Auditoría de Confianza en la Red para las campañas presidenciales de 2020 en Estados Unidos. En general, el 30 % de las campañas entraron en el Cuadro de Honor, y el 70 % tuvo un fallo, principalmente relacionado con las puntuaciones de sus políticas de privacidad. Como parte de este proceso, la OTA se puso en contacto con las campañas para explicarles sus resultados específicos en la auditoría y formas de mejorarlos. También informamos a las campañas que se les volvería a puntuar a mediados de noviembre y los resultados actualizados se publicarían a principios de diciembre. Como consecuencia de ello, varias campañas se pusieron en contacto con nosotros para entender la metodología y la puntuación. Algunas de las campañas hicieron mejoras.
La repetición de la puntuación de los elementos de la auditoría finalizó el 25 de noviembre. La siguiente tabla muestra los resultados actualizados desde la publicación de la auditoría original. Varias campañas han sido canceladas desde principios de octubre (Messam, O’Rourke, Ryan y Sanford, así como Bullock y Sestak a principios de diciembre). Las campañas que se muestran en negrita en la columna del Cuadro de Honor hicieron suficientes mejoras para sacar buenas puntuaciones en las políticas de privacidad y, por lo tanto, ser incluidas en el Cuadro de Honor. Las campañas que se muestran en cursiva al final de la tabla son participantes nuevos desde la publicación de la auditoría. Según esta lista actualizada de 20 campañas, 10 entraron en el Cuadro de Honor, mientras que 10 suspendieron en uno o varios temas, con lo que la mitad obtuvo buenos resultados y la otra mitad no.
Actualizaciones de prácticas de privacidad
Tres campañas actualizaron sus políticas de privacidad y las tres aplicaron cambios que les ayudaron a aprobar en materia de privacidad (una nota de 60 o más) y entrar en el Cuadro de Honor. Sin embargo, los cambios fueron mínimos (se añadió un sello de fecha, se trató el uso del sitio por parte de menores, se reestructuró la política para simplificar la navegación). Ninguna abordó el tema de la cesión de datos importantes destacado en la auditoría original.
Respecto a los participantes nuevos, uno no tenía política de privacidad (De La Fuente), uno tenía una política de privacidad con una puntuación inferior a 60 (Bloomberg) y uno tenía una política de privacidad con una nota de aprobado que trataba directamente el tema de la cesión de datos (Patrick).
Actualizaciones de la seguridad del sitio
Se apreciaron cambios mínimos en los aspectos de la seguridad del sitio analizados en la auditoría y ninguno fue suficientemente significativo para entrar en el Cuadro de Honor. Ahora dos campañas tienen software obsoleto (cosa que bajó su puntuación) y una añadió compatibilidad con TLS 1.3.
Las puntuaciones de seguridad del sitio de los participantes nuevos fueron buenas, cosa que está en línea con el resto de las campañas, y todas ellas utilizaban certificados de seguridad de tipo “siempre con SSL” o sesiones web totalmente cifradas.
Actualizaciones sobre protección del consumidor
Se apreciaron algunos cambios en las campañas existentes. Una añadió la extensión de seguridad DNSSEC y una añadió el estándar DMARC con una política de rechazo (la buena práctica de seguridad de correo electrónico recomendada). Estos cambios mejoraron las puntuaciones de las campañas, pero no lo suficiente como para entrar en el Cuadro de Honor. Las dos campañas que suspendieron en un principio por la autenticación del correo electrónico han sido canceladas, por lo que ya no están en la lista.
Respecto a los participantes nuevos, uno utilizaba una autenticación de correo electrónico deficiente (por lo que también suspende en protección del consumidor, así como en privacidad) y si bien los otros dos tenían una buena protección SPF y DKIM, solo uno utiliza el estándar DMARC con una política de rechazo. Uno utiliza la extensión de seguridad DNSSEC.
Conclusión
La relación con varias de las campañas fue constructiva y dio pie a mejoras que les ayudaron a entrar en el Cuadro de Honor. Hemos observado que el problema en casi todas las organizaciones es más sobre sensibilidad con las buenas prácticas y su repercusión en la confianza en general que un rechazo a seguir dichas buenas prácticas. Sin embargo, las cláusulas sobre cesión de datos en todas las políticas de privacidad, menos una, son preocupantes. Por ejemplo, la mayoría de las campañas utilizaban cláusulas que les permitían compartir datos con “organizaciones ideológicamente afines”. Estas cláusulas otorgan a las campañas una amplia discreción para ceder los datos del usuario. Instamos a las campañas (y a los partidos políticos con los que trabajan) a que contemplen mejoras en las cláusulas sobre cesión de datos, para aumentar la transparencia sobre cómo se comparten los datos y ofrecer al usuario más control sobre sus datos.
Sitios de campaña y polítcas de privacidad
La lista de URL de los sitios de campaña que se han vuelto a puntuar y las políticas de privacidad correspondientes está en el Anexo a la Auditoría de Confianza en la Red – Campañas presidenciales de 2020.
Este anexo finalizó antes de que Kamala Harris abandonase la carrera para la presidencia de Estados Unidos el 3 de diciembre de 2019.