La Alianza de Confianza en Línea (OTA) de Internet Society, que identifica y promueve las mejores prácticas de seguridad y privacidad que fomentan la confianza del consumidor en Internet, anunció los resultados de su Auditoría de la Campaña Presidencial de EE.UU. 2020, un estudio que analiza las 23 campañas presidenciales actuales y su compromiso con la protección del consumidor en línea, la seguridad de los datos y las prácticas responsables de privacidad.
Un 70% de los sitios Web de campaña revisados en la auditoría no cumplieron con los estándares de privacidad y seguridad de OTA, exponiendo potencialmente a los visitantes a riesgos innecesarios. Sólo siete (30%) de las campañas analizadas llegaron al Cuadro de Honor, una designación que reconoce las campañas que muestran un compromiso de utilizar las mejores prácticas para salvaguardar la información de los visitantes. Para calificar para el Cuadro de Honor, las campañas deben tener un puntaje general de 80% o más, sin fallar en ninguna de las tres categorías examinadas. No hubo área gris en los resultados de la Auditoría: o las campañas llegaron al Cuadro de Honor, o fallaron en al menos una categoría.
OTA realizó una auditoría similar en 2016, revisando los estándares de seguridad y privacidad del sitio Web para las campañas de elecciones presidenciales de 2016. Sorprendentemente, el rendimiento de la campaña este año en realidad empeoró en algunas áreas en comparación con los resultados de 2016, a pesar de un mayor enfoque en la privacidad y la seguridad en los últimos cuatro años.
El rendimiento general sólo mejoró ligeramente para 2020, ya que 70% de las campañas fallaron en al menos una categoría de Auditoría, en comparación con 74% en 2016. Todas las campañas con fallas tuvieron puntajes de falla relacionados con sus declaraciones de privacidad, principalmente debido a la falta de restricciones en compartir datos Sorprendentemente, las protecciones de autenticación de correo electrónico han empeorado. En 2016, 100% de las campañas emplearon algún tipo de autenticación de correo electrónico, mientras que dos no emplearon ninguna protección de correo electrónico en 2020.
Fallas de privacidad
La Auditoría examinó tres categorías principales, incluida la privacidad, que evaluó el intercambio de datos y el lenguaje de retención en las declaraciones de privacidad del sitio Web de la campaña. La auditoría también analizó el seguimiento de terceros en el sitio. Si bien ninguno de los sitios Web mostró problemas importantes con el seguimiento de terceros, la mayoría tenía una declaración de privacidad que permitía el intercambio gratuito de datos o no tenía ninguna declaración de privacidad. Esta política de intercambio “sin límites” significa que los datos personales pueden compartirse entre “organizaciones de ideas afines” (una frase presente en muchas de las declaraciones de privacidad), lo que puede ser contrario a las expectativas del usuario.
Falta de protección del consumidor
La categoría de protección al consumidor calificó la autenticación de correo electrónico y las tecnologías asociadas para ayudar a proteger a los consumidores contra el phishing y otros problemas de seguridad. Las campañas en realidad dieron un paso atrás de la Auditoría Presidencial de 2016 en este sector, con dos de las campañas de 2020 que no emplearon autenticación de correo electrónico (mientras que todas las campañas tuvieron autenticación de correo electrónico en 2016).
En cuanto a la tecnología de autenticación de correo electrónico empleada, el soporte para Sender Policy Framework (SPF) en los dominios de nivel superior se redujo para las campañas 2020 en 87%, frente al 91% en 2016. El soporte para Domain Keys Identified Mail (DKIM) aumentó al 91% desde 78% SPF y DKIM ayudan a proteger a los consumidores de correos electrónicos falsificados. Una mejora en los hallazgos fue la adopción de la autenticación, notificación y conformidad de mensajes basados en dominios (DMARC), que creció del 4% en 2016 al 61% en 2020 y los registros de DMARC con “cumplimiento” crecieron del 0% al 30%. DMARC proporciona instrucciones sobre cómo manejar los mensajes que fallan en la autenticación.
La seguridad del sitio es un punto brillante
Los resultados de seguridad del sitio para las campañas fueron comparables con los sectores de mayor puntuación en la reciente Auditoría de Confianza en Línea de OTA. Esto se puede atribuir a la relativa “novedad” de estos sitios de campaña y al hecho de que se crearon recientemente en plataformas seguras. Se observó un crecimiento significativo en el soporte de “SSL siempre activo” (100% de adopción) y el uso de un firewall de aplicaciones Web (58%, frente al 35% en 2016).
“El número de campañas que no pasaron la Auditoría de Confianza de la Campaña Presidencial 2020 es alarmante dada la mayor atención a los problemas de privacidad y seguridad en los últimos cuatro años”, dijo Jeff Wilbur, director técnico de la Alianza de Confianza en Línea de Internet Society. “Las campañas deben hacer que el manejo adecuado de la información de sus visitantes sea una prioridad”.