Grammarly es una de esas extensiones que parecen un inventazo: que una herramienta corrija nuestros textos para que la ortografía y gramática sean adecuadas es interesante, pero esta extensión puede tener también su lado oscuro.
Así lo ha indicado un programador australiano que revelaba cómo el funcionamiento de Grammarly se basa en recolectar todo lo que escribimos para que esa información se envíe a sus servidores y con esos datos se puedan dar sugerencias. Lo que hacen con esos datos recolectados después no está del todo claro, aunque en Grammarly aseguran que no hay riesgo alguno para la privacidad de los usuarios.
¿Un keylogger bendecido por el usuario?
Sebastian McKenzie publicaba hace unos días un ‘tweetstorm’ en el que tras leer los términos de uso de Grammarly llegaba a una conclusión: «Grammarly es un depredador y deberías evitarles». De hecho, aseguraba, «Grammarly es un keylogger«.
Here’s a summary of why Grammarly are predatory and why you should avoid them. I am not a lawyer™. This is my layman reading, but they are pretty explicit about a lot of these practices. Posting because I’ve seen a lot of people oblivious to what they’re signing away.
— Sebastian McKenzie (@sebmck) 8 de marzo de 2019
¿Lo es? Lo cierto es que por definición estricta no: estos programas actúan habitualmente sin el conocimiento del usuario para capturar información sensible, y son desde hace tiempo una de las herramientas tradicionales de cibercriminales para recolectar datos.
Grammarly no funciona sin que el usuario la haya instalado y activado antes, así que esa definición no se podría apliar de forma total. Aún así, su alcance puede ser mayor del que algunos usuarios pueden imaginar, porque como explicaba McKenzie:
- La extensión siempre está ahí funcionando: Si usamos la extensión del navegador, todo lo que escribamos en él -incluyendo contraseñas o datos de las tarjetas de crédito- es enviado a sus servidores.
- La información se queda en sus servidores: aunque evidentemente necesitan saber qué escribimos para luego poder ofrecer sugerencias y correcciones, ¿por qué recolectan esa información y se la quedan para siempre? Es lo que explican en su política de privacidad, en la que indican que recolectan información cuando usas su servicio, y ahí se incluye «todo el texto, los documentos o cualquier contenido o información cargada, introducida o transmitida al conectarte a los servicios o el software».
- Pueden acceder a tus datos si hay sospechas de violación de los términos: como en otros muchos servicios, la empresa explica en esos términos cómo podrían acceder a esos textos recolectados si hay evidencias de un mal uso del servicio, pero es que además pueden monitorizar el contenido almacenado o transferido «para mejorar nuestros algoritmos», una descripción vaga de cuándo se tiene esa necesidad y quién accede a esos textos.
Potenciales soluciones
Las sospechas de lo que hace o deja de hacer Grammarly están ahí desde hace tiempo. Ya el año pasado varios expertos y analistas indicaban cómo los 22 millones de usuarios de Grammarly -en febrero de 2018- estaban expuestos a una extensión que «tenía acceso a los documentos privados, historial, registros y otros datos de los usuarios».
Las vulnerabilidades de seguridad en el servicio han mostrado que en Grammarly esos datos no están tan seguros como podríamos pensar. Otros indican cómo otras herramientas que se pueden instalar localmente o en servidores que nosotros controlamos pueden proporcionar prestaciones similares. Entre esas alternativas están LanguageTool que además es Open Source y por tanto puede ser auditada para que se detecten potenciales usos maliciosos.
Hay otras soluciones para los usuarios que quieran usar Grammarly, y están en usarlo solo de forma parcial. Por ejemplo, en vez de usar la extensión para navegadores pueden usar solo el editor específico que tienen disponible para escribir y que el servicio nos corrija el texto, pero solo aquel que introducimos en esa ventana. Eso nos protege de que se registren otros datos mientras navegamos, por ejemplo.
Incluso en este caso podremos activar y desactivar la extensión cuando la necesitemos: hay extensiones como Extensitity que permite activar y desactivar extensiones en Chrome de forma sencilla y rápida. Por último, es posible usar de forma más segura Grammarly instalando y utilizando el software de forma anónima.
Grammarly se defiende
Este servicio ciertamente no podría existir sin esas bases: es necesario recolectar lo que escribimos, procesarlo y a partir de ahí que su plataforma de inteligencia artificial ofrezca sugerencias. El problema es lo que hacen (o no) con esos datos tras recolectarlos.
No solo eso, los propios términos de uso de Grammarly especifican que no pueden garantizar «al 100%» que nuestra información está segura, y de hecho explican que al usar el servicio «reconoces que lo haces bajo tu cuenta y riesgo«.
Aún así, los responsables de la empresa han querido contestar a ese usuario que ha reactivado el debate, y explicaban cómo cualquiera puede desactivar la extensión si no quiere que funcione en ciertos textos, y también declaran tácitamente que «Grammarly no es un keylogger».
Donde no aclaran las cosas es en su gestión de esos datos. «Grammarly no almacena todo el texto que se procesa», explican, pero sin aclarar cuánto tiempo se mantienen esos datos en sus servidores. Lo que sí destacan es que los usuarios pueden acceder a todos los datos personales que se recolectan a través de una herramienta que envía el informe con todos ellos.
To summarize: Grammarly does not store all processed text, we do not use text to do anything but provide and improve our service, users can view what we have stored via https://t.co/qcpVuygbN2, and law enforcement requests must meet legitimate criteria. Thank you! (15/15)
— Grammarly (@Grammarly) 9 de marzo de 2019
Los creadores del servicio también tratan de aclarar que a pesar de lo que pueda pensarse, no se apropian de lo que escribimos y sus empleados no pueden acceder a nuestros textos «y leerlos simplemente por diversión». Hasta cumplen con la GDPR, aseguran, y solo dan acceso a potencial acceso por parte de agencias gubernamentales si se cumplen unos criterios muy estrictos.
Y sin embargo, es evidente que una vez más el equilibrio entre privacidad y comodidad es aquí muy delicado. Como en otros ámbitos, es el usuario el que debe plantearse si ese sacrificio le compensa. Grammarly ciertamente se juega su reputación si no trata de proteger a los usuarios porque todo su servicio depende de ellos, pero la sospecha está ahí.