El peligro de la traducción en línea

0
9

Antes de septiembre, la traducción no importaba -al menos desde el punto de vista de infosec. Tomar el contenido escrito en un idioma y cambiarlo a otro no estaba en la parte superior de la lista de riesgos de datos de la mayoría de las CSOs. Luego, la red de noticias noruega NRK descubrió una violación en Statoil, una de las compañías de petróleo y gas más grandes del mundo.

NRK informó que la empresa de 46 mil millones de dólares usó Translate.com, una herramienta en línea gratuita, para traducir «avisos de despido, planes de reducción de personal y tercerización, contraseñas, información de códigos y contratos”. Luego de esto, Lise Lyngsnes Randeberg, una profesora universitaria, buscó en Google: Statoil, y en sus resultados estaban las traducciones de la compañía.

«¡Guau! ¿Qué es esto?”, pensó Randeberg, «Esta es información de organizaciones, empresas privadas, agencias gubernamentales”. En otras palabras, cosas que Statoil no quería que Randeberg, o cualquier usuario de Google, leyera.

La industria de la traducción vio venir la filtración. «Era algo de lo que habíamos estado advirtiéndoles a las empresas durante más o menos 10 años”, comenta Don DePalma, estratega jefe del think tank Common Sense Advisory de Cambridge. «Es una pregunta que ha surgido muchas veces, dada la forma en que funciona [la traducción gratuita en línea]: ¿es algo que expondría información?”

Cómo funcionan los servicios de traducción en línea
Entonces, ¿cómo sucedió? Esto es lo que Translate.com dijo: «Las traducciones automáticas, basadas en voluntarios y gratuitas de Translate.com no se filtraron. Hay dos versiones de la solución de Translate.com. Aquella en cuestión, la versión gratuita, que utiliza varios servicios de traducción en línea, también incorporó traductores voluntarios para revisar y corregir las traducciones. Este segmento de voluntarios ‘antiguo’ ahora está cerrado, y todas las traducciones que involucran voluntarios han sido eliminadas. Las traducciones automáticas en línea, que todavía están disponibles de forma gratuita, ya no serán guardadas”.

En general, así es como funciona la traducción en línea gratuita: cada palabra que ingresa se almacena en un motor de traducción donde el aprendizaje automático utiliza su entrada, y su traducción, para mejorar los resultados futuros. Eso significa que cualquiera que use la herramienta después de usted, puede usar y/o acceder a sus datos. Si su información termina en Google a partir de ahí depende de dónde y cómo la almacena el proveedor de herramientas.

Cree una política de traducción teniendo en cuenta la seguridad
Cuando se trata de prevenir la filtración de sus datos relacionados con la traducción, el primer paso es determinar cuándo los empleados pueden, y no pueden, usar herramientas gratuitas. En BASF, esa respuesta es nunca. Después de enterarse de que los empleados estaban traduciendo en línea «correos electrónicos importantes sobre nuevos productos, planes de negocios y presentaciones de PowerPoint”, la consultora de tecnología independiente Kirti Vashee dice que la compañía bloqueó todos los sitios de traducción gratuitos.

Una opción menos severa puede ser limitar el uso de herramientas de traducción gratuitas por temas. Tal vez se permite ingresar los detalles del envío de un producto en el software, pero no los contratos del receptor. Sin embargo, Vashee dice que esto es problemático: los empleados a menudo usan la traducción gratuita para ver de qué se trata algo. «La gente usará Google [Translate] y Bing [Translator] porque reciben un memorando en chino y solo quieren saber de qué está hablando”. Los empleados que no hablan un idioma pueden no darse cuenta de que el contenido es sobre un tema delicado hasta que lo traducen.

Una opción más segura es crear sus propios motores de aprendizaje automático y trasladar la traducción al ámbito interno. Eso es lo que hizo Volkswagen, explica Vashee: «Específicamente, no quieren usar motores externos debido al riesgo de exposición”. Cabe recalcar que en el 2016 los ingresos de Volkswagen fueron de 251.6 mil millones de dólares. Eso es más que el PBI de muchas naciones soberanas, incluidos Chile y Finlandia. En una empresa tan grande, internalizar la traducción es sencillo. Para otras empresas, simplemente no es algo realista.

Los servicios de traducción profesional son una opción, pero tienen sus propios riesgos. Entonces, ¿qué pueden hacer esas empresas? En lugar de ingresar datos en herramientas aleatorias en línea, pídales a los empleados que dirijan toda la traducción a través de un proveedor profesional. La selección de proveedores de traducción generalmente se basa en la calidad, la entrega y el costo. Para garantizar la seguridad de los datos, pregunte a los posibles recursos cómo reciben y entregan los archivos para su traducción. Si dicen correo electrónico, tenga cuidado. «[El correo electrónico es] 10 veces más riesgoso que cualquier solución [en línea] porque es muy fácil de hackear”, señala Vashee.

El correo electrónico también se reenvía fácilmente, algo de lo que dependen muchas empresas de traducción. Un traductor humano consigue el trabajo al especializarse en ese tipo de contenido y la dirección de idioma necesaria: de inglés a polaco, por ejemplo. Si alguno de esos factores cambia, también cambia el traductor. Como resultado, incluso las compañías de traducción más grandes no tienen recursos internos para todo lo que necesitan. DePalma comenta que «hay muchas reventas en la industria”, las empresas de traducción externalizan el trabajo a otros proveedores.

«Digamos que alguien viene y necesita que traduzcan de albanés a polaco”, explica, «hay una demanda muy pequeña para eso y probablemente no van a abastecerlo las 24 horas del día, los 7 días de la semana, los 365 días del año”. Entonces, luego de enviar el archivo a la compañía de traducción seleccionada, ésta la reenvía a otra, probablemente una empresa de la que usted nunca ha oído hablar y que solo ofrece polaco. Pero sus datos no se quedarán allí. Esa compañía reenvía sus archivos a un traductor independiente en otro lugar.

«Es una cadena infinita”, señala DePalma. El 26% del ingreso promedio de la compañía de traducción proviene de otras compañías de traducción, lo que constituye un cuarto de todas las palabras traducidas en todo el mundo.

«Tan pronto como [su archivo] sale de la empresa, todo puede pasar”, agrega. Al final, si no se encuentra ningún recurso humano, su proyecto podría terminar en Translation.com, excepto que esta vez usted le está pagando a un proveedor de traducción para que lo ponga allí. De acuerdo con Common Sense Advisory, el 64% de los profesionales de la traducción dicen que sus colegas usan con frecuencia servicios de traducción gratuitos en la web.

«Cuando [sus datos están] ahí fuera”, continúa DePalma, «entonces debe confiar en las disposiciones, los mecanismos de seguridad y en el rango completo de las personas que toquen esa información para mantenerla en secreto y segura”.

Eso es mucha confianza para un solo proveedor. Entonces, como dice el proverbio ruso: confía, pero verifica. Para rastrear sus datos mientras están en traducción, Vashee recomienda el software de administración de traducciones (TMS), una herramienta específica de la industria que rastrea cada palabra desde el momento en que sale de su oficina hasta el momento en que regresa.

Con TMS, nadie accede a los datos sin su aprobación directa; los archivos no se pueden reenviar sin su conocimiento. «Usted entra y proporciona acceso”, señala Vashee. «Si dice, ‘Aquí hay 100 IDs válidas y las únicas personas que podrán tocar estos datos son las que usan estas 100 IDs,’ [podrá] saber exactamente lo que hicieron cada vez que tocaron los datos. Ese es un alto nivel de seguridad. Un sistema TMS configurado correctamente le brindará cierta protección”.

Esta protección no es perfecta. Los sistemas TMS se venden tanto a empresas de traducción como a clientes; los sistemas avanzados extraen contenido directamente de GitHub, Adobe CQ y otras plataformas donde se crea. Pregunte cómo se asegura esa conexión. Luego pregunte dónde y cómo TMS almacena sus archivos.

Aún más importante, ¿el TMS que utiliza permite que los traductores extraigan datos? DePalma menciona que los traductores son propensos a eliminar materiales de TMS para trasladarlos a una herramienta que les gusta más. Se conectan, presionan exportar, y de repente sus datos vuelven a estar ahí afuera donde cualquier cosa puede pasar. Dígale a su proveedor de TMS que desea que esta opción esté desactivada.

Sin embargo, al final, DePalma señala que no importa qué tan bien bloquee la tecnología, la parte más riesgosa de cualquier proyecto de traducción es el traductor: «Incluso si no pudieran extraer [sus datos] exactamente, lo que podrían hacer es una captura de pantalla, luego un OCR, y a partir de eso, ponerlo en otra herramienta”. Según el conocimiento de DePalma, este tipo de violación es simplemente «teórica”. Pero hasta antes de septiembre, también lo era la de Statoil.

¿Las aplicaciones de traducción de idiomas representan un riesgo?
Es posible que sienta la tentación de utilizar una de las muchas aplicaciones de traducción disponibles actualmente. La mayoría están diseñados para el uso del consumidor para, por ejemplo, ayudar en la comunicación de voz a voz o traducir letreros de la calle. Se pueden utilizar para pequeñas tareas de traducción para empresas, pero conllevan un riesgo significativo.

En octubre del 2019, el Australian Strategic Policy Institute (ASPI) publicó un informe que planteó preocupaciones sobre el uso de tecnología por parte de China, que recopila datos para «generar gráficos de conocimiento industrial, modelos algorítmicos y plataformas de visualización para tecnología financiera, fabricación inteligente, ciudades inteligentes, seguridad nacional ,y consultoría y análisis de la industria para el gobierno y el sector privado”.

Global Tone Communications Technology (GTCOM) de China está liderando este esfuerzo mediante el análisis de datos no estructurados en masa en al menos 65 idiomas de más de 200 países, según el informe. GTCOM es parte del Departamento Central de Propaganda de China. Sus servicios de traducción están integrados en la oferta en la nube del gigante chino de búsqueda, Alibaba, y en aplicaciones como la grabadora de voz y traductor JoveTrans, y LanguageBox, que traduce y transcribe sesiones de conferencias.

El informe ASPI afirma que GTCOM está «contribuyendo abiertamente a la seguridad del estado y a la recopilación de datos de inteligencia”. Claramente, las empresas desearían evitar usar su tecnología para traducir cualquier tipo de información confidencial.

Las aplicaciones populares basadas en la web, como Google Translate, almacenan y traducen contenido en sus propios servidores. Las empresas pierden cierto control sobre esos datos una vez que están en la nube, y se crea un riesgo regulatorio. Por ejemplo, según el Reglamento General de Protección de Datos (GDPR) de la UE, una organización es igualmente responsable de una violación que ocurre en un procesador de datos de terceros.

«En circunstancias normales, el usuario se percibirá a sí mismo como el propietario de las palabras y documentos que se están traduciendo y, como tal, debería tener la capacidad de controlar cómo se usa, comparte y protege la información durante la traducción”, señala Doug Graham, CSO para la empresa de servicios de traducción Lionbridge. «Cuando se trata de estas expectativas, un usuario puede obtenerlas por lo que paga… Si no hay costo para la traducción, ¿cómo es que el proveedor está monetizando sus servicios? ¿Es a costa de la seguridad?

La traducción no es diferente a cualquier otra aplicación o servicio, según Graham. Las empresas deben hacerles a los proveedores de aplicaciones el mismo tipo de preguntas sobre protección de datos y privacidad, incluyendo:

  • ¿La aplicación cifra los datos?
  • ¿El vendedor de la aplicación firmará un contrato que respalde sus responsabilidades de seguridad?
  • ¿El proveedor de la aplicación tiene un equipo de seguridad dedicado?

La forma más segura de usar aplicaciones de traducción es mantener los datos confidenciales alejados de ellas. «Desde una perspectiva de seguridad, las empresas deben considerar el tipo de datos involucrados y cuán esencial es que esta información esté protegida”, anota Graham. «Si estos datos estuvieran solo en inglés y permanecieran en inglés, ¿aún lo insertaría en una aplicación en línea gratuita de terceros? El sentido común, con una buena dosis de regulaciones de privacidad y procedimientos de manejo de información, debería ser muy útil para decirle a la gente qué se puede traducir con estas aplicaciones y qué no”.

Terena Bell, CSOonline.com