Con toda la agitación social que estamos teniendo en España durante los últimos meses, las plataformas de petición de firmas están explotando. La principal (por no decir la única) es Change.org, que entró en España con la compra de Actuable. Sin embargo, durante los últimos días han surgido algunas sombras a su alrededor.
Ricardo Galli, el creador de Menéame, estuvo investigando sobre el tema cuando recibió correos como si hubiese firmado algunas peticiones. Después de un vídeo e incluso publicar un bot para enviar firmas automáticamente, Francisco Polo respondió en una entrevista a los puntos de Galli.
Aunque Galli ya ha rebatido de nuevo lo que decía Polo (y con toda la razón, en mi opinión), en Genbeta queremos revisar algunos de los puntos, explicaros por qué las firmas de Change.org no son totalmente fidedignas y cómo podría cambiar esto.
¿Por qué no son fidedignas las firmas en Change.org?
No hay ningún problema en introducir estos datos en Change.org. El 3 es el código postal.
La respuesta corta es fácil: no hay un control de identidad serio. Puedes introducir cualquier correo, que no tendrás ni que pulsar un enlace de validación para probar que eres una persona. Change.org sólo quitará la firma si el correo no existe y el servidor de correo devuelve el mensaje. Pero no sólo eso: en alguna ocasión me ha pedido el número de teléfono, y reconoció "657" como teléfono válido.
Lo mismo con los nombres y apellidos: aunque ya es sabido que un programador no debería asumir nada sobre nombres, me parece un poco bestia que me deje firmar con nombre "ASD". Por supuesto, tampoco verifica el código postal, dando "3" como válido.
Si nos vamos a lo más interno, tampoco hay demasiadas verificaciones. No hay restricción de votos por IP (según el sitio, la restricción se hace en revisiones posteriores, lo que no es ni mucho menos una buena práctica). Y lo que más me ha sorprendido de todo: tampoco hay un control para evitar varios votos el mismo navegador. Es decir, que puedes salir de la sesión y volver a firmar con otro correo. Ni borrando cookies ni pasando a una ventana de incógnito.
En el momento en el que puedes falsificar firmas, todo el proceso deja de ser fiable. No sabes qué personas son reales, no sabes cuántas han sido suplantadas... Aunque ellos nos digan que sí son fidedignas, no podemos saberlo realmente.
¿Cómo podríamos verificar la identidad de los que firman?
Lo primero y más obvio sería poner en marcha restricción de votos por navegador e IP. Por ejemplo, para que no puedes votar por la misma petición dos veces en el mismo navegador. Y sería tan sencillo como poner una cookie. En cuanto a la IP, lo ideal sería poner una restricción de votos por hora e IP: a partir del segundo voto desde la misma dirección en una hora (por ejemplo), mostramos un captcha para evitar los bots sin dar problemas a los usuarios reales que compartan la misma IP.
Sin salir del nivel básico de verificación, podríamos filtrar nombres absurdos como "asd" o similares. Lo mismo con la verificación del resto de datos: no es tan complicado verificar la validez de un número de teléfono o de un código postal. Por supuesto, no puede faltar la verificación pulsando en un enlace enviado a tu correo.
El siguiente nivel sería añadir lo más importante: el DNI. Aunque para un bot es fácil generar un DNI aleatorio válido, es una barrera de entrada importante para los que vayan a introducir a mano una identidad falsa.
También tenemos otra opción, que es aprovecharnos de las redes sociales ya existentes. Es decir, obligar a entrar con Twitter o con Facebook para comprobar que eres una persona real y no un bot.
Combinadas, todas las opciones pararían una gran parte de las firmas falsas. Pero ese no es el problema.
¿Le interesa a Change.org verificar todas las firmas?
Una de las cosas que ha catapultado a Actuable y a Change.org es que es muy fácil firmar. No hay barrera de entrada. Pones tu nombre, apellidos, correo y listos. Cada paso que añades, como verificar un correo, introducir DNI o vincular con Facebook son usuarios que pierdes porque se quedan a mitad del camino. En este sentido, añadir más verificaciones no le compensa lo más mínimo a Change.org.
Ellos mismos lo dicen: no pretenden ser una herramienta jurídica para recoger firmas. Sólo una plataforma para canalizar lo que dicen los internautas. A mí no me parece mal, pero le veo exactamente la misma utilidad que quejarte un rato en Twitter. Te pueden tomar en cuenta o no. Lo que de verdad impulsa estas acciones es la cobertura mediática, y "700.000 personas firman X" suele tener la misma cobertura en televisiones y periódicos que "X es Trending Topic en Twitter".
Una solución posible para ser más fiables sin perder la facilidad de uso sería establecer dos contadores, uno de firmas y otro de firmas verificadas. Pero claro, aunque la mayoría sean personas reales pocos van a verificar su cuenta, y no creo que dé muy buena impresión tener "700.000 firmas, 20.000 verificadas" (y estoy siendo generoso).
A pesar de todo, no veo que Change.org esté haciendo nada mal. Personalmente, sólo lo veo como una herramienta para medir la presión social. El número de firmas vale muy poco, lo que vale de verdad es el hecho de que la gente lo esté difundiendo por las redes sociales. Desde este punto de vista, que se verifique las firmas o no es irrelevante. Por supuesto, desde el mismo punto de vista es bastante absurdo publicitar a bombo y platillo que se han conseguido N firmas en una petición.
En definitiva, creo que en realidad el problema subyacente es ese: confundir Change.org con las firmas recogidas para una ILP y pretender darle validez más allá de lo que realmente es, un barómetro aproximado de lo que planea por las redes sociales.
Ver 16 comentarios