La farsa de los datos anónimos

Gabriel E. Levy B.*

LA PATRIA | Manizales

Los periodistas de la Unidad Investigativa de The New York Times consiguieron un listado de datos relacionados con los dispositivos móviles de las personas que irrumpieron el 6 de enero en el Capitolio en Washington (EE.UU.).

La información no contenía nombres ni datos específicos de los propietarios de los celulares, pero sí una colección de identificadores de publicidad, diseñados para que las grandes empresas puedan enviar anuncios personalizados.

Supuestamente estos datos son anónimos, sin embargo la investigación los combinó con otras bases de datos públicas y, en cuestión de segundos, lograron obtener los nombres reales, direcciones, números de teléfono y correos electrónicos de los supuestos datos anónimos que les fueron entregados.

De acuerdo con la publicación, la obtención de dicha información no demandó ningún esfuerzo y se trató de un simple cruce de bases de datos. Lo que pone en evidencia que al contrario de lo que prometen las plataformas sociales, cualquier anunciante podría determinar el destino de la publicidad y obtener datos personales sensibles.

“Se supone que son anónimos y los propietarios de los smartphones pueden restablecerlos o deshabilitarlos por completo. Nuestros hallazgos muestran que la promesa del anonimato es una farsa”, explica la investigación de The New York Times.

Geolocalización

Usando la información disponible, los investigadores representaron en un video los movimientos de los asaltantes, quienes fueron identificados a través del cruce de información, poniendo en evidencia lo sencillo que es geolocalizar personas, simplemente utilizando los teléfonos móviles.

El periódico reveló la historia de un usuario al que los datos recabados lo ubicaron dentro del Capitolio, pero él asegura que no estuvo en el motín. Esta información la podría utilizar la Policía para realizar una acusación.

Otro hallazgo es que aproximadamente el 40 por ciento de los teléfonos rastreados cerca del mitin en el National Mall durante los discursos de Donald Trump, también se encontraron en el Capitolio y sus alrededores durante el asedio, un vínculo claro entre quienes habían escuchado al presidente y sus aliados.

“Pensar que la información se utilizará contra personas solo si han infringido la ley es ingenuo; estos datos se recopilan y siguen siendo vulnerables al uso y abuso, ya sea que las personas se reúnan en apoyo de una insurrección o protesten justamente contra la violencia policial. Ninguno de estos datos debería haberse recopilado nunca”, precisa The New York Times.

Recurrente

En el 2019 el mismo periódico denunció que, utilizando una técnica similar, rastrearon los datos de millones de personas, identificando por ejemplo los sitios frecuentados por celebridades.

“Nos llegó una fuente con un archivo digital que contiene las ubicaciones precisas de más de 12 millones de teléfonos inteligentes individuales durante varios meses entre 2016 y 2017. Se supone que los datos son anónimos, pero no lo son. Encontramos celebridades, funcionarios del Pentágono y estadounidenses promedio”, señala la investigación.

Quedó claro que estos datos, recopilados por aplicaciones de teléfonos inteligentes y luego introducidos en un ecosistema de publicidad digital vertiginosamente complejo eran un riesgo para la seguridad nacional y los ciudadanos. “Proporcionó un registro íntimo de las personas, ya sea que visitaran centros de tratamiento de drogas, clubes de striptease, casinos, clínicas de abortos o lugares de culto”, apunta The New York Times

La promesa incumplida

Estar conectado a internet mediante cualquier tipo de dispositivo implica necesariamente generar flujos y huellas de información. Cada búsqueda, chat, video subido o reproducido, texto escrito, foto publicada, sonido generado dejan un rastro, que al sumarse y consolidarse con las de millones de usuarios conectados produce una macronube de información conocida como big data.

Por ejemplo, cuántos millones de personas están buscando noticias sobre un partido de fútbol, un evento en vivo, un hecho de último minuto o una receta de cocina. Dicha información se analiza para arrojar tendencias globales de gran utilidad para empresas y medios. Pero, por lo menos en teoría y hasta ahora, esa información no debería ser individualizada.

Además las normas regulatorias del dig data prohíben que la información recabada se use para identificar a cada persona, así saber sus gustos, transacciones y comunicaciones.

A pesar de los seguros legales y regulatorios, la posibilidad de que la información privada de los usuarios en la red se vea comprometida abarca un amplio espectro de riesgos que pueden incidir desde el dispositivo (por ejemplo, el teléfono inteligente), el sistema operativo (Android, IOS, Windows), el software y las aplicaciones que se utilizan para múltiples funciones (juegos, redes sociales, herramientas, etc.). Estos elementos podrían servir para compartir información privada de los usuarios con sus servidores centrales. Aunque esto en casi todos los países es un delito, para las autoridades es complejo controlarlo.

Quiénes espían

Si bien existe un claro riesgo de que la privacidad de los usuarios esté comprometida por cuenta de los intereses militares, comerciales, geográficos y políticos, las principales filtraciones no provienen de los gobiernos, sino de los piratas informáticos, que mediante softwares maliciosos acceden y roban información sensible, producen daños en los equipos, hurtan datos bancarios y hacen transacciones fraudulentas, entre otras actividades ilegales. Según Kaspersky, cada 12 segundos ocurre en el mundo un ataque de malware.

Como lo demuestra la investigación de The New York Times, y como han denunciado expertos, la promesa de que nuestros datos permanecen anónimos en el Big Data de la red es una falacia en muchos aspectos.

Las compañías de tecnología y los anunciantes pueden identificar cada usuario conectado a la red, mientras los gobiernos pueden espiar por las puertas de atrás de nuestros móviles, al tiempo que los piratas informáticos hacen lo suyo con esta información.

A la par la seguridad y la regulación en materia de privacidad están rezagadas y es urgente una intervención de las autoridades globales para defender los intereses de los usuarios y así se protege un activo valioso de las democracias occidentales: el derecho a la privacidad de los ciudadanos.

Las puertas traseras

En una entrevista concedida a la BBC del Reino Unido, la experta estadounidense Suzanne Spaulding, quien trabajó como asesora de seguridad informática para el Departamento de Seguridad Nacional de Estados Unidos, reveló cómo las agencias de seguridad de las grandes potencias del mundo utilizan las denominadas puertas traseras (backdoors, en inglés) de los teléfonos inteligentes para obtener sin autorización de los usuarios.

“Construyes tu castillo, cavas el foso alrededor y pones a todos tus guardias protegiéndolo, listos para defender el castillo frente a cualquier adversario, pero alguien dentro del castillo construyó un túnel y lo ha escondido. Eso sería un backdoor o una puerta trasera”, explica Spaulding en la entrevista

Las puertas traseras son un tipo de código especial que puede estar alojado en el firmware (software por defecto que usa el hardware), en el sistema operativo o en las aplicaciones, y que posee la capacidad de transgredir la seguridad conjunta de software y hardware de cualquier dispositivo, saltándose los controles sin dejar rastro.

En el 2013, Edward Snowden, un analista de seguridad de la CIA, reveló cómo la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) tenía acceso a las puertas traseras de múltiples tipos de tecnologías, incluyendo Facebook, Google, Microsoft y Yahoo, interceptando las comunicaciones mediante un software denominado Prism.

En el caso de Huawei, las agencias de seguridad de los Estados Unidos han denunciado que el gobierno de China tendría acceso a una “backdoor” de algunos dispositivos Huawei y ZTE vendidos en todo el mundo, con lo que tendría acceso ilimitado a la información privada y pública de millones de personas.

* Artículo publicado en www.andinalink.com y www.galevy.org con información de The New York Times, Oracle, BBC, Quora y Kaspersky.