Los datos recopilados por las aplicaciones ya se usan como armas

Finalmente ocurrió. Después de años de advertencias por parte de investigadores, periodistas e incluso gobiernos, alguien usó los altamente confidenciales datos de ubicación de una aplicación para teléfono inteligente para rastrear y acosar públicamente a una persona en específico. En este caso, el boletín informativo católico The Pillar dijo que utilizó los datos de ubicación vinculados a Grindr para rastrear los movimientos de un sacerdote, y luego lo denunció públicamente como potencialmente gay sin su consentimiento. The Washington Post informó que tal denuncia provocó la renuncia del sacerdote.

Esta noticia demuestra claramente no solo el inherente poder de los datos de ubicación, sino cómo la oportunidad de ejercer ese poder se ha filtrado desde las corporaciones y agencias de inteligencia hasta prácticamente cualquier individuo común que esté en descontento, no tenga escrúpulos o sea peligroso. Un mercado creciente de recopiladores y vendedores de bases de datos provenientes de innumerables aplicaciones ha hecho que cualquier persona, con un poco de dinero y esfuerzo, pueda averiguar qué teléfono, en un conjunto de datos anónimos, pertenece a un objetivo en particular y abusar de esa información.

"Los expertos nos han advertido durante años que los datos recopilados por las empresas de publicidad de los teléfonos inteligentes podrían usarse para rastrear a las personas y revelar los detalles más personales de sus vidas. Desafortunadamente, tenían razón", le dijo el senador estadounidense Ron Wyden a VICE en un comunicado, en respuesta al incidente. "Los corredores de datos y las empresas de publicidad le han mentido al público, asegurándole que la información que recopilan es anónima. Como demuestra este terrible acontecimiento, esas afirmaciones eran falsas: sí se puede rastrear e identificar a las personas".

En resumen, The Pillar dice que monseñor Jeffrey Burrill, quien era el secretario general de la Conferencia de Obispos Católicos de Estados Unidos (USCCB) antes de su renuncia, visitó bares y otros lugares gays mientras usaba la aplicación de citas gay Grindr.

"Un análisis de los indicadores de datos de la aplicación correlacionados con el dispositivo móvil de Burrill muestra que, mientras usaba una aplicación de citas que se basa en la cercanía, el sacerdote también visitó bares gay y residencias privadas en numerosas ciudades entre 2018 y 2020, incluso al viajar por asignación para la USCCB (Conferencia de los Obispos Católicos de Estados Unidos, por sus siglas en inglés)", escribió el medio. The Pillar dice que los datos de ubicación son "registros de las aplicaciones que están disponibles comercialmente" y que obtuvo los registros de "un proveedor de datos" y luego los autenticó con una empresa de consultoría de datos.

Los datos en sí no contenían el nombre real de cada usuario de teléfono móvil, pero The Pillar y la consultoría pudieron identificar qué dispositivo pertenecía a Burill al observar uno que apareció en la residencia y sede del personal de la USCCB, las ubicaciones de las reuniones en las que Burill estuvo, así como la casa en el lago de su familia y un departamento que lo tiene registrado como residente. En otras palabras, fácilmente lograron, como los expertos han dicho durante mucho tiempo que podría suceder, desenmascarar a esta persona en específico y sus movimientos a lo largo del tiempo a partir de un conjunto de datos supuestamente anónimos.

Un portavoz de Grindr le dijo a VICE en una declaración enviada por correo electrónico que "la respuesta de Grindr se alinea con el artículo publicado por The Washington Post, el cual describe la publicación original de The Pillar como homofóbica y llena de insinuaciones sin fundamento. Las supuestas actividades enumeradas en esa publicación de blog sin autor definido son pruebas inválidas desde un punto de vista técnico y es increíblemente improbable que puedan llagar a serlo. No hay absolutamente ninguna evidencia que respalde, como se había dicho, las acusaciones de recopilación o uso indebido de datos relacionados con la aplicación Grindr".

No está claro lo que Grindr considera "pruebas inválidas desde un punto de vista técnico". En enero, la Autoridad Noruega de Protección de Datos multó a Grindr con 11,7 millones de dólares por proporcionar los datos de sus usuarios a terceros, incluidos los datos de ubicación precisos. Casi de manera profética, las autoridades noruegas dijeron en ese momento que los usuarios de Grindr podrían ser el blanco de ataques con ese tipo de información en países donde la homosexualidad es ilegal.

Los expertos han demostrado en repetidas ocasiones que, con algunos puntos de referencia, como la casa o el lugar de trabajo de un individuo, es posible averiguar a quién pertenece un teléfono que se encuentra en un conjunto de datos de ubicación que supuestamente son anónimos. El portavoz no respondió a una solicitud por parte de VICE para dar más detalles sobre lo que Grindr cree que es inválido desde un punto de vista técnico.

"La investigación de The Pillar se alinea con la realidad de que Grindr históricamente ha tratado los datos de los usuarios casi sin ningún cuidado ni responsabilidad, y decenas de posibles proveedores de tecnología publicitaria podrían haber accedido a los datos que llevaron a la exhibición publica del sacerdote", le dijo a VICE Zach Edwards, un investigador que le ha dado seguimiento a la cadena de suministro de varias fuentes de datos. "Nadie debería ver sus datos expuestos y menos ser exhibido por relaciones consensuales entre adultos, pero Grindr nunca ha tratado a sus usuarios con el respeto que merecen y, durante años, ha compartido los datos de sus usuarios con docenas de proveedores de análisis de datos y de tecnología publicitaria".

Los periodistas ya también han utilizado los datos de ubicación de los usuarios de manera similar para hacer sus reportajes. En febrero, la sección de opinión de The New York Times cruzó los datos de ubicación con datos publicitarios para revelar los movimientos y las identidades de personas específicas que asistieron a los disturbios del 6 de enero en el Capitolio.

"Si bien no había nombres ni números telefónicos en los datos, una vez más pudimos relacionar docenas de dispositivos con sus propietarios, vinculando las ubicaciones anónimas con los nombres, los domicilios, las redes sociales y los números telefónicos de las personas que asistieron. En un caso, tres miembros de una sola familia fueron rastreados con esos datos", decía el artículo.

Hace un par de semanas, VICE hizo un reportaje sobre la industria de la llamada "resolución de identidad", lo cual logramos en parte gracias a que nos hicimos pasar por un cliente que buscaba comprar datos confidenciales. Estas empresas prometen hacer coincidir los ID de la publicidad móvil —códigos únicos asignados a los teléfonos móviles por sus sistemas operativos, y los cuales las empresas de tecnología han asegurado repetidamente que son anónimos— con identidades del mundo real. Esto facilita aún más la identificación específica de las personas en conjuntos de datos. ¿Por qué molestarte en tratar de averiguar qué teléfono pertenece a quién cuando simplemente ya puedes comprar esa información?

"Cualquiera que tenga un teléfono y haya instalado una aplicación que venga con anuncios, actualmente corre el riesgo de que su identidad sea revelada a través de empresas sin escrúpulos", le dijo Edwards a VICE en el momento en que le presentamos nuestros hallazgos.

VICE también ha mostrado cuán basta es la base de clientes para este tipo de datos de ubicación, pues el ejército y las agencias de aplicación de la ley también los compran, evitando así la necesidad de obtener una orden judicial. Y aunque los datos se basen en los generados por las redes de telecomunicaciones y no por las aplicaciones, también hemos hablado con personas que gracias a esto han sufrido acoso, como Ruth Johnson, una mujer a la que espió y acosó alguien que obtuvo acceso a la ubicación de su teléfono. Johnson dijo que T-Mobile puso su "vida en peligro". VICE también vinculó los datos de ubicación que están disponibles en el mercado negro con el lugar de un triple asesinato.