Charlie Warzel escribe columnas de opinión para The New York Times desde 2019 sobre tecnología, medios, política y extremismo en línea. Antes escribió sobre tecnología en la revista Adweek y fue productor en NBC News.

Stuart Thompson es editor y escritor de opinión en The New York Times, donde también es el director gráfico de la sección de opinión desde 2017. Sus trabajo más reciente han sido sobre tecnología, privacidad y política. Antes fue director gráfico en The Wall Street Journal, donde fue parte del equipo ganador del premio Pulitzer por la serie “Medicare Unmasked” y finalista por la serie “The Home Front” sobre violencia doméstica y portación de armas en 2018.

Todos los días, a todas horas, una docena de compañías registran los movimientos de millones de personas a través de sus teléfonos móviles y almacenan esa información en bases de datos gigantescas. El proyecto de privacidad del New York Times tuvo acceso a uno de estos archivos que contiene más de 50 mil millones de localizaciones (pings) de teléfonos móviles de más de 12 millones de ciudadanos estadounidenses por un periodo de varios meses entre 2016 y 2017 en ciudades como Washington, New York, San Francisco y Los Ángeles.

El archivo fue hecho llegar al periódico por un informante anónimo que alarmado deseaba hacerla de conocimiento público para evitar el abuso que esta práctica puede suponer para la privacidad. Por su parte, después de estudiar la información presentada por la fuente, el New York Times comparte la alarma del informante.

El archivo de datos que revisó el New York Times no proviene de una gran compañía de telecomunicaciones, ni de una gran empresa de tecnología o de una operación de vigilancia gubernamental, sino que fue originada en una de las docenas de compañías de datos de localización que discretamente recolectan los movimientos de usuarios a través de software en las aplicaciones de sus teléfonos celulares. Aunque la mayoría de estas empresas son poco conocidas, estas tienen información sensible de millones de personas.

Aunque en el pasado la prensa ha reportado sobre este tipo de prácticas, nunca antes se había tenido acceso a la cantidad de datos que analizó el New York Times esta vez. Por otra parte, aunque se trata de la mayor base de datos de usuarios a la que ha accedido un medio de comunicación, representa tan solo una pequeña parte de los datos que son recabados y vendidos por estas oscuras compañías, que pretenden hacer pensar a los usuarios que no hay otra forma de obtener los beneficios de las tecnologías sin la invasión de la privacidad.

Este artículo es parte de una serie llamada “One nation, tracked” en la cual se revelan los resultados de una investigación sobre esta industria de datos de localización, los riesgos de seguridad nacional que representa y lo que podría significar este tipo de seguimiento, preciso y permanente, en manos de corporaciones y gobiernos. En esa serie también se analizan, adelantan los autores, las técnicas engañosas que utilizan estas compañías para justificar sus prácticas.

Además, señala el New York Times, el lucrativo negocio de los datos de localización es completamente legal, tanto en Estados Unidos como en el resto del mundo. Las compañías que lucran con estos datos solo son reguladas por sus propios reglamentos internos. Incluso, si estas compañías actuaran bajo el más sólido código moral imaginable, sus sistemas no son infalibles y los datos que manejan pueden caer en manos de una agencia de seguridad extranjera, por citar solo un ejemplo.

Un registro diario de tus movimientos

Engañosamente, las compañías que recolectan esta información pretenden justificarse con tres afirmaciones: los usuarios están de acuerdo en compartir sus datos, los datos son anónimos y los datos son seguros. En realidad, según la información obtenida por el New York Times, ninguna de estas afirmaciones se sostiene.

Aunque, efectivamente, los datos de localización no incluyen nombres o identificaciones, es muy sencillo relacionar las identidades de los usuarios con las localizaciones en el archivo. Basta con determinar la ubicación de una residencia y una oficina para identificar a una persona. De acuerdo con Paul Ohm, un profesor e investigador del Centro de Derecho de la Universidad de Georgetown, es imposible anonimizar este tipo de datos de geolocalización longitudinal.

Sin embargo, las compañías continúan afirmando que la información recabada es anónima. Para poner a prueba sus afirmaciones y documentar los riesgos de la vigilancia sin regulación, los autores se concentraron en identificar en el archivo que llegó a sus manos a individuos en posiciones de poder. Utilizando información de conocimiento público, como las direcciones de residencia, los autores pudieron identificar a oficiales militares, oficiales de policía y a poderosos e influyentes abogados. Al conectar un ping (localización) con una persona, se obtiene tanta información que los autores lo comparan con leer su diario.

Por ejemplo, entre otras personas, los autores identificaron a la cantante Mary Millben en la Catedral Nacional de Washington la mañana siguiente de la toma de protesta del presidente Trump. Los autores la encontraron, gracias a que las aplicaciones de su celular registraron su estadía y su permanencia en esa celebración oficial. De la misma manera los autores tuvieron acceso a los pings de muchas de las personas que participaron en la marcha de mujeres unas horas después. Bastaría con mirar los datos y seguir el trayecto de muchas de esas personas para identificar su identidad. Por ejemplo, después de rastrearlo hasta su casa, los autores pudieron identificar a un alto funcionario del Departamento de Defensa participando junto a su esposa en la marcha. De la misma forma, los datos hacen susceptibles de identificación a los manifestantes del bloque negro que recorrieron las calles de Washington ese mismo día.

Además, estas compañías suelen recurrir a otras fuentes, como identificaciones de publicidad u otros, que a menudo combinan información demográfica para crear perfiles detallados que son usados en publicidad personalizada. Al combinarse estos datos los riesgos a la seguridad crecen debido a que la adición de cualquiera de estos elementos desanonimiza los datos.

Aun cuando diariamente docenas de compañías lucran con estos datos recabados alrededor del mundo, ya sea recabándolos, desarrollando tecnología o creando perfiles para publicidad personalizada, no se ha legislado aún una ley federal de privacidad, por lo que la industria depende de la auto-regulación. Algunos grupos de la industria han creado pautas éticas como guía. Recientemente, Factual se adhirió a la Mobile Marketing Association, y junto a otras empresas de marketing y datos de localización trabajan en la redacción de un compromiso destinado a mejorar su regulación que será revelado en 2020.

Algunos gobiernos comienzan a involucrarse en defensa de los usuarios. Así, por ejemplo, en 2020 entró en efecto el Acta de protección al consumidor de California que protege a los usuarios de aquel estado, facultándolos para solicitar a la compañías que sus datos sean borrados y/o no sean vendidos. Por otra parte, estas compañías aún no se ven obligadas revelar sus prácticas de recolección de datos. Legalmente, solo necesitan describirlas en sus políticas de privacidad, que suelen ser documentos legales, extensos y densos, que poca gente lee o entiende.

Todo puede ser hackeado

Aun cuando, por un lado, estas compañías afirman que los datos son seguros, ya que son almacenados en servidores protegidos, en realidad, explican los autores, esta información puede ser transferida o filtrada como demuestra la misma publicación de esta investigación publicada por el New York Times. Por otro lado, los datos de localización son diferentes a otro tipo de datos que dejamos, por ejemplo, cuando navegamos en Internet, debido a que nuestras ubicaciones precisas se utilizan eficazmente para un anuncio personalizado pero después son reutilizadas indefinidamente, como vincular el consumo personal con los anuncios publicitarios que los usuarios ven durante sus trayectos por la ciudad. Algunas aplicaciones que utilizan la ubicación de los usuarios, como las del pronóstico del tiempo, venden estas a otras compañías, ya que se ha convertido en rentable un negocio secundario. Es preocupante, consideran los autores, debido a que muchas compañías podrían utilizar este tipo de datos para vigilar a sus empleados, los paparazzis para inmiscuirse en la vida privada de las celebridades y los periodistas podrían ver su fuente de información comprometida, por nombrar tan solo algunos ejemplos.

Mientras que algunas de las más grandes de estas compañías, como Foursquare, afirman que no venden los datos detallados de la forma en que describen los autores, sino en forma de análisis de consumo, otras empresas si venden los datos de forma detallada. Aunque la mayoría de los compradores de esta información suelen ser empresas de publicidad, otros compradores incluyen instituciones financieras, empresas de análisis geoespacial, de inversión inmobiliaria, que pueden procesar y analizar este tipo de información y están dispuestos a pagar cantidades millonarias de dinero por esta.

También, los datos de localización suelen ser compartidos junto con publicidad para teléfonos móviles, que incluyen un número identificador de 30 dígitos, supuestamente anónimo, que permite a los anunciantes relacionar las actividades entre distintas aplicaciones. Este número puede ser usado para combinar trayectos con nombres, direcciones, correos electrónicos, conexiones inalámbricas y números de teléfono.

Por otra parte, este tipo de datos suelen ser transferidos de los servidores de las aplicaciones de los teléfonos móviles a terceros en tiempo real. La aplicación del Weather Channel, por ejemplo, analizaba la ubicación de sus usuarios para fondos de cobertura, de acuerdo a una demanda presentada en Los Ángeles el año pasado. Otra caso de información vendida a terceros, fue la información que recabaron grandes empresas como Verizon y AT&T y que terminó en manos de caza recompensas, como demostró Motherboard en una investigación el año pasado. Aunque el escándalo obligó a estas compañías a disculparse, ninguna ley prohíbe aun este tipo de prácticas.

De manera puntual, los datos de localización son transmitidos desde los teléfonos móviles a través de pequeños programas llamados S.D.Ks. (software development kits), que son tan pequeños que permiten a los desarrolladores incluirlos en las aplicaciones, aun cuando la aplicación no las necesite, a cambio de dinero por parte de compañías de datos de localización que, probablemente, venderán esos datos a su vez.

El Santo Grial de los publicistas

Para estas compañías hacer un seguimiento tan detallado es vital para entender el “recorrido del cliente”, desde que que mira la publicidad hasta que compra el producto. Entender este proceso es el Santo Grial de la mercadotecnia. También en otros campos están aprendiendo a utilizar esta información. Las campañas políticas, por ejemplo, podrían analizar los intereses y la demografía de sus simpatizantes para formar mensajes destinados a grupos particulares, mientras que los gobiernos podrían servirse de esta información para identificar protestas.

En el otro lado del espectro, los investigadores podrían servirse de estos datos para desarrollar mejores transportes y planes gubernamentales. El ayuntamiento de Portland, Oregón, aprobó un contrato para estudiar el tráfico con el monitoreo de millones de personas, mientras que la Unicef anunció un plan para estudiar epidemias y desastres naturales a través de datos de localización, por mencionar algunos.

Sin embargo, la falta de transparencia de las industrias tecnológicas y publicidad generan preocupaciones en los consumidores. Muchas de las aplicaciones no necesitan los datos continuos de geolocalización para funcionar o ser rentables. Si estas compañías fueran más claras respecto a sus prácticas con esos datos es probable que los consumidores no consentirían compartirlos con ellas. No se puede esperar, por otro lado, que estas compañías se autorregulan voluntariamente. El Congreso tiene que crear una legislación que proteja a los derechos como ciudadanos de los consumidores, señalan los autores. Si bien, la creación de este avanzado sistema de vigilancia no fue deliberada, sino que fue resultado de la conjunción entre los avances tecnológicos y la búsqueda de lucro. En realidad, su aspecto más nefasto ha sido la forma en que las empresas de tecnología han convencido a la sociedad para aceptar este tipo de vigilancia.