En 2013, cuatro investigadores Yves-Alexandre de Montjoye, César A. Hidalgo, Michel Verleysen y Vincent D. Blondel [los dos primeros, del Massachusetts Institute of Technology y los otros dos, de la Université Catholique de Louvain] estudiaron 15 meses de registros de movimientos de medio millón de personas y descubrieron que “los rastros de movilidad humana son altamente únicos. De hecho, en un grupo de datos en el que la localización de un individuo se especifica por horas y con una resolución espacial igual a la proporcionada por las antenas de las operadoras, son suficientes cuatro puntos espaciotemporales para identificar de forma inequívoca al 95 por ciento de los individuos”.
Es decir, por mucho que las aplicaciones aseguren que sus datos se agrupan y están anonimizados, se puede identificar a una persona en concreto con relativa facilidad. “Estos hallazgos representan restricciones fundamentales a la privacidad de un individuo”, afirmaban. Y añadían: “Los datos de movilidad se encuentran ente los más sensibles de los que se están recogiendo en la actualildad”.
Jeffrey Burrill ha tenido que dimitir de su cargo en la Conferencia Episcopal de Estados Unidos tras ser identificado por sus datos en Grindr
Hoy en día
Eso, hace ocho años. Imagina cómo está el patio ahora. Hace apenas dos semanas, The Pillar, una publicación católica de Substack afirmó haber utilizado los registros de Grindr [una aplicación utilizada sobre todo por personas LGTB para ligar] para “sacar del armario” a Jeffrey Burrill, que hasta ese momento era el secretario de la Conferencia Episcopal de Estados Unidos.
La publicación aseguraba “haber hallado evidencias de que el clérigo mostraba una mala conducta sexual continuada mientras ostentaba un cargo crítico de supervisión en la respuesta de la Iglesia Católica a la reciente avalancha de escándalos por abusos sexuales y conductas inadecuadas”. Como consecuencia, Burril dimitió de su cargo.
“El análisis de los datos de aplicaciones correlacionados con el dispositivo móvil de Burril muestra que el clérigo también visitó bares gay y residencias privadas mientras usaba una aplicación para ligar basada en localización en numerosas ciudades entren 2018 y 2020, incluso cuando viajaba por obligaciones relacionadas con la Conferencia Episcopal de Estados Unidos”, explica The Pillar.
Los datos recogidos por las aplicaciones son agregados y vendidos por comercializadoras
Registros comercializados
La publicación asegura que ha utilizado “registros comercialmente disponibles de los datos de señal de la aplicación”. Aunque estos “no identifican los nombres de los usuarios”, sí que “correlaciona un identificador numérico único a cada dispositivo móvil”.
Además, The Pillar explica que “los datos, recogidos por las aplicaciones una vez que los usuarios consienten en que sean almacenados, son agregados y vendidos por comercializadoras” de este tipo de registros.
Básicamente, lo que hicieron fue analizar diferentes lugares y horas en los que sabían que Burril estaba presente, para localizar el identificador numérico de su móvil. A partir de esa información, realizar el seguimiento fue coser y cantar.
Por cierto, Grindr ya ha sido multada con anterioridad por la Autoridad de Protección de datos noruega por proveer a terceras partes los registros de sus usuarios, incluida la localización precisa. Fue el pasado mes de enero y supuso una sanción de 10 millones de euros.
Las comercializadoras de datos venden nombre completo, dirección física, número de teléfono, dirección de correo electrónico, dirección IP y otras informaciones
Industria de desanonimización
La publicación Motherboard también publicaba recientemente un reportaje sobre la industria que se ha creado alrededor de la desanonimización. La fórmula utilizada, según sus investigaciones, es unir las identidades recogidas por distintas aplicaciones para mostrar anuncios [MAIDs o identificadores para publicidad móvil] con el nombre completo y la dirección física de las personas, además de otras informaciones, las denominadas PII [Personal Identifiable Information o información personal identificable].
El CEO de la comercializadora BIGDBM, Brad Mack, aseguró a la publicación: “Contamos con uno de los mayores repositorios de actuales y recientes MAIDS<>PII de Estados Unidos”. Y afirmó que esas MAIDs estaban vinculadas al nombre completo, dirección física, número de teléfono, dirección de correo electrónico, dirección IP y otras informaciones “demasiado numerosas como para citarlas aquí”, según sus palabras.
La publicación también cita las palabras de Zach Edwards, fundador de Victory Medium, una compañía que ayuda a las empresas a evitar este tipo de abusos, quien asegura que “todas y cada una de las personas que tienen un teléfono y han instalado aplicaciones con anuncios está actualmente en riesgo de ser desanonimizada por compañías sin escrúpulos”.
A partir de ahora, cuando te instales una app, esperamos que seas consciente de los riesgos que asumes.
