¿Puede el gobierno rastrear mis datos de ubicación desde aplicaciones en mi teléfono?


Logotipo de código abierto

Si confía en las reglas de la tienda de aplicaciones de Apple y Google para mantener sus datos de ubicación a salvo de las empresas que los venden al gobierno, es posible que desee reconsiderar esa política. Pero si confía en el sistema legal para evitar que las agencias gubernamentales compren esos datos, es posible que tenga suerte, tal vez.

Un nuevo inspector general del Departamento del Tesoro reporte dice que no cree que las agencias tengan el derecho legal de comprar datos de ubicación de servicios comerciales sin obtener una orden judicial. El perro guardián había estado investigando al Servicio de Impuestos Internos (IRS) por hacer precisamente eso, pero el IRS no es la única agencia que compra datos de ubicación en el mercado abierto. Los militares, la Oficina Federal de Investigaciones (FBI), la Administración de Control de Drogas (DEA) y el Departamento de Seguridad Nacional (DHS) también lo hacen.

Las agencias han dicho que no están haciendo nada ilegal, ya que simplemente compran datos disponibles comercialmente proporcionados por usuarios que dieron su consentimiento para que se recopilen esos datos. Este nuevo informe arroja dudas sobre esa afirmación, diciendo que un fallo de la Corte Suprema de 2018 que requería que las fuerzas del orden obtuvieran una orden para datos de la torre de telefonía móvil también podría aplicarse a los datos de ubicación.

Si el inspector general tiene razón, esto podría detener la compra por parte del gobierno de datos de ubicación que se obtienen a través de una serie de intermediarios, una cadena de suministro que es muy difícil de seguir y, por lo tanto, difícil de detener. Las tiendas de aplicaciones han intentado tomar medidas, pero sus prohibiciones pueden tener fugas e estar incompletas. Google prohibió recientemente un rastreador de aplicaciones en su tienda de aplicaciones, pero los investigadores han encontrado repetidamente aplicaciones que aún lo contienen. Y, con toda una industria dedicada a recolectar y vender datos de ubicación, incluso la prohibición total de un rastreador no hará mucho impacto.

El área legal gris que explota el “lavado de datos” y que Google no detendrá

La fuente de esos datos es su teléfono móvil. Más específicamente, son las aplicaciones que le pones, las que puede enviar datos de ubicación a empresas de terceros que se especializan en vender datos de ubicación, o acceder a ellos, a anunciantes, comercializadores y corredores de datos, incluso a otros proveedores de datos de ubicación. Puede pasar por varias empresas antes de llegar a su usuario final. La cadena de suministro de datos de ubicación es intencionalmente opaca, pero eventualmente sus datos (y los de millones de otros) pueden terminar en manos de cualquier organismo policial que esté dispuesto a pagar por ellos.

Sean O’Brien, investigador principal del Laboratorio de Seguridad Digital de ExpressVPN, tiene un término para esto: lavado de datos.

“Hay tantos actores que comparten y venden datos que es increíblemente difícil seguir el rastro”, dijo O’Brien a Recode.

El pasado mes de noviembre, Vice logró perseguir un rastro, reportando que una empresa de datos de ubicación llamada X-Mode estaba vendiendo los datos obtenidos a través de su kit de desarrollo de software (SDK), que se encuentra en cientos de aplicaciones con millones de usuarios, a contratistas de defensa. Luego, esos contratistas vendieron esos datos a los militares. (El senador Ron Wyden (D-OR) había estado en una búsqueda paralela para investigar a los corredores de datos y llegó a una conclusión similar casi al mismo tiempo).

Tras ese informe, Apple y Google prohibieron el SDK de X-Mode en sus tiendas de aplicaciones. Pero meses después, los investigadores siguen encontrando ese SDK en aplicaciones con miles de usuarios. Laboratorio de seguridad digital de O’Brien, junto con Agencia Laboratorio de Defensa la cofundadora Esther Onfroy, examinó 450 aplicaciones de Android y encontré el SDK de X-Mode en casi 200 de ellos, algunos de los cuales estaban enviando datos a X-Mode incluso después de la prohibición. Google eliminó al menos una de esas aplicaciones después de ser informado de que se había filtrado a través de la red de la compañía. Entonces ExpressVPN encontró 25 aplicaciones más con el SDK, la mayoría de un desarrollador llamado CityMaps2Go. Google eliminó esas aplicaciones de la tienda, admitiendo que pasaron por su proceso de selección debido a una “supervisión en nuestro proceso de aplicación”.

ExpressVPN le dijo a Recode que luego encontró 22 aplicaciones más con X-Mode SDK en Google Play Store, todas las cuales fueron desarrolladas por CityMaps2Go, lo que indica que el proceso de cumplimiento de Google necesita algo de trabajo. Vale la pena señalar: algunas de estas son aplicaciones pagas, lo que debería disipar el mito de que pagar por una aplicación garantiza su privacidad. A pesar de saber que algunas de las aplicaciones de CityMaps2Go tenían el SDK prohibido, Google no verificó las demás. Cuando Recode le dijo a Google sobre la supervisión, la compañía eliminó las aplicaciones de la tienda.

¿Que está pasando aqui? La empresa detrás de CityMaps2Go, Ulmon, quebró el año pasado. CityMaps2Go fue luego adquirida por una empresa llamada Kulemba. Kulemba le dijo a Recode que tiene problemas para acceder al código para eliminar los SDK de las aplicaciones de Android. Eso deja en manos de Google la búsqueda y eliminación de aplicaciones que infrinjan sus reglas, y el consumidor solo tiene que esperar que lo haga. Con casi 50 aplicaciones pasando desapercibidas hasta ahora, esa esperanza podría estar fuera de lugar. O’Brien cree que Google puede hacerlo mejor.

“Los investigadores fuera de Google pueden identificar la presencia de estos SDK prohibidos sin el beneficio de poseer y operar Google Play”, dijo O’Brien. “Analizamos aplicaciones de desarrolladores con enlaces conocidos a X-Mode y descubrimos el SDK ofensivo utilizando métodos bien conocidos. Los consumidores deben esperar razonablemente que Google, o el administrador de cualquier tienda de aplicaciones, proteja a los usuarios de los SDK que han sido prohibidos, o que exista una desconexión seria entre la política y la práctica “.

Pero hay otro problema más grande aquí que el SDK de una empresa y las aparentes dificultades de Google para hacer cumplir sus propias reglas. X-Mode no es la única empresa que proporciona datos de ubicación a agencias gubernamentales, y no es la única empresa a la que el gobierno se los está comprando. Las prohibiciones de la tienda de aplicaciones Whack-a-mole no serán suficientes para detener la industria de datos de ubicación masiva, opaca y laberíntica que vale miles de millones.

“Los corredores de datos de ubicación utilizan muchas formas de obtener datos de las aplicaciones”, dijo a Recode Wolfie Christl, un investigador que investiga la industria de los datos. “Pueden hacer que las aplicaciones incrusten su código de recopilación de datos y lo cosechen desde el bidstream en publicidad digital, obténgalo directamente de los proveedores de aplicaciones o simplemente cómprelo de otros corredores de datos “.

X-Mode no respondió a la solicitud de comentarios sobre si todavía está obteniendo y usando datos de ubicación y cómo, pero incluso si está bien y verdaderamente cortado, ya sabemos que hay otras compañías que venden datos de ubicación al gobierno: específicamente, Calle Babel y Venntel. Encontrar sus fuentes de datos primarias es difícil – el lavado de datos, nuevamente – pero reciente informes vinculó Venntel a dos SDK, que enviaron datos a Venntel a través de una serie de intermediarios, incluida su empresa matriz Gravy Analytics.

Uno de esos SDK, de una empresa llamada Predicio, fue prohibido desde la Play Store de Google a principios de febrero. Veremos si Google puede hacer cumplir la prohibición de Predicio mejor que la de X-Mode.

“La economía de las aplicaciones móviles se convirtió en un pozo negro de explotación de datos”, dijo Christl a Recode. “La única forma de solucionar esto es finalmente hacer cumplir la ley de protección de datos en la UE e introducir una legislación sólida en los EE. UU. Y en otras regiones”.

Si Google no puede detener a los corredores de datos de ubicación, tal vez una nueva ley pueda

Puede que pronto tengamos alguna legislación. Wyden, quien solicitó el informe del inspector general del IRS en primer lugar como parte de su investigación sobre la industria de datos de ubicación y el uso que hacen las agencias gubernamentales, le dijo a Recode que tiene la intención de presentar un proyecto de ley que prohibirá a las fuerzas del orden comprar datos de ubicación.

“Los estadounidenses necesitan protecciones más sólidas para nuestros derechos que las tiendas de aplicaciones que juegan al whack-a-mole con corredores de datos sospechosos”, dijo Wyden a Recode. “El Congreso necesita cerrar las lagunas que permiten a los intermediarios vender nuestros datos personales al gobierno y ponerlos en una ley de letra negra, junto con una ley sólida de privacidad del consumidor para dificultar la recopilación de bases de datos masivas de dónde vamos y qué leemos y compramos en línea, y devolvemos a los usuarios el control de nuestra información “.

“Es por eso que presentaré la Ley de No Se Vende la Cuarta Enmienda en las próximas semanas, para que el gobierno obtenga una orden judicial para obtener información personal, en lugar de simplemente sacar una tarjeta de crédito”, dijo.

También existe la posibilidad, como dijo el informe del inspector general, de que los tribunales determinen que las compras de datos de ubicación violan la Cuarta Enmienda, que nos resolverá esa parte del problema.

De cualquier manera, esto solo se dirige a una categoría de clientes de datos de ubicación. Como dijo Wyden, también se necesitan leyes de privacidad del consumidor. Hasta que (y si) los obtengamos, tenemos que confiar en que las empresas se regulen y confíen en que lo están haciendo. Si una de las empresas más grandes del mundo no puede deshacerse de su propia tienda de aplicaciones de un solo SDK que viola sus términos de servicio, ¿cómo podemos esperar que encuentre y elimine los demás? Cuando las empresas de datos de ubicación filtran sus ventas de datos a través de múltiples intermediarios, ¿cómo se supone que Google y Apple saben quién está rompiendo sus reglas en primer lugar?

“La regulación y la acción legal pueden tener un efecto positivo, pero siempre busco más soluciones de base”, dijo O’Brien. “Los consumidores deben pensar de manera diferente sobre su relación con los teléfonos inteligentes, las redes sociales y la tecnología en general”.

Código abierto es posible gracias a Omidyar Network. Todo el contenido de código abierto es editorialmente independiente y producido por nuestros periodistas.


Corrección: Una versión anterior de este artículo decía que Kulemba adquirió Ulmon. Kulemba solo adquirió las aplicaciones CityMaps2Go de Ulmon.

Latest articles

Secuela de terror ‘The Conjuring: The Devil Made Me Do It’ Primer tráiler

Secuela de terror 'The Conjuring: The Devil Made Me Do It' Primer tráiler por Alex Billington 22 de abril de 2021Fuente: YouTube "Creo que ya es...

DOGE out of control? Social media and whales sway Dogecoin price action

Dogecoin (DUX) ha sido la comidilla de la ciudad de las criptomonedas en el mes de abril. El primer día del mes,...

Las guerras tecnológicas se están convirtiendo en las nuevas guerras comerciales

La tecnología se ha vuelto geopolítica. Estados Unidos tiene exportaciones de semiconductores bloqueadas a China. A su vez, China ha buscaba...

Qué zapatos llevar con un vestido largo

A medida que prevalece la temporada de verano, junto con ella llega la tendencia de los maxi vestidos. Para el clima cálido,...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »