Artículos

Tu smartphone te delata: así siguen tus pasos las empresas y las agencias de inteligencia

Ni te estás dando cuenta, pero es probable que alguien en alguna parte sabe que estás exactamente donde estás. Y ese alguien no tiene nada que ver contigo. Solo recolecta datos con la excusa de mejorar un servicio, o luchar contra el terrorismo, o estudiar el comportamiento de los usuarios de móviles. Las excusas no son importantes. Lo que es importante es que nuestra privacidad está una vez más en juego.

Es lo que queda claro cuando uno descubre cosas como las que ocurrieron en el aeropuerto de Dublín, donde a los pasajeros se les hacía un seguimiento indiscriminado a través de sus móviles con el único requisito de que éstos tuvieran activada la conectividad WiFi o la Bluetooth. Ojo: no es necesario que estén conectados a ninguna red o dispositivo: basta con activarla, y están atrapados.

No es un caso aislado: la monitorización es masiva

Rory Byrne, experto en seguridad y responsable de SecurityFirst, trataba de explicar cómo funcionan los sistemas de recolección de datos en ese aeropuerto, pero sobre todo exponía que la situación no es un caso aislado, y recordaba casos como uno de los aeropuertos de Canadá en los que los documentos de Edward Snowden dejaron claro que también se aprovechaban estas técnicas para hacer un seguimiento masivo de los viajeros.

Internet

Como afirmaba Byrne, “si soy un pasajero, quiero saber cómo se usan mis datos“, y esa transparencia es prácticamente inexistente. En el reportaje que apareció en el Irish Independent en noviembre de 2015 los responsables del aeropuerto de Dublín sí explicaban que se utilizan estos sistemas “para asegurar que los pasajeros no pasan más de media hora en las colas de los controles de seguridad“. En sus preguntas a esos responsables, Byrne recibía una respuesta poco clarificadora: “no se recolectan datos personales. Los datos solo se asocian a la existencia de un dispositivo con la conectividad WiFi habilitada. No a su propietario“.

Este experto nos hablaba de cómo estos sistemas están dispersos en todo tipo de ámbitos, y solo podemos esperar a que su presencia sea aún mayor en el futuro. Ya hemos hablado de los Beacons y de ese nuevo compromiso para la privacidad, y las consecuencias son evidentes:

Será mucho más fácil que tu jefe (o tu marido/mujer) o tu compañía de seguros sepa exactamente dónde estás […], y aquellos que requieran protección y privacidad en su trabajo, por ejemplo un trabajador social que se cite con una víctima o un periodista que se cite con una fuente tendrán más posibilidades de dejar una huella digital que ponga en peligro a esas personas.

Este tipo de recolección de datos se siguen aplicando a pesar de la polémica generada tras aquel suceso. El sistema de transporte de Londres hace un seguimiento constante de los 27 millones de desplazamientos diarios, con cerca de 19 millones de veces en las que alguien acerca su tarjeta de transporte a un lector.

Londres

La excusa, la mejora del servicio. El medio de recolección, esas atractivas conexiones WiFi gratuitas que se ofrecen en las 270 estaciones del metro de Londres, en las que eso sí, hay un aviso sobre una recolección de datos en la que “no se identifica a los usuarios ni se monitoriza la actividad de sus sesiones de navegación”.

Anonimicen esos datos o no, un estudio de dicha información recolectada como el que realizaron en Gizmodo UK deja bien claro que es posible seguir con mucha precisión a los usuarios para determinar patrones de todo tipo: por un lado, los que desde luego afectan al uso del servicio y pueden ser útiles para mejorarlo. Por otro, el potencial de la publicidad que se puede ofrecer en base a esos datos.

Bienvenido al maravilloso mundo del MLA

La llamada Mobile Location Analytics (MLA) es conjunto de técnicas que están orientadas teóricamente a comerciantes que pueden lograr informes sobre la actividad de los clientes en base a la recolección de las direcciones MAC WiFi y Bluetooth.

Mla2

Este es un ejemplo de un informe generado a partir de la recolección de las direcciones MAC Bluetooth y WiFi de los usuarios de dispositivos móviles

Esos doce dígitos que identifican a cada chipset WiFi y Bluetooth en nuestro teléfono son como la huella dactilar de dichos dispositivos: los identifican de forma única e inequívoca, y es posible recolectar esas direcciones MAC para que cualquier empresa, entidad (o persona) pueda saber qué dispositivos pasan por ciertos sitios, en qué momentos, y cuál es la duración de esa “visita”.

En esa recolección de datos solo se transfiere la dirección MAC de nuestro chip WiFi o Bluetooth, sin más. No hay números de teléfono ni correos electrónicos asociados a nuestros dispositivos que se transfieran como parte de esa recolección de datos. Lo que sí se puede deducir a partir de esa información es el fabricante de nuestro dispositivo, ya que a cada uno se le conceden cierto rango de direcciones MAC.

El objetivo de esa recolección es según las compañías que lo utilizan el de “entender mejor la experiencia de cliente“, de forma que se puedan extraer datos sobre cuáles son las zonas de la tienda más visitadas, cuánto tiempo esperamos en la cola, o si es posible mejorar potenciales planes de evacuación. Todos buenos argumentos que no dan respuesta a algo inexcusable:

Que no tenemos ni idea de que lo están haciendo. Nadie nos está avisando.

Más allá de MLA, el negocio de la geolocalización de interiores

Como explicaban en noviembre de 2017 en El País, a esa recolección que antes se centraba en las conexiones WiFi o Bluetooth ahora se le suma una tecnología como la que quieren aprovechar en la empresa anglo-española llamada Seeketing.

Situm

¿La idea? Detectar señales en las bandas de 2,4 y 5 GHz usadas por los móviles para buscar señales de repetidores. Como afirmaba en el artículo el fundador de la empresa, Isidoro Pérez, “Ofrecemos un servicio a las empresas que permite seguir a una persona dentro de la tienda, saber dónde se detiene, qué le interesa”, aunque eso sí, apunta, siempre con el consentimiento de ese usuario. El sistema ya está activo en aeropuertos y comercios de España y Reino Unido, revelan en el diario.

Otras empresas están aprovechando el tirón de ese sector del “geoposicionamiento de interiores”, como lo calificaban en Expansión en febrero de 2017. Allí mencionaban el caso ed Seeketing, pero también el de otras empresas como Metrikea, “que además de medir el tiempo y el recorrido de los clientes en un establecimiento, cruzan los datos que ofrecen las TPV cuando el comprados paga con su tarjeta, lo que aporta una radiografía más completa del comportamiento del consumidor”.

La propia Telefónica inauguró en 2016 un servicio de “geolocalización multisensorial” en colaboración con la startup gallega Situm.

En él se combinan la señal GPS además de la señal móvil, WiFi y Bluetooth e incluso “la información del geomagnetismo de la Tierra” recolectada a través de los magentómetros integrados en los móviles para poder establecer ese seguimiento preciso de los usuarios que utilizan cualquiera de estas alternativas (por separado o en combinación) en los locales y comercios para los que está pensada.

En Telefónica ponían un ejemplo práctico de la utilidad de este servicio: los usuarios podrían ayudar a que en los grandes hospitales los usuarios podrían ser guiados a las zonas del hospital y consultas concretas a las que dirigirse. También, indicaban en la nota de prensa, se podría utilizar en terminales de autobuses, trenes o aeropuertos “para prevenir zonas ‘calientes’, alertar de tiempos de espera, prever acumulaciones típicas en lugares transitados o analizar la movilidad de los usuarios, por zona, horas o día de la semana”.

Por supuesto también se mencionan las soluciones de “marketing geoposicionado”, y muchos nos seguimos preguntando si realmente necesitamos que nos guíen por el hospital —la señalización y preguntar al personal o incluso a otros usuarios siempre ha dado resultado— o si ese modelo de publicidad dirigida es atrayente.

No está claro hasta qué punto se han comenzado a utilizar esas tecnologías, aunque todos estos servicios aseguran que se respeta la privacidad y que los datos no se recolectan sin consentimiento del usuario. Que el usuario tenga consciencia de que se le está siguiendo y monitorizando a través de estos métodos, eso sí, no parece probable.

¿Cómo evitar esa recolección de datos?

Existen, eso sí, algunos Códigos de Conducta para el MLA (PDF) en el que las compañías que lo firman renuncian a la recolección de esos datos en los dispositivos que hacen el “opt-out” (baja) de estos sistemas.

People

La MAC se almacena sí, pero solo con el objetivo de descartarla en caso de formar parte de algún informe, y hay disponible un formulario que permite que cualquiera pueda encontrar la dirección MAC WiFi y la MAC Bluetooth de sus dispositivos para añadirla a esa baja de estos sistemas de recolección.

La efectividad de este servicio es una incógnita, y de hecho la web, realizada en 2014, no se ha actualizado desde entonces ni hay datos adicionales para contrastar su validez. Eso sí: la organización detrás de dicha iniciativa, el llamado Future of Privacy Freedom, sí mantiene una actividad constante para informar de nuevas amenazas a la privacidad que van surgiendo.

La forma más sencilla de evitar este tipo de recolección de datos es no obstante simple: tendremos que desactivar la conectividad WiFi o la Bluetooth en nuestros smartphones -u otros dispositivos móviles y aquí hay que tener en cuenta a los smartwatches-, algo que lógicamente tiene una contrapartida importante: la de que no podremos acceder a parte de las prestaciones y funcionalidades de estos dispositivos.

De hecho desactivar esa conectividad no nos libra de ese asalto a nuestra privacidad, y hay otras muchas formas de hacer un seguimiento de los usuarios. Ocurre desde luego con las cámaras de videovigilancia que encontramos en centros comerciales, aeropuertos, estaciones de trenes y otros muchos establecimientos públicos que eso sí, tienen la obligación de mostrar advertencias de la existencia de esas cámaras.

Pero también hay métodos menos conocidos como el uso de los llamados IMSI-catchers (International Mobile Subscriber Identity), dispositivos que permiten espiar la actividad telefónica e interceptar el tráfico de datos y voz de estos dispositivos y su geolocalización. Un buen ejemplo de este tipo de soluciones es Stingray, ese desarrollo utilizado por el FBI y por los cuerpos de seguridad en Estados Unidos que como se ha demostrado sí puede ser utilizado para luchar contra el crimen.

Y luego estamos los usuarios, por supuesto, que instalamos numerosas aplicaciones en nuestros smartphones y no prestamos atención a los permisos que concedemos a esas aplicaciones. En Android la cosa es especialmente llamativa y tenemos un buen ejemplo con lo que ocurrió con el escandaloso problema en Swype, que registraba nuestra localización 4.000 veces al día, pero en iOS no están exentos de estos problemas, y lo demostró recientemente Facebook.

Metro

Pero es que a esas aplicaciones que recolectan la información de forma poco transparente se unen las que lo hacen como parte de su funcionalidad. La localización pasiva de la que hablábamos el año pasado ha sido durante años el pilar de servicios como Foursquare, y que también ha derivado en la llamada localización ambiental en las que la aplicación nos conecta a usuarios que están cerca de nosotros y con los que tenemos intereses comunes. Aquí hay ejemplos como Highlight, Sonar o Banjo, pero desde luego la más conocida es probablemente Tinder, esa aplicación de ligoteo que se convirtió en un fenómeno de la movilidad con rapidez.

Así pues, aunque es evidente que no podemos controlar todos los parámetros que permiten tratar de espiarnos -eso nos convertiría en Quijotes digitales- sí que podemos tratar de tener algo de sentido común y cuidar y mimar nuestra privacidad.

Permisos En la nueva versión de Android podremos gestionar de forma muy potente qué permisos concedemos a cada aplicación. ¿Que no quieres que este juego acceda a tu posición GPS o que esa herramienta pueda acceder a tus fotos? Ya tienes la posibilidad de vetar esos accesos.

En Android 6.0 Marshmallow han aparecido los controles finos de permisos para las aplicaciones -lástima que esas mejoras vayan a tardar en llegar a los usuarios muchos meses-. Obviamente tenemos también la capacidad de no instalar y usar aquellas aplicaciones que abusen de esos permisos.

Pero además podemos acceder a terminales que precisamente tratan de darnos aún más garantías en estos temas. El Blackphone es el ejemplo más claro de esa ambición por la privacidad y la seguridad, y aunque está más orientado a usuarios empresariales -hace poco se ha lanzado el Blackphone 2-, sus prestaciones son útiles para todo tipo de usuarios. Nos toca mover ficha.

Imagen | Gilles Lambert | Kazuend | Anna Dziubinska

Fuente