“Means of control” es un libro tan apabullante, pedagógico y ameno que a este calvo se le saltaban las lágrimas cuando se lo terminó ayer mismo.

Examina el deprimente estado del espionaje del que somos objeto en nuestra vida diaria (apps, cookies, flujos de datos para la personalización de publicidad, automóviles, dispositivos conectados, smartwatches)…

…pero no desde el punto de vista de la “privacidad privada” o el muy sobeteado incumplimiento rampante de la normativa por parte de las grandes empresas.

No: el libro detalla la compra, uso y abuso de estos mismos datos pero por parte del Estado: policía, agencias de información, ejército, contratistas militares privadas.

La perspectiva es enmudecedora.

El libro está en inglés y cuando se edite en castellano, no tengan la menor duda de que les avisaré.

Cumpliendo una de las reglas de oro que es terminar en todo lo alto, el autor incluye una par de cargas de profundidad que, leídas hoy, resultan proféticas:

«O, dicho de otro modo, las consecuencias del rastreo persistente habían recaído durante décadas principalmente sobre otras personas: sospechosos de terrorismo, inmigrantes sin autorización, criminales y personas que vivían fuera de Estados Unidos. Los patrones de vida sospechosos, o firmas, que las agencias más poderosas del gobierno estadounidense han estado buscando en enormes volúmenes de datos eran, por lo general, aquellos que no afectaban a muchos estadounidenses de clase media. Pero la decisión Dobbs hizo que la recolección de datos se sintiera de repente como algo personal para cientos de millones que nunca antes se habían sentido vulnerables.»

[The Dobbs decision fue la sentencia del Tribunal Supremo estadounidense que reconoció la libertad de cada estado para criminalizar o no el aborto.]

«Hoy en día, lo que separa a Estados Unidos de China es una delgada membrana de leyes, normas, capital social y—quizás sobre todo—una persistente cultura de incomodidad tanto entre los funcionarios del gobierno como entre los ciudadanos comunes respecto a la acumulación excesiva de poder e información por parte del Estado. Es una profunda desconfianza típicamente estadounidense hacia el poder centralizado y la autoridad gubernamental. Pero gran parte de eso está en juego: Estados Unidos se encuentra en un momento crítico para decidir su futuro tecnológico. Tenemos tribunales que funcionan y un sistema de controles y equilibrios. Tenemos libertad de expresión y elecciones justas.»

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad de tecnología y derecho de Jorge García Herrero y Darío López Rincón. Cada semana recomendamos lecturas tan buenas como esta.

Recuerda que no recibimos un puto duro por recomendar lo que recomendamos.

Sólo compartimos la misma buena mierda que nosotros mismos consumimos.

Cosas que no sabías sobre Grinder…

«Como mostró Yeagley, toda esa información estaba disponible a la venta, y por poco dinero. Y no se trataba solo de Grindr, sino de cualquier app con acceso a la ubicación precisa de los usuarios: otras aplicaciones de citas, aplicaciones del clima, juegos. Yeagley eligió Grindr porque generaba un conjunto de datos particularmente rico y su base de usuarios podría ser especialmente vulnerable.»

… metadatos (ejemplo: tu uso de WhatsApp)…

«Un estudio de Stanford de 2016 que recopiló metadatos telefónicos de voluntarios dispuestos a ser vigilados en nombre de la ciencia dio ejemplos de las inferencias que se podían extraer de los registros telefónicos de los participantes. El participante B, por ejemplo, “recibió una llamada larga de un grupo de cardiología en un centro médico regional, habló brevemente con un laboratorio médico, respondió varias llamadas cortas de una farmacia local, y realizó llamadas breves a una línea de autoinforme para un dispositivo de monitoreo de arritmias cardíacas”. El participante D “realizó llamadas a una ferretería, cerrajeros, una tienda hidropónica y un ‘coffee shop’ en menos de tres semanas.” Y la participante E “hizo una llamada larga a su hermana temprano por la mañana. Dos días después, llamó varias veces a una clínica de planificación familiar cercana. Dos semanas más tarde, hizo llamadas adicionales breves a planificación familiar, y un mes después, otra llamada corta.” Es razonable suponer que el participante B sufrió un infarto recientemente, que el participante D se estaba preparando para cultivar marihuana, y que la participante E estaba buscando un aborto. Todo eso podía inferirse sin necesidad de intervenir sus líneas telefónicas ni escuchar el contenido de las llamadas. Los metadatos pueden decir mucho. El exdirector tanto de la CIA como de la NSA, Michael Hayden, lo expresó crudamente en 2014: “Matamos personas basándonos en metadatos.”»

… OSINT…

«Aunque los analistas de la comunidad de inteligencia llevaban años advirtiendo sobre el potencial de disturbios civiles, así como sobre la inestabilidad y la corrupción de los gobiernos en el norte de África y Oriente Medio, pocos habían previsto un acontecimiento generacional que barrería casi todos los países de la región de una forma u otra, derribando numerosos gobiernos y desatando múltiples guerras civiles. “Nos habíamos acostumbrado demasiado a robar secretos y no prestábamos suficiente atención a la información importante que circulaba por Twitter y estaba a la vista del mundo”, admitió el subdirector de la CIA Michael Morell en sus memorias tras retirarse del servicio gubernamental.»

… Twitter…

“Twitter solía atraer a una gran cantidad de usuarios que tuiteaban bajo seudónimos semi-anónimos. Eso les daba la ilusión de privacidad y anonimato. Pero esos seudónimos no eran tan privados como la gente creía, y en los datos de sus fotos, en la información de sus tuits, en las personas o temas que seguían, o simplemente en la enorme cantidad de pequeñas pistas sobre su identidad que dejaban online, estaban incrustados indicios reales sobre sus identidades y personalidades. Cuando el director del FBI, James Comey, dejó entrever que rondaba por Twitter bajo una cuenta seudónima, la periodista de Gizmodo Ashley Feinberg identificó su supuestamente privada cuenta tras solo cuatro horas de investigación. Si el director del FBI no puede mantener un perfil bajo usando un seudónimo, ¿qué esperanza nos queda al resto?”

“Tras la adquisición de Musk, Twitter dejó de responder a los periodistas. La cuenta de correo a la que recurrían para pedir declaraciones ahora responde con un emoji de caca.”

… cómo localizaban (y mataban) a los majaras que se unían al ISIS…

“Se estaban uniendo a un grupo terrorista internacional que era perseguido por una coalición multinacional formada por algunas de las potencias militares más capaces y sofisticadas del planeta. Pero estaban tan acostumbrados a compartir su vida con desconocidos que a muchos no se les ocurrió que las coordenadas GPS en sus tuits, las montañas al fondo de sus fotos, los rostros de sus compañeros yihadistas y docenas de otras migas digitales eran como balizas que la coalición liderada por EE.UU. contra el ISIS podía usar para localizarlos. Muchos pagaron con sus vidas esos errores de seguridad operativa.”

… y de esos majaras pasaron a… más cosas

“Lo que condujo al arresto e imputación de Reed fue el hecho de que añadió inadvertidamente una cuenta de Facebook “encubierta” controlada por el agente de policía de Page, Christopher Seamster, a su grupo privado de Facebook con un puñado de amigos. Así, durante decenas de páginas de mensajes a lo largo de unos días, un espacio que Reed y algunos de sus amigos y vecinos percibían como privado fue monitorizado por las autoridades en tiempo real. Para 2020, estas cuentas encubiertas se habían convertido en la herramienta favorita de departamentos de policía de todos los tamaños—desde grandes cuerpos como el de Los Ángeles hasta la diminuta fuerza de veintitrés agentes responsable de la seguridad pública en Page, Arizona, con una población de unos 7.500 habitantes. Una táctica que antes se usaba para mantener localizados a terroristas del ISIS mientras un avión de combate se preparaba para atacar se había filtrado a todos los niveles del orden público doméstico.”

… las p*tas ruedas de tu coche…

“¿Alguna vez te has preguntado cómo sabe el ordenador de tu coche la presión de cada neumático? Pues no son sensores cableados. Dentro de cada neumático hay un diminuto sensor inalámbrico de presión (TPMS) que transmite constantemente algo como “Soy el neumático Acura k192e3bc y mi presión es de 42 psi”. El mensaje está destinado al ordenador central de tu coche, pero cualquiera con una antena puede escucharlo. Los fabricantes nunca se molestaron en proteger esta transmisión con cifrado ni con ningún mecanismo de privacidad. En 2020, un programador finlandés llamado Tero Mononen colocó una radio digital cerca de su ventana programada para captar transmisiones en cierta frecuencia durante 75 días—solo para ver qué recogía. El resultado: 1,5 millones de líneas de datos, en su mayoría de dispositivos de su propia casa como llaves de coche y detectores de humo. Pero para su sorpresa, logró capturar 75.000 lecturas de 10.000 neumáticos únicos de coches que pasaban. Concluyó en una entrada de blog que “la captura de datos del TPMS podría ser utilizada por investigadores, espías y personas que estén siendo seguidas”.

Tenía razón.”

… Burner phones…

“En 2013, The New York Times reveló que la Agencia Antidroga de EE.UU. (DEA) aparentemente podía detectar teléfonos “desechables” usando macrodatos. Informes similares indicaron que la NSA tenía la misma capacidad. En general, si un teléfono se apaga en el mismo momento y lugar en que otro se enciende, podrían asociarse entre sí.”

… las comisiones de investigación…

“En marzo de 2013, el entonces director de inteligencia nacional, James Clapper, compareció ante el Comité de Inteligencia del Senado. “¿Recoge la NSA algún tipo de datos de millones o cientos de millones de estadounidenses?”, preguntó Wyden. “No, señor”, respondió Clapper. “¿No lo hace?”, dijo Wyden, con las cejas arqueadas, en un tono sorprendido que rozaba la incredulidad. “No conscientemente”, dijo Clapper. Toda esta escena fue puro teatro kabuki.»

«Internet nunca volvería a ser la misma. En respuesta a las revelaciones de Snowden, las empresas tecnológicas realizaron grandes cambios.”

… geolocalización en tu móvil…

“Estoy aquí para decirte que, si alguna vez usaste una app de citas que requería tu ubicación o si diste permiso a una app del tiempo para saber dónde estabas las 24 horas del día, es muy probable que un registro detallado de tus movimientos precisos haya sido recolectado y almacenado en alguna base de datos a la que decenas de miles de completos desconocidos tienen acceso. Eso incluye agencias de inteligencia. Incluye gobiernos extranjeros. Incluye detectives privados. Incluso periodistas entrometidos.

Si fuiste infiel a tu pareja en los últimos años y no fuiste cuidadoso con los ajustes de localización de tu teléfono, probablemente exista evidencia de ello en datos disponibles para su compra. Si te internaste en un hospital psiquiátrico o un centro de rehabilitación de drogas, es probable que esos datos estén guardados en alguna base. ¿Estás recibiendo tratamiento para la disfunción eréctil en una clínica de salud sexual? Esa información puede ser obtenida por extraños. Si le dijiste a tu jefe que estabas enfermo y te fuiste a la playa o a una entrevista en una empresa rival, eso podría estar registrado. Si visitaste la oficina de un abogado de divorcios pero luego decidiste no continuar y te reconciliaste con tu pareja, es posible que tu visita esté igualmente registrada. Si frecuentas bares gays o tiendas eróticas especializadas y no hablas abiertamente de tus hábitos o estilo de vida, alguien podría averiguarlo todo. Si te dejaste llevar por la emoción y lanzaste un ladrillo a una vidriera durante las protestas por George Floyd, bueno, tu teléfono móvil podría vincularte con ese acto de vandalismo. Y si una vez bebiste unas cervezas de más, causaste un accidente de tráfico y huiste sin llamar a la policía, probablemente aún exista algún dato que cuente esa historia.”

“La tesis de la empresa era que “a dónde vas es quién eres”, diría White en entrevistas. “Sentíamos que la señal más poderosa de quiénes somos como individuos no eran los sitios web que visitamos, sino los lugares a los que asistimos y los eventos en los que participamos.”

“En resumen, los datos de adtech que Venntel y Babel intermediaban eran una mina de oro para las fuerzas del orden. Para empezar, liberaban a la policía del engorro de tener que tramitar una citación o una orden judicial. Además, había muy poca conciencia pública de que este tipo de datos estuviera a la venta, por lo que casi nadie optaba por excluirse. Como me pasó a mí, la mayoría de la gente no tenía idea del menú de “Limitar el rastreo de anuncios” en sus iPhones o del AAID que Google otorgó incluso a los dispositivos Android. Muchos aún no lo saben.”

“Nunca he encontrado una política de privacidad de app móvil que declare que una agencia de inteligencia o un servicio de seguridad gubernamental podría estar comprando los datos. Muchas reconocen que podrían verse obligadas a entregar datos del usuario en respuesta a una orden judicial, pero en general las políticas de privacidad sobre la venta y el intercambio de datos hacen dos afirmaciones: primero, que los datos se anonimizan si se transfieren y que no se comparte información identificable; segundo, que la finalidad de esos datos es para análisis, publicidad o comercio.

Ninguna de las dos es cierta.”

El “mejor postor” no siempre es USA: también Rusia o Corea del Norte

“Una noche, tomando unas cervezas en Washington D.C., un exfuncionario del gobierno empujó su teléfono hacia mí sobre la mesa. En él había una lista de todos los intercambios publicitarios a los que las agencias de inteligencia estadounidenses tenían acceso de una u otra manera (…)

De alguna forma, el gobierno de EE.UU., a través de un laberinto de contratistas, empresas fantasma o intermediarios, era capaz de recolectar datos de todos los principales intercambios de anuncios. O bien podía servir anuncios o malware usando esas redes. Probablemente no sea exagerado decir que cada smartphone, tableta y ordenador del planeta transmite datos a estos intercambios de alguna manera. Peor aún, la fuente me dijo que China, Rusia, Corea del Norte—todas estas naciones—estaban conectadas a las mismas redes. Usaban empresas fantasma y fachadas como nContext para obtener datos de estadounidenses por petabytes. Y nadie quería hablar de ello porque EE.UU. hace lo mismo.”

“El éxito está basado en el secreto.”

…Al-Moazin…

Era una popular app para android que ayudaba a los musulmantes a orar: basándose en la ubicación GPS avisaba las horas exactas para rezar (que dependen de la época del año y la posición del sol) y la orientación exacta de La Meca desde su posición.

“Más allá de recopilar la ubicación GPS habitual, la app podía recolectar una cantidad extraordinariamente grande de datos sobre los teléfonos de sus usuarios y enviarlos a un tercero desconocido. Primero, cuando un usuario se conectaba a una red Wi-Fi, Al-Moazin podía recoger información sobre todos los demás dispositivos que funcionaban en esa red. Podía ver todos los demás teléfonos, tabletas, routers, televisores inteligentes y altavoces inteligentes conectados a esa red Wi-Fi, así como los identificadores digitales únicos de esos dispositivos. Esto podía permitir a quienquiera que recibiera los datos trazar un mapa de la red social de los propietarios de los teléfonos—viendo qué otros dispositivos móviles estaban en proximidad en un momento dado. Segundo, también podía copiar el contenido del portapapeles del teléfono—lo que a menudo incluía información sensible como contraseñas—, además de la dirección de correo electrónico del propietario del teléfono y el número asignado al dispositivo. Esto sí que era nuevo. Los datos que recibían empresas como Gravy Analytics y X-Mode no contenían información personal explícita como una dirección de correo o un número de teléfono. Con ciertas técnicas básicas de inteligencia o datos comerciales adicionales, normalmente se puede inferir un nombre. Pero el código del software ejecutado dentro de Al-Moazin podía vincular directamente la identidad de una persona con sus desplazamientos por el mundo. De forma aún más insólita, tenía la capacidad de escanear la carpeta de descargas de WhatsApp en cualquier teléfono en el que estuviera instalada. No necesariamente podía leer el contenido de los archivos, pero parecía tomar un inventario de los nombres de archivo allí almacenados. Esto podía ser una herramienta de recopilación de inteligencia de enorme valor. WhatsApp es una app de mensajería muy popular propiedad de Facebook que se utiliza en todo el mundo como alternativa a los mensajes de texto tradicionales. Y a diferencia de estos, sus mensajes están cifrados, lo que dificulta en gran medida que los gobiernos los intercepten. Este software en Al-Moazin podía sortear parte de esa dificultad y ver qué tipo de archivos compartían los usuarios por WhatsApp—fuesen memes de gatos, pornografía, secretos de Estado o propaganda terrorista.”

… TikTok…

“Los funcionarios de seguridad nacional siguen preocupados por TikTok porque Estados Unidos participa en la misma práctica: recopilar datos a través de apps a gran escala para proyectar poder nacional.”

“TikTok ofrece múltiples formas para que un adversario como China cause problemas. Por un lado, a través de una red social como TikTok, China puede recopilar enormes cantidades de datos conductuales sobre los estadounidenses. Puede entender sus filias, fobias, preferencias, hábitos y rutinas. Las redes de amigos y los círculos sociales también pueden recopilarse a través de TikTok mapeando quién sigue a quién y quién interactúa con quién. Finalmente, los estadounidenses están subiendo una gran cantidad de datos biométricos—sus rostros, por ejemplo—a estos servicios. Las agencias de inteligencia y orden público de EE.UU. extraen datos faciales de redes sociales, así que es difícil imaginar que China no haga lo mismo con su acceso sin precedentes a todos los datos que fluyen por su país. Finalmente, TikTok tiene una enorme influencia en la opinión pública global y en el discurso online.”

Muuy buena semana.

Jorge García Herrero

Abogado y Delegado de Protección de Datos