1 puntos por GN⁺ 2023-10-23 | 1 comentarios | Compartir por WhatsApp
  • Mientras EE. UU. sigue sin una ley federal integral de privacidad, los datos personales recopilados por apps móviles terminan pasando por la industria de la publicidad dirigida y convirtiéndose en herramientas de vigilancia estatal
  • El gobierno puede comprar y acceder a datos de usuarios que normalmente requerirían una orden judicial o una orden de cateo a través de brokers de datos, lo que borra la frontera entre la vigilancia corporativa y la vigilancia del poder público
  • Una investigación de The Wall Street Journal reveló que Near Intelligence compró datos de más de mil millones de dispositivos a brokers de datos publicitarios y firmó acuerdos para que esos datos llegaran a agencias militares y de inteligencia federales a través de contratistas del gobierno
  • Los datos de ubicación pueden usarse para rastrear a participantes en protestas, visitantes de instalaciones específicas y contactos entre periodistas y denunciantes, lo que amplía el riesgo más allá de la invasión de privacidad hacia represalias y falsos positivos
  • La solución pasa por aprobar la Fourth Amendment is Not For Sale Act, que impediría al gobierno comprar datos que no podría obtener sin orden judicial, además de una ley integral de privacidad de datos del consumidor

Cómo los datos publicitarios se convierten en vigilancia gubernamental

  • En EE. UU. no existe una legislación federal integral sobre privacidad, y la industria de la publicidad dirigida funciona sobre la base de datos personales recopilados por apps móviles
  • El punto clave que debilita la frontera entre la vigilancia corporativa y la gubernamental está en la estructura de compra de datos
    • A menos que los datos estén completamente cifrados o que el usuario los almacene directamente en local, el gobierno puede obtenerlos de empresas de comunicaciones o de computación
    • Tradicionalmente se requería una orden judicial, pero ahora aumentan los casos en que el gobierno compra directamente los datos a brokers que los adquirieron en la industria adtech

El caso de Near Intelligence

  • Una investigación de The Wall Street Journal expuso la estructura de compraventa de datos de una empresa llamada Near Intelligence
  • Near Intelligence compra a brokers datos personales y de dispositivos que normalmente se venden a anunciantes
    • La empresa declaró haber comprado datos sobre más de mil millones de dispositivos
    • Firmó contratos con contratistas del gobierno, y esos datos fueron transferidos a agencias militares y de inteligencia federales
  • De esta manera, el gobierno puede comprar acceso incluso a datos de ubicación para los que normalmente tendría que presentar causa probable y obtener una orden
  • Muchos desarrolladores de apps para smartphones buscan vender los datos de los usuarios al mejor postor para generar ingresos, y entre los compradores puede estar el gobierno

El daño que puede causar el rastreo de ubicación sin orden judicial

  • La policía puede usar estas herramientas de vigilancia para identificar los dispositivos de personas que asistieron a protestas y luego seguirlas hasta sus casas mientras duermen, convirtiéndolas en objetivos de vigilancia adicional, hostigamiento o represalias
  • También es posible rastrear únicamente los dispositivos que estuvieron dentro de lugares específicos
    • oficinas de abogados de inmigración
    • clínicas de salud reproductiva
    • instalaciones de salud mental
  • Las reuniones secretas entre periodistas y sus fuentes denunciantes también pueden ser vigiladas con estas herramientas
  • También hay casos en que funcionarios de las fuerzas del orden han abusado de tecnologías de vigilancia por motivos privados y maliciosos

Zonas con sobrepoliciamiento y riesgo de falsos positivos

  • Este tipo de vigilancia vuelve más vulnerables a la sospecha policial a quienes viven o trabajan en zonas con fuerte actividad policial
  • Aunque alguien solo haya estado junto a una pizzería donde ocurrió un robo, o tomando un café cerca de un grafiti, puede ser clasificado como un dispositivo próximo a la escena del crimen y quedar sujeto a vigilancia adicional

Fog Data Science y la exigencia de legislación

  • El caso de Near Intelligence surgió un año después de que la EFF investigara a Fog Data Science
    • Fog Data Science era una empresa que daba a agencias estatales y locales de seguridad acceso a información de ubicación precisa y persistente de cientos de millones de estadounidenses
    • Estos datos fueron recopilados por apps de smartphones y luego agregados por brokers opacos de datos
    • El acceso es fácil y con frecuencia ocurre sin orden judicial
  • El vacío clave que el Congreso debe cerrar es la laguna de los brokers de datos
  • El Congreso y los gobiernos estatales también deben aprobar una ley integral de privacidad de datos del consumidor
    • Si las empresas recopilan menos datos de los usuarios, también se reducirá la cantidad de datos que el gobierno puede comprarles
  • Hace falta presión institucional para impedir que el gobierno eluda mediante compras la obligación de obtener por orden judicial información que originalmente la requeriría

1 comentarios

 
GN⁺ 2023-10-23
Opiniones de Hacker News
  • Estoy de acuerdo con la preocupación del artículo, pero me parece que también debería haber presión para impedir que las operadoras móviles vendan datos de ubicación.
    Señalar a los desarrolladores de apps para smartphones también tiene valor, pero los ISP pueden saber tu ubicación incluso sin un smartphone y, de hecho, por ley deben poder reportarla (https://en.wikipedia.org/wiki/Communications_Assistance_for_..., etc.).
    Me pregunto si la EFF considera que los intentos de frenar esto último por vía legislativa ya no tienen sentido.

    • Para nada. La EFF también hace mucho buen trabajo en esa dirección.
      https://www.eff.org/issues/cell-tracking
    • Exacto. Debería haber reglas para impedir la recopilación misma de esos datos.
      También habría que impedir que se bloqueen los dispositivos que la gente “posee” para que no puedan usar contramedidas.
      El uso privado de estos datos es tan preocupante como el uso gubernamental, quizá más. Al menos el Estado muchas veces tiene responsabilidad democrática.
    • Creé uno de los primeros sistemas de agregación de ubicación. Quizá haya sido el primero, aunque no podría asegurarlo.
      En ese momento mi empresa tenía una relación estrecha con las operadoras móviles de EE. UU. y principalmente les hacíamos apps de marca blanca bajo la idea de seguridad familiar. Sin embargo, muchos usuarios estaban más interesados en la ubicación de su cónyuge o pareja que en la de sus hijos.
      Más o menos por esa época apareció OAuth 1a, y pensé que sería buena idea aprovechar esa relación para ofrecer una plataforma que vendiera ubicación a desarrolladores de apps con consentimiento previo. También quería incluir muchas funciones de privacidad.
      Al final, solo un desarrollador de apps tuvo algo de éxito, y el futuro del producto desapareció cuando agregadores que se preocupaban menos por la privacidad se asociaron con la siguiente generación de desarrolladores. Es divertido recordarlo.
    • La frase que dice que, después de aprobarse CALEA, se amplió mucho hasta incluir todo el tráfico de VoIP e Internet de banda ancha suena como si las fuerzas del orden pudieran intervenir libremente cualquier llamada VoIP. Me pregunto cómo es posible en la práctica.
      Tengo entendido que una llamada VoIP normalmente hace sonar al destinatario con SIP (parcialmente protegido), luego ambas partes buscan la ruta más directa mediante ICE/STUN/TURN, y después intercambian el flujo de voz real.
      ¿El cliente simplemente no cifra el flujo de voz? ¿O la operadora intercepta todo después del primer salto SIP como si fuera un ataque de intermediario? Eso no parece encajar con una vigilancia de solo lectura que “envía una copia de los datos de red a una sonda IP dedicada mediante un tap de hardware o un puerto espejo de switch/router”.
    • También hace falta más educación sobre el riesgo de llevar encima un receptor GPS siempre encendido que transmite continuamente la ubicación a terceros.
      Puede sonar a culpar a la víctima. Aun así, existe la opción de apagar el teléfono.
  • También vale la pena tener en cuenta el concepto de AdInt. Se mencionó en https://www.theregister.com/2023/09/16/insanet_spyware/, y el funcionamiento se explica con más detalle en la investigación original del periódico israelí Haaretz: https://archive.ph/7dbaV.
    Ya se había publicado antes, pero solo tuvo 2 comentarios: https://news.ycombinator.com/item?id=37542097

  • Creo que esto va a terminar mucho peor de lo que la gente imagina.
    ¿Que las empresas se confabulen con el gobierno no es la definición de fascismo? Si es así, me parece que eso es exactamente lo que estamos viendo.

    • En términos clásicos es difícil llamarlo fascismo, pero probablemente sea acertada la intuición de que todo esto va a terminar mal.
      Después de las revelaciones de Snowden supimos que varios países venían acumulando vulnerabilidades y construyendo una brecha de poder digital que podían aplicar incluso a fines triviales.
      NSO Group demostró que en la práctica es posible infiltrarse silenciosamente en cualquier teléfono sin software adicional, y casos recientes como la investigación de asesinatos entre Canadá/India sugieren que incluso canales considerados seguros pueden terminar siendo interceptados.
      Es difícil siquiera imaginar hasta dónde pueden llegar hoy China o la NSA. Todavía hemos evitado una catástrofe, pero cada vez se siente más que las líneas de la vigilancia y el control de Internet ya quedaron trazadas. Aun así, me gustaría escuchar una defensa sólida de una interpretación más optimista.
    • Es la primera vez que escucho esa definición de “si el gobierno y las empresas se confabulan, entonces es fascismo”.
      Por lo general, el fascismo se define como nacionalismo autoritario, un líder dictatorial centralizado, militarismo, represión forzada de la oposición, subordinación de los intereses individuales en nombre de los intereses de la nación o la raza, y propaganda para sostener la creencia de que existen jerarquías sociales naturales.
    • Antes habría estado de acuerdo en que abusos como estos terminarían mal, pero después de las revelaciones de Snowden y Wikileaks vimos lo nihilistas y malvadas que pueden ser nuestras instituciones, y aun así casi nada cambió.
      El principal efecto de esas revelaciones fue el ascenso del populismo, pero aparte de perder la Casa Blanca por un mandato no hubo un impacto duradero, y esa reacción populista en la práctica fue sofocada.
      Si quieres generar cambios, quizá haya que intervenir cuando todavía solo hablan los márgenes “locos”, por ejemplo 25 años antes —o 25 años después—, para poder desviar la siguiente ola en otra dirección.
    • La vigilancia web actual parecerá modesta comparada con lo que viene.
      Cosas como Quest 3 y Apple Vision son apenas el comienzo; cuando todo el mundo camine usando dispositivos de AR, no habrá forma de salirse de la nube de puntos (point cloud).
      Estas empresas tendrán un grafo en tiempo real de dónde está cada persona y qué hace en los espacios públicos, incluso de quienes nunca hayan usado ninguno de sus servicios. Da miedo.
    • Yo diría que es casi lo contrario. En un gobierno fascista, el poder ejecutivo tendría en la práctica el control del mercado y de las empresas.
      Pero este movimiento parece más bien orientado a que las empresas controlen y reemplacen de facto al gobierno. Es la idea distorsionada del capitalismo de partes interesadas llevada a su conclusión natural.
  • La parte clave es: “Si los datos no están completamente cifrados o almacenados directamente en local, el gobierno puede obtenerlos de las operadoras de telecomunicaciones o de las empresas de cómputo. Tradicionalmente hacía falta una orden judicial, pero cada vez más los gobiernos simplemente se los compran a brokers de datos que los adquirieron de la industria de tecnología publicitaria”.
    Considero que la industria de tecnología publicitaria también incluye a Meta y Google. Pero algunos se enojan diciendo “Meta en realidad no vende tus datos” o “Google en realidad no vende tus datos”.
    Si estas empresas participan en este ecosistema y compran a brokers de datos, son tan malas como los propios brokers. Meta y Google no deberían fingir ser santos que no merecen críticas mientras ganan la mayor parte de su dinero con estas relaciones y hacen posible la vigilancia.

    • Lo más irritante es que el gobierno usa directamente estos servicios en sus propios sitios web.
      Por ejemplo, tanto dmv.ca.gov como irs.gov usan Google en todo el sitio.
      Cuando el gobierno toma a Google como solución para cosas como verificación de identidad o CAPTCHA, la estructura se cae.
  • Alguna vez escuché decir que “una democracia con tecnología avanzada es menos libre que una dictadura con tecnología primitiva”.

    • Quien dijo eso era un tonto. Debería leer sobre la vida en el antiguo Egipto, la España de la Inquisición, la Alemania nazi y la RDA.
      Eran tecnológicamente más atrasados que la Switzerland, New Zealand, Denmark, Estonia e Ireland actuales, pero no eran más libres [1].
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • No creo que mis datos personales sean algo que la FTC deba “proteger” o “regular”.
    La única legislación efectiva sería prohibir por completo todos los puntos de venta de datos de usuarios individuales sin consentimiento explícito del usuario (por ejemplo, aceptar cookies), pero eso nunca va a pasar.
    Y si esto es tan descarado, también me pregunto por qué todavía no ha habido demandas. El gobierno de Estados Unidos ya está sujeto a la Constitución y a la Cuarta Enmienda. No creo que haga falta una ley chapucera hecha por gente que ni siquiera sabe lo que está haciendo.