1 puntos por GN⁺ 2024-01-31 | 1 comentarios | Compartir por WhatsApp
  • Documentos publicados por el senador Ron Wyden revelaron la compra de historiales de internet por parte de la NSA, registros que pueden exponer qué sitios web visitan los usuarios y qué apps usan
  • Wyden pidió que las agencias de inteligencia dejen de comprar datos personales de estadounidenses a data brokers, y que solo se permitan ventas legales de datos que cumplan con los criterios de la FTC
  • La NSA negó comprar o usar datos de ubicación recopilados desde celulares dentro de EE. UU., pero reconoció que compra y usa datos comerciales de netflow sin contenido sobre comunicaciones de internet domésticas y comunicaciones extranjeras que incluyen IPs de EE. UU.
  • La divulgación de esta información tardó casi 3 años, y solo fue aprobada después de que Wyden bloqueara la nominación del candidato a director de la NSA
  • La compra de datos personales por parte del gobierno a través de data brokers puede eludir los requisitos de tribunales y órdenes judiciales, debilitando la privacidad de los estadounidenses y los controles sobre la vigilancia doméstica

Confirmada la compra de historiales de internet por parte de la NSA

  • Documentos publicados por el senador Ron Wyden confirmaron que la NSA compra historiales de internet de estadounidenses
  • Estos historiales de internet pueden revelar qué sitios web visita un usuario y qué apps utiliza
  • En una carta enviada a Avril Haines, directora de Inteligencia Nacional, Wyden pidió adoptar una política que impida a las agencias de inteligencia comprar datos personales de estadounidenses obtenidos ilegalmente a través de data brokers
  • Wyden afirmó que “el gobierno de EE. UU. no debería financiar ni legitimar una industria turbia que viola abiertamente la privacidad de los estadounidenses”

Los data brokers crean una vía para eludir órdenes judiciales

  • La compra de datos domésticos por parte del gobierno a data brokers ya ha ocurrido de forma repetida
  • Agencias federales y fuerzas policiales locales han comprado datos domésticos provistos por empresas privadas, lo que puede funcionar como una forma de eludir las restricciones establecidas por la Corte Suprema
  • El gobierno considera que puede aplicar la doctrina de terceros (Third Party Doctrine), pero muchas apps y servicios recopilan datos sin que los usuarios sean plenamente conscientes de ello
    • Incluso un juego móvil aparentemente simple puede consultar la ubicación del celular y vincularla con un ID de dispositivo específico
    • Este tipo de recopilación puede estar escondida en lo profundo de los términos de servicio

El proceso de divulgación de Wyden y sus exigencias

  • Wyden señaló que tardó casi 3 años en obtener la aprobación para divulgar información sobre la compra de metadatos de internet domésticos por parte de la NSA
  • En marzo de 2021, el Departamento de Defensa entregó información en respuesta a una solicitud del equipo de Wyden para identificar qué componentes del Departamento compraban datos personales de estadounidenses
  • Luego, en mayo de 2021, Wyden solicitó autorización para divulgar información no clasificada, pero el Departamento de Defensa la rechazó
  • Solo después de que Wyden bloqueara la nominación del candidato a director de la NSA, se aprobó la divulgación de esa información
  • La carta de Wyden exige a cada componente de la comunidad de inteligencia (IC) lo siguiente:
    • Iniciar una investigación sobre la compra de datos a data brokers
    • Una investigación de la FTC sobre las prácticas comerciales de los data brokers
    • Proporcionar una lista de datos personales comprados a data brokers

Lo que la NSA negó y lo que reconoció

  • En una carta enviada a Wyden en 2023, la NSA afirmó que no compra ni usa, con o sin orden judicial, datos de ubicación recopilados desde celulares que se sabe que se usan dentro de EE. UU.
  • Esta negación se limita a datos de ubicación y no niega en su totalidad la compra de historiales de internet que preocupaba a Wyden
  • En la misma carta, la NSA reconoció que compra y usa datos comerciales de netflow sin contenido
    • Datos relacionados exclusivamente con comunicaciones de internet domésticas
    • Datos relacionados con comunicaciones de internet en las que una parte es una dirección de protocolo de internet de EE. UU. y la otra está en el extranjero
  • Este reconocimiento muestra que el alcance de la vigilancia doméstica de la NSA podría ampliarse a través del mercado de data brokers

Section 702 y preocupaciones sobre vigilancia doméstica

  • La NSA ya es conocida como una agencia capaz de barrer “inadvertidamente” datos y comunicaciones de estadounidenses mediante la recopilación bajo Section 702
  • También se menciona el contexto de que el FBI ha abusado repetidamente de Section 702 para vigilancia doméstica
  • En esta situación, queda la duda de si la NSA realmente necesita comprar datos por separado a data brokers
  • El foco de la crítica está en que la NSA parece recopilar más no por una necesidad demostrada de seguridad nacional, sino porque apareció una vía para hacerlo
  • Si la compra de datos de estadounidenses a través de data brokers se consolida como parte del trabajo rutinario del gobierno, será más difícil ejercer un control real sobre las facultades de vigilancia

1 comentarios

 
GN⁺ 2024-01-31
Opiniones de Hacker News
  • Que el gobierno acceda a información de ciudadanos sin causa probable, incluso mediante compra, parece ir en contra del espíritu de la Cuarta Enmienda, aunque quizá no de su letra. En la era moderna se puede recopilar una enorme cantidad de información sobre una persona sin “registro ni incautación”, así que parece necesario actualizar la Cuarta Enmienda a los tiempos actuales mediante una reforma constitucional. La recolección de datos es uno de los temas más importantes de nuestra época, pero creo que la mayoría estaría de acuerdo al menos en que el gobierno no debería poder eludir legalmente nuestros derechos usando nuestros impuestos o deuda.

    • Esto se remonta a la doctrina de terceros. La premisa es que, en el momento en que entregas datos a un tercero, ya no tienes una “expectativa razonable de privacidad”, por lo que no es un registro. Es parecido al precedente según el cual sigues teniendo derechos sobre el bote de basura pegado a tu casa porque aún está bajo tu control, pero renuncias a esos derechos en cuanto lo dejas en la calle para que lo recoja el camión. No digo que esto sea bueno; de hecho no me gusta, pero así funciona actualmente la jurisprudencia en EE. UU. Para cambiarlo, el Congreso tendría que crear una nueva ley o habría que enmendar la Constitución, y las ideas sobre “cómo debería ser” tienen poco peso si no están respaldadas por la ley.
    • Creo que gran parte de esta recolección y uso de datos equivale, en la práctica, a registro e incautación. La diferencia es que lo hacen empresas privadas y no el gobierno, y personalmente me parece incluso peor que si solo lo hiciera el gobierno.
    • Por desgracia, la Cuarta Enmienda se interpreta de forma bastante estrecha. Sería bueno tener una cláusula adicional que establezca un derecho a la privacidad más específico. Impedir registros “ilegales” significa, al final, tener que llegar a un tribunal después de los hechos, así que es casi inútil. Siento que la Cuarta Enmienda tiene apenas alrededor del 10% de la fuerza que debería tener.
    • Que otra persona le entregue voluntariamente a la policía información sobre ti ha sido legal desde hace mucho, sin importar si esa persona maneja un negocio o no. Ahora mismo puedo llamar a la policía y decirles que lumb63 comentó en HN el 2024-01-30T14:14:13, y si sé información más detallada también puedo decírsela. La policía puede escuchar legalmente. Puedo contar cualquier cosa que sepa sobre alguien; no veo por qué eso debería ser ilegal. Esta situación no tiene que ver con la Cuarta Enmienda, que es una disposición para impedir que el gobierno tome información por la fuerza.
    • Los “derechos”, incluso los que están en la Carta de Derechos, son pisoteados todos los días. Intenta cruzar una frontera estatal con un arma oculta, o decirle a un policía K-9 que no puede registrar tu auto después de que un perro detector reaccione, o difundir palabras consideradas ofensivas invocando la libertad de expresión. No existen los “derechos” como tal; solo existe aquello que una persona puede defender en el lugar y momento actuales.
  • No entiendo muy bien por qué resulta mucho más polémico que las agencias compren datos disponibles comercialmente. Me parece que el problema mayor es, para empezar, que esos datos se recolecten y estén disponibles para cualquiera que pague.

    • Se pueden pensar varias posibilidades. Primero, para una persona común, que las empresas tengan esta información ya es algo intrínsecamente problemático. Segundo, las agencias compran esta información con dinero de los contribuyentes, así que estamos alimentando un mercado con el que quizá no estamos de acuerdo. Tercero, las agencias gubernamentales tienen reglas, y si las eluden o buscan vacíos legales, eso afecta negativamente la confianza en ellas. Cuarto, y quizá lo más importante, las agencias gubernamentales tienen autoridad y poder para hacer cosas que las empresas privadas no pueden. Pueden iniciar investigaciones, recibir asesoría legal de fiscales, presentar cargos, emitir órdenes judiciales, citar a comparecer, arrestar y detener; todo eso es invasivo, costoso y puede derivar en muchas consecuencias negativas, desde gastos de abogados hasta prisión.
    • El gobierno tiene el monopolio de la violencia, por lo que debe regirse por reglas distintas y más restrictivas. No sé cuál sea la situación legal de que la NSA compre datos privados, pero se siente contrario al espíritu de las leyes que dicen que no debe vigilar a sus propios ciudadanos.
    • Lo que hace especial al gobierno es su amplio poder para crear leyes que afectan a todos. Por ejemplo, el “el Congreso no hará ley que limite la libertad de expresión” de la Primera Enmienda se aplica al gobierno, pero no a una regla que prohíba decir groserías en un salón de tercero de primaria. Puede ser razonable que un grupo privado prohíba cierta expresión, porque si no te gusta puedes irte a otro lado; pero en el ámbito de la ley y de la acción gubernamental hay que ser mucho más cuidadosos. El gobierno es el único actor de la sociedad que monopoliza el uso de la fuerza, y un gran poder debería implicar una gran responsabilidad.
    • El gobierno puede usar información para procesar penalmente a una persona, pero una empresa no. Además, por la inmunidad soberana y la inmunidad de los funcionarios públicos, el gobierno responde mucho menos que una empresa por conductas maliciosas.
    • Una empresa privada no puede mandarte a la cárcel ni quitarte libertades básicas sin la bendición del gobierno, pero el gobierno sí puede. La Carta de Derechos y la Constitución buscan, en general, protegerte de los abusos del gobierno, no de otros particulares; los problemas entre particulares se manejan sobre todo mediante leyes generales a nivel estatal y local. En Estados Unidos siempre ha existido esa distinción jurídica.
  • En el artículo se decía sobre la NSA: “si tiene suficiente capacidad para hacer vigilancia interna y de hecho la hace con frecuencia, ¿por qué comprar lo que podría obtener de forma más legítima con su propia red de recolección masiva, arriesgándose a exponer algunas de sus técnicas de recolección?”. Pero no creo que la NSA tenga que preocuparse de que sus adversarios aprendan la técnica de intercambiar dinero por información. Hackear a los intermediarios de datos tendría más probabilidades de exponer técnicas propias.

  • Ojalá en Estados Unidos hubiera protección de la privacidad al estilo de la UE. El sistema de la UE no es perfecto, pero aun así quisiera que existiera aquí. Según entiendo, un solo senador, Chuck Schumer, está bloqueando en comisión un proyecto significativo de protección de la privacidad. Parece una bola de demolición unipersonal contra la privacidad. Leí en algún lado que sus dos hijas tienen empleos muy bien pagados en empresas como Meta y Microsoft, creo. El punto es que, si la protección de la privacidad fuera más fuerte, también habría menos información que las empresas pudieran vender.

    • No veo qué tienen que ver sus hijas con ese punto.
  • Aunque perjudique los derechos civiles, no se puede dejar que las agencias no vigilen en absoluto a los intermediarios comerciales de datos. Al menos deberían poder estimar y prevenir el riesgo de actividad delictiva dentro del país.

    • Eso más bien parece una función. Los grupos de presión más grandes son los bancos y las organizaciones que usan ese tipo de intermediarios de datos. Como el gobierno los deja en paz, también puede usarlos, lo que se convierte en una forma de eludir la ley.
  • El problema es que se trata de la NSA La NSA no es una agencia que investigue a ciudadanos estadounidenses, sino que debería encargarse de la inteligencia de señales en el extranjero. Si el FBI o la CIA hicieran algo así, sería bastante esperable, y ni siquiera estoy seguro de que esté mal. Al menos es difícil verlo como algo peor que otros actores que compran datos con fines publicitarios.

    • No es del todo correcto La CIA es una agencia creada para recopilar inteligencia fuera de Estados Unidos, así que es la que menos motivos tiene para acceder a estos datos. El FBI es una agencia de aplicación de la ley, por lo que no puede tocar ni ver esos datos sin una orden judicial; de hacerlo, la recopilación de datos de muchos casos en curso podría quedar invalidada. La NSA está destinada a recopilar datos de comunicaciones que entran y salen de Estados Unidos. Hace décadas esta distinción era totalmente clara, pero hoy lo es menos. La recopilación de datos sobre estadounidenses puede no ser ilegal, dependiendo de qué se haga con esos datos. Lo que más quedó en evidencia con las filtraciones de Snowden fue que una amenaza interna abusó, para fines personales, de datos de la NSA recopilados sobre estadounidenses.
    • No sé qué significa exactamente extranjero en Internet No es que haya una línea clara entre pedazos de tierra; todo está en todas partes.
    • Que la NSA vigila masivamente a estadounidenses fue revelado por Snowden en 2013 En 2024 no hay excusa para sorprenderse.
  • Es difícil imaginar que alguien se enoje solo por esto y no por el hecho de que, para empezar, los data brokers puedan vender toda esta información

    • También es difícil imaginar que alguien no se enoje por ambas cosas a la vez Pero una es el resultado acumulado de decenas de miles de pequeñas violaciones de consentimiento cometidas por cientos o miles de actores inmorales y en gran medida anónimos. La otra es una violación constitucional enorme y descarada cometida por una organización gubernamental que los ciudadanos financian para que los proteja y les sirva. Ambas deberían recibir los castigos más severos.
  • No termino de entender cómo los datos se conectan con una persona específica del mundo real Tomemos mi auto como ejemplo: el auto es mío, pero si tú lo manejas y excedes la velocidad, la multa te llega a ti. Con los datos pasa algo parecido: puede ser cierto que esta publicación haya sido subida desde un dispositivo del mundo real registrado a mi nombre, pero eso no significa que la haya usado yo, la persona real.

    • Piensa en una dirección IP pública La geolocalización puede asociar una dirección IP con rangos imprecisos como un país o con zonas más precisas como una ciudad. Si combinas una ubicación aproximada con algunos otros datos, puedes reducir mucho los candidatos del mundo real que corresponden a una cuenta específica [1]. Según un estudio importante, con solo tres atributos se puede identificar de forma única al 87% de la población de Estados Unidos, y otro estudio dice que con solo esos tres datos se puede identificar de forma única al 63% de la población estadounidense. Si tienes mucha actividad en línea, incluso la forma en que otros usuarios te llaman en algún sitio web puede revelar tu género o edad. Si un sitio web recopila género o fecha de nacimiento, también podría compartir o vender esa información a data brokers. Si la policía reduce la ubicación de una actividad en línea potencialmente problemática a un hogar, puede presentarse físicamente con una orden judicial y preguntar quién estaba usando qué computadora dentro de la casa en ese momento. [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • Es una forma de hacer correlación entre varias señales, y se explica aquí: https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebook también hizo este tipo de cosas Compró todos los datos de sitios web que podía comprar, y como sabía que podía usarlos para campañas publicitarias, convirtió la compra de datos en algo rentable. Si el gobierno de Estados Unidos o sus agencias de inteligencia hacen lo mismo, me pregunto si se puede llamar a eso “ilegal” o incorrecto. Si lo hicieron usando ampliamente poderes gubernamentales, sería una violación de la ley, pero están comprando algo que ya está disponible.

  • Lo irónico es que no fue China ni Rusia quien hizo esto No sé por qué parece haber mucho menos enojo, o casi ninguno, cuando lo hace una agencia del propio país.

    • Porque tus impuestos no van al aparato de vigilancia de China Que ellos te vigilen es esperable; ese es su trabajo. Nuestro país ha dicho, al menos en apariencia, que se diferencia de ellos en que no trata a sus ciudadanos como enemigos, aunque solo hasta cierto punto.