Carta del senador Wyden confirma que la NSA está comprando datos de estadounidenses a data brokers
(techdirt.com)- Documentos publicados por el senador Ron Wyden revelaron la compra de historiales de internet por parte de la NSA, registros que pueden exponer qué sitios web visitan los usuarios y qué apps usan
- Wyden pidió que las agencias de inteligencia dejen de comprar datos personales de estadounidenses a data brokers, y que solo se permitan ventas legales de datos que cumplan con los criterios de la FTC
- La NSA negó comprar o usar datos de ubicación recopilados desde celulares dentro de EE. UU., pero reconoció que compra y usa datos comerciales de netflow sin contenido sobre comunicaciones de internet domésticas y comunicaciones extranjeras que incluyen IPs de EE. UU.
- La divulgación de esta información tardó casi 3 años, y solo fue aprobada después de que Wyden bloqueara la nominación del candidato a director de la NSA
- La compra de datos personales por parte del gobierno a través de data brokers puede eludir los requisitos de tribunales y órdenes judiciales, debilitando la privacidad de los estadounidenses y los controles sobre la vigilancia doméstica
Confirmada la compra de historiales de internet por parte de la NSA
- Documentos publicados por el senador Ron Wyden confirmaron que la NSA compra historiales de internet de estadounidenses
- Estos historiales de internet pueden revelar qué sitios web visita un usuario y qué apps utiliza
- En una carta enviada a Avril Haines, directora de Inteligencia Nacional, Wyden pidió adoptar una política que impida a las agencias de inteligencia comprar datos personales de estadounidenses obtenidos ilegalmente a través de data brokers
- Wyden afirmó que “el gobierno de EE. UU. no debería financiar ni legitimar una industria turbia que viola abiertamente la privacidad de los estadounidenses”
Los data brokers crean una vía para eludir órdenes judiciales
- La compra de datos domésticos por parte del gobierno a data brokers ya ha ocurrido de forma repetida
- Agencias federales y fuerzas policiales locales han comprado datos domésticos provistos por empresas privadas, lo que puede funcionar como una forma de eludir las restricciones establecidas por la Corte Suprema
- El gobierno considera que puede aplicar la doctrina de terceros (Third Party Doctrine), pero muchas apps y servicios recopilan datos sin que los usuarios sean plenamente conscientes de ello
- Incluso un juego móvil aparentemente simple puede consultar la ubicación del celular y vincularla con un ID de dispositivo específico
- Este tipo de recopilación puede estar escondida en lo profundo de los términos de servicio
El proceso de divulgación de Wyden y sus exigencias
- Wyden señaló que tardó casi 3 años en obtener la aprobación para divulgar información sobre la compra de metadatos de internet domésticos por parte de la NSA
- En marzo de 2021, el Departamento de Defensa entregó información en respuesta a una solicitud del equipo de Wyden para identificar qué componentes del Departamento compraban datos personales de estadounidenses
- Luego, en mayo de 2021, Wyden solicitó autorización para divulgar información no clasificada, pero el Departamento de Defensa la rechazó
- Solo después de que Wyden bloqueara la nominación del candidato a director de la NSA, se aprobó la divulgación de esa información
- La carta de Wyden exige a cada componente de la comunidad de inteligencia (IC) lo siguiente:
- Iniciar una investigación sobre la compra de datos a data brokers
- Una investigación de la FTC sobre las prácticas comerciales de los data brokers
- Proporcionar una lista de datos personales comprados a data brokers
Lo que la NSA negó y lo que reconoció
- En una carta enviada a Wyden en 2023, la NSA afirmó que no compra ni usa, con o sin orden judicial, datos de ubicación recopilados desde celulares que se sabe que se usan dentro de EE. UU.
- Esta negación se limita a datos de ubicación y no niega en su totalidad la compra de historiales de internet que preocupaba a Wyden
- En la misma carta, la NSA reconoció que compra y usa datos comerciales de netflow sin contenido
- Datos relacionados exclusivamente con comunicaciones de internet domésticas
- Datos relacionados con comunicaciones de internet en las que una parte es una dirección de protocolo de internet de EE. UU. y la otra está en el extranjero
- Este reconocimiento muestra que el alcance de la vigilancia doméstica de la NSA podría ampliarse a través del mercado de data brokers
Section 702 y preocupaciones sobre vigilancia doméstica
- La NSA ya es conocida como una agencia capaz de barrer “inadvertidamente” datos y comunicaciones de estadounidenses mediante la recopilación bajo Section 702
- También se menciona el contexto de que el FBI ha abusado repetidamente de Section 702 para vigilancia doméstica
- En esta situación, queda la duda de si la NSA realmente necesita comprar datos por separado a data brokers
- El foco de la crítica está en que la NSA parece recopilar más no por una necesidad demostrada de seguridad nacional, sino porque apareció una vía para hacerlo
- Si la compra de datos de estadounidenses a través de data brokers se consolida como parte del trabajo rutinario del gobierno, será más difícil ejercer un control real sobre las facultades de vigilancia
1 comentarios
Opiniones de Hacker News
Que el gobierno acceda a información de ciudadanos sin causa probable, incluso mediante compra, parece ir en contra del espíritu de la Cuarta Enmienda, aunque quizá no de su letra. En la era moderna se puede recopilar una enorme cantidad de información sobre una persona sin “registro ni incautación”, así que parece necesario actualizar la Cuarta Enmienda a los tiempos actuales mediante una reforma constitucional. La recolección de datos es uno de los temas más importantes de nuestra época, pero creo que la mayoría estaría de acuerdo al menos en que el gobierno no debería poder eludir legalmente nuestros derechos usando nuestros impuestos o deuda.
No entiendo muy bien por qué resulta mucho más polémico que las agencias compren datos disponibles comercialmente. Me parece que el problema mayor es, para empezar, que esos datos se recolecten y estén disponibles para cualquiera que pague.
En el artículo se decía sobre la NSA: “si tiene suficiente capacidad para hacer vigilancia interna y de hecho la hace con frecuencia, ¿por qué comprar lo que podría obtener de forma más legítima con su propia red de recolección masiva, arriesgándose a exponer algunas de sus técnicas de recolección?”. Pero no creo que la NSA tenga que preocuparse de que sus adversarios aprendan la técnica de intercambiar dinero por información. Hackear a los intermediarios de datos tendría más probabilidades de exponer técnicas propias.
Ojalá en Estados Unidos hubiera protección de la privacidad al estilo de la UE. El sistema de la UE no es perfecto, pero aun así quisiera que existiera aquí. Según entiendo, un solo senador, Chuck Schumer, está bloqueando en comisión un proyecto significativo de protección de la privacidad. Parece una bola de demolición unipersonal contra la privacidad. Leí en algún lado que sus dos hijas tienen empleos muy bien pagados en empresas como Meta y Microsoft, creo. El punto es que, si la protección de la privacidad fuera más fuerte, también habría menos información que las empresas pudieran vender.
Aunque perjudique los derechos civiles, no se puede dejar que las agencias no vigilen en absoluto a los intermediarios comerciales de datos. Al menos deberían poder estimar y prevenir el riesgo de actividad delictiva dentro del país.
El problema es que se trata de la NSA La NSA no es una agencia que investigue a ciudadanos estadounidenses, sino que debería encargarse de la inteligencia de señales en el extranjero. Si el FBI o la CIA hicieran algo así, sería bastante esperable, y ni siquiera estoy seguro de que esté mal. Al menos es difícil verlo como algo peor que otros actores que compran datos con fines publicitarios.
Es difícil imaginar que alguien se enoje solo por esto y no por el hecho de que, para empezar, los data brokers puedan vender toda esta información
No termino de entender cómo los datos se conectan con una persona específica del mundo real Tomemos mi auto como ejemplo: el auto es mío, pero si tú lo manejas y excedes la velocidad, la multa te llega a ti. Con los datos pasa algo parecido: puede ser cierto que esta publicación haya sido subida desde un dispositivo del mundo real registrado a mi nombre, pero eso no significa que la haya usado yo, la persona real.
Facebook también hizo este tipo de cosas Compró todos los datos de sitios web que podía comprar, y como sabía que podía usarlos para campañas publicitarias, convirtió la compra de datos en algo rentable. Si el gobierno de Estados Unidos o sus agencias de inteligencia hacen lo mismo, me pregunto si se puede llamar a eso “ilegal” o incorrecto. Si lo hicieron usando ampliamente poderes gubernamentales, sería una violación de la ley, pero están comprando algo que ya está disponible.
Lo irónico es que no fue China ni Rusia quien hizo esto No sé por qué parece haber mucho menos enojo, o casi ninguno, cuando lo hace una agencia del propio país.