Un corredor de datos vende información de vuelos a la Oficina de Aduanas e ICE de Estados Unidos

 (eff.org)
1 puntos por GN⁺ 2025-07-15 | 1 comentarios | Compartir por WhatsApp
  • Los corredores de datos venden información personal relacionada con vuelos a la Oficina de Aduanas y Protección Fronteriza de EE. UU. (CBP) y al Servicio de Inmigración y Control de Aduanas (ICE)
  • Recientemente se reveló que Airlines Reporting Corporation (ARC) recopila registros de viajeros y los comparte con agencias gubernamentales
  • La información se vende sin el consentimiento de los usuarios, lo que genera problemas de privacidad y de evasión de derechos constitucionales
  • De forma similar, también se recopilan y entregan a las fuerzas del orden datos sensibles de ubicación, historial de uso de internet y datos de servicios públicos
  • Para resolver este problema, crece la necesidad de una legislación sólida de privacidad, como la ley Privacy First y la ley Fourth Amendment is Not For Sale

El problema de los corredores de datos y la venta de información personal

  • Durante mucho tiempo, los corredores de datos han aprovechado vacíos en las leyes de privacidad para recolectar información de los usuarios
  • Venden datos sensibles, como la ubicación, sin nuestro consentimiento, y entre sus principales clientes están las agencias de seguridad y aplicación de la ley
  • Este mercado de datos funciona de forma que cualquiera que recopile datos personales puede lucrar con ellos, lo que también lo hace atractivo para agencias gubernamentales que buscan evadir la ley

El caso de ARC y la venta de información de vuelos

  • Según revelaciones de 404 Media y otros medios, Airlines Reporting Corporation (ARC) es un corredor de datos propiedad de al menos ocho grandes aerolíneas de Estados Unidos y operado por ellas
  • Recopila listas de pasajeros, itinerarios completos de viaje y detalles de pago de datos sensibles de boletos aéreos provenientes de United Airlines, American Airlines y otras, y luego los vende en secreto a la CBP
  • Los corredores de datos incluso usan métodos para ocultar el origen de la información, impidiendo que las agencias gubernamentales revelen de dónde proviene
  • En otras palabras, permiten que el gobierno acceda a información sin procesos judiciales como una orden, y al ocultar la fuente también se agravan los problemas de invasión de la privacidad y evasión de derechos

Travel Intelligence Program (TIP) y su impacto

  • El Travel Intelligence Program (TIP) de ARC agrega más de mil millones de registros de viajes aéreos de un período de 39 meses, tanto pasados como futuros
  • En un informe interno, la CBP señaló que necesita esta información para ayudar a identificar personas de interés para la policía local y estatal
  • Sin embargo, en un contexto en el que dentro de Estados Unidos aumentan los controles migratorios y las detenciones e inspecciones irrazonables, crece el riesgo de que esta información extienda la sospecha incluso a viajeros inocentes

La influencia de ARC y la participación de las aerolíneas

  • A través de ARC se procesa más del 54% de la información de vuelos a nivel mundial, y en esta red participan más de 200 aerolíneas
  • En su junta directiva hay numerosos representantes de aerolíneas estadounidenses e internacionales, como JetBlue, Delta, Lufthansa, Air France y Air Canada
  • Al vender información sensible en grandes volúmenes a las agencias de seguridad y aplicación de la ley, las aerolíneas muestran una conducta que prioriza las ganancias por encima de la privacidad individual
  • De hecho, recientemente se hizo público que el ICE compró información personal de viajeros a ARC

Efectos e invasiones de privacidad

  • Aunque la libertad de movimiento es un elemento central de una sociedad democrática, corredores de datos como ARC están creando un entorno donde es posible rastrear en secreto el historial de viajes
  • En un momento en que en Estados Unidos crece el debate sobre la posibilidad de perjuicios legales por nacionalidad, religión o inclinación política, el uso de los datos de ARC podría derivar en abusos de poder por parte de las autoridades
  • Además de la información aérea, los corredores de datos también venden datos de ubicación de smartphones, datos del backbone de internet y registros de servicios públicos, ampliando aún más el alcance de la invasión a la privacidad

Exigencias de política pública y soluciones

  • En un momento en que las autoridades gubernamentales aumentan las medidas que debilitan las libertades y los derechos en las fronteras y otros espacios, esta recolección y venta masiva de datos genera una preocupación aún mayor
  • El caso de ARC refuerza la necesidad de leyes de privacidad que den prioridad a la privacidad, como Privacy First, y de legislar el principio de minimización en el tratamiento de datos corporativos
  • También se plantea la necesidad de aprobar la ley Fourth Amendment is Not For Sale para impedir que las agencias de seguridad y aplicación de la ley eludan la exigencia de una orden judicial comprando información a corredores de datos
  • Por último, también surge como tarea urgente una regulación que incluya el registro obligatorio de corredores de datos y mayores requisitos de transparencia

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-15
Opiniones en Hacker News

  • Mucha gente no entiende lo fácil que es construir este tipo de modelo de datos incluso sin acceso privilegiado a datos primarios. En 2012, un prototipo que hice mostró que era posible rastrear con bastante precisión y a gran escala el historial de vuelos de la mayoría de las personas solo con datos de redes sociales o de publicidad. Esto ha sido posible desde hace muchísimo tiempo. A grandes rasgos, el método consistía en filtrar en un grafo de entidades las aristas espacio-temporales de menos de 300 km/h o menos de 200 km de distancia. Con ese criterio se podía inferir si alguien “se subió a un avión” y también identificar el origen y el destino. Si además conectabas esas aristas con datos públicos de vuelos o con datos IoT de mantenimiento de motores a reacción, incluso podías hacer match con vuelos específicos. La mayoría pasa por alto cómo datos IoT industriales comunes pueden usarse para inferir relaciones en otros ámbitos. A veces había casos raros en los que podían encajar varios vuelos al mismo tiempo, pero si elegías la aerolínea principal usada en el pasado según el historial previo, casi siempre coincidía perfectamente. Era impresionante lo bien que funcionaba, y no necesitaba para nada datos primarios de aerolíneas ni análisis complejos. Al final, el tiempo y el espacio son la clave primaria del mundo real

    • Al escuchar la explicación de que “seleccionaron rutas con probabilidad de ser vuelos”, queda claro que el fondo del problema sigue siendo quién tiene desde el principio los 'datos espacio-temporales'. Al final no es muy distinto de decir “si tengo el historial de tus tarjetas de crédito, puedo saber cuándo, dónde y en qué tiendas estuviste”. Da escalofríos, pero lo verdaderamente grave es que ese acceso a los datos exista. Si alguien ya conoce toda tu ubicación aproximada por franjas horarias, esos datos espacio-temporales valen mucho más que tu historial individual de abordajes

    • Lo que me parece interesante es que la gente se preocupa porque puedan recopilar y abusar de todo tipo de información personal, pero en la mayoría de los casos lo único que hacen con ella es mostrarte publicidad más personalizada

    • ¿De dónde demonios se consiguen cosas como “datos IoT de mantenimiento de motores a reacción”?

    • Supongo que ICE necesita estos datos para rastrear cuándo y qué ciudades o países visitó una persona específica

  • Es interesante que a ARC lo describan simplemente como un “data broker”. En realidad, ARC e IATA funcionan como cámaras de compensación para el pago de boletos aéreos, además de mantener y supervisar sistemas del sector. Por naturaleza, los datos de transacciones fluyen hacia ellos, y luego generan ingresos vendiéndolos. Pero esto no es como otros brokers de datos que recolectan información externa para revenderla; aquí ellos mismos poseen datos primarios. La cuestión de fondo es si debería permitirse vender o compartir datos tan sensibles y no anonimizados, pero sí, son datos primarios en el sentido más fundamental. También vale la pena revisar esta explicación completa de la estructura de Airline Reporting Corporation

    • Esa explicación realmente no rebate el punto principal tratado en el artículo

  • La cantidad y el alcance de los datos que venden los brokers son muchísimo más grandes de lo que uno imagina. Aunque pienses en el peor escenario posible, la realidad probablemente sea diez veces peor

    • Un colega una vez lanzó un banner publicitario dirigido a una persona específica con el texto “¡Te dije que podía hacer hasta esto, amigo!” para demostrar el alcance real. La gente común casi no tiene idea de cuánto saben de ellos las agencias de publicidad y los data brokers

    • Alrededor de 2014, cuando trabajaba con reclutadores, vi herramientas que extraían información de la gente desde LinkedIn, Yelp, Twitter, GitHub, Eventbrite, etc. Ya en ese entonces era posible reunir un volumen enorme de información, suficiente para reconstruir más de 10 años de historial. Si colaboras con alguien como Palantir, parece perfectamente posible que el gobierno pueda incluso hacer análisis de estilo o perfiles psicológicos a partir de publicaciones en Reddit

    • Tengo una idea para un proyecto artístico que requiere este tipo de perfiles de datos; agradecería recomendaciones de buenas fuentes donde comprar esto barato. Es un proyecto tan grande que no sé ni por dónde empezar

    • Como alguien que trabaja en esta industria, mi impresión es que en realidad es “1000 veces peor”

    • Creo que la mayoría de los usuarios de HN casi no entiende cómo es realmente esta industria. Hay que replantear por completo la dirección del debate. La mayoría cree que como mucho Google vende sus datos personales, pero en realidad el ecosistema de datos es muchísimo más laxo en sus controles. Por ejemplo, es tan fácil como llamar y pedir el historial de transacciones con tarjeta de crédito de un dentista de barrio de 35 años, solo de esa persona, en el formato que quieras, y te lo entregan en un día

  • Sorprende lo bien escondido que está el mercado de datos. Montones de grandes empresas extraen y comercian datos todos los días, pero incluso en medio de tanto ruido sobre la “descentralización”, no existe un marketplace abierto de datos. Yo siempre he querido que aparezca un modelo donde hasta los datos abiertos de comportamiento puedan comprarse y venderse, y de hecho me gustaría que la gente dejara de ser solo un “producto” y pasara a proporcionar datos a las empresas a cambio de una compensación

    • En realidad no me parece que esté tan escondido. En 2021 hubo alguien que fue a la casa de otra persona para vengar un rencor de hace 50 años, y quedó grabado en CCTV cargando una carpeta de PeopleFinders. Lo sorprendente es que hasta organismos gubernamentales venden este tipo de datos

    • En vez de pensar en cómo exprimir más este modelo de ingresos, creo que lo correcto sería cerrarlo por completo y detenerlo

  • No entiendo por qué CBP e ICE tienen que comprar información a data brokers. TSA ya escanea el pase de abordar de todo el mundo de todas formas

    • Probablemente porque para acceder a los datos recolectados por TSA debe haber reglas y procedimientos estrictos, mientras que para comprar información equivalente a un broker casi no hay requisitos. Además, el origen de los datos puede no ser TSA sino aerolíneas, procesadores de pago y otros actores. La calidad de los datos del broker puede ser dudosa, pero el proceso es mucho más simple

    • Cuando trabajé en una agencia federal, incluso para recolectar tuits públicos tenía que documentar por qué eran necesarios, qué datos personales se almacenaban, cuánto tiempo se conservarían y cómo se eliminarían, y conseguir aprobación formal. Cosas que cualquier persona puede hacer un fin de semana dentro del gobierno requieren aprobaciones enormes. Y si además quisieras pedir datos a otra agencia, la carga política sería todavía más absurda. Ni siquiera con organismos aliados es fácil; de hecho, me aconsejaron que en reuniones evitara mencionar solicitudes de ese tipo a otras agencias porque solo generaban fricción. En cambio, si compras los datos a un broker, te ahorras toda esa complejidad

    • También puede ser porque TSA no reparte aprobaciones tan fácilmente. Es parecido a cuando la policía necesita una orden judicial para pedir datos del teléfono, pero una telefónica vende ubicación en tiempo real a terceros y luego la policía puede comprarla. Enlace de referencia

    • El gobierno usa a las empresas para esquivar la ley y la constitución, y las empresas usan al gobierno para esquivar la regulación. Es una dinámica de toda la vida

    • Más allá de los motivos regulatorios o legales, construir y coordinar dentro de una organización flujos de datos prácticos para que los distintos equipos los usen suele ser más difícil y más caro que comprarle la información a un broker que ya está optimizado para curarla, gestionarla y distribuirla. Aunque parezca absurdo, al final incluso pagando un sobreprecio los datos del broker resultan más cómodos y más confiables. El equipo técnico de TSA no tiene incentivos para etiquetar datos con metadatos ni gestionar SLAs. Un data broker sí los tiene siempre

  • yaelwrites/Big-Ass-Data-Broker-Opt-Out-List es una buena lista para empezar a darse de baja de data brokers. Eso sí, por ahora ARC no aparece en esa lista

  • Esto se sale un poco del tema, pero me da curiosidad si alguien tiene estimaciones aproximadas de cuánto dinero ganan realmente las empresas comunes (excepto las de publicidad) vendiendo datos de consumidores y patrones de comportamiento

  • Hace como dos meses también hubo una discusión relacionada en HN y otro hilo

  • Este caso resulta interesante porque en el pasado los brokers más tóxicos no tenían presencia comercial en la UE y por eso ignoraban las multas del GDPR, o simplemente asumían el riesgo si la ganancia era mucho mayor (como Clearview). Pero para empresas como las aerolíneas, con márgenes bajos en su negocio principal y grandes ingresos globales, violar el GDPR es mucho más grave. Si la aerolínea es la controladora de los datos, proveerlos a un broker podría ser ilegal de entrada, y además está muy expuesta en la UE, por lo que sería difícil evadir las sanciones. En el peor caso, un Estado miembro podría incluso embargar la aeronave o intentar prohibir todas sus operaciones. De hecho, hubo un caso real en el que Alemania embargó el avión de un príncipe tailandés. Artículo relacionado

    • Las aerolíneas parecen ser una fuente principal de datos, pero en realidad las fuentes son extremadamente variadas. El código de barras del pase de abordar contiene muchísima información, y no está cifrado sino simplemente codificado, así que basta con leerlo. Muchas empresas fabrican y venden lectores de código de barras, y en los aeropuertos hay muchos lugares donde se escanea: check-in, equipaje, duty free, lounges, etc. Esa información se puede acumular de muchas maneras. Los escáneres de pasaporte también se consiguen baratos, y los usan con frecuencia tiendas de aeropuerto o rentadoras de autos. Más recientemente, con el reconocimiento facial, incluso se puede abordar sin mostrar pase ni pasaporte. También es posible combinar datos auxiliares como reservas de Uber. Enlace detallado sobre el código de barras

  • Tengo curiosidad por saber qué tipo de información podría obtener, pagando, sobre mí mismo y sobre otras personas a través de un data broker. ¿Alguien sabe cómo se accede a uno de estos brokers de datos?