Tu smartphone te delata: asà siguen tus pasos las empresas y las agencias de inteligencia
No es un caso aislado: la monitorización es masiva
Rory Byrne, experto en seguridad y responsable de SecurityFirst, trataba de explicar cómo funcionan los sistemas de recolección de datos en ese aeropuerto, pero sobre todo exponÃa que la situación no es un caso aislado, y recordaba casos como uno de los aeropuertos de Canadá en los que los documentos de Edward Snowden dejaron claro que también se aprovechaban estas técnicas para hacer un seguimiento masivo de los viajeros.
Como afirmaba Byrne, "si soy un pasajero, quiero saber cómo se usan mis datos", y esa transparencia es prácticamente inexistente. En el reportaje que apareció en el Irish Independent hace unos dÃas los responsables del aeropuerto de DublÃn sà explicaban que se utilizan estos sistemas "para asegurar que los pasajeros no pasan más de media hora en las colas de los controles de seguridad". En sus preguntas a esos responsables, Byrne recibÃa una respuesta poco clarificadora: "no se recolectan datos personales. Los datos solo se asocian a la existencia de un dispositivo con la conectividad WiFi habilitada. No a su propietario".
Será mucho más fácil que tu jefe (o tu marido/mujer) o tu compañÃa de seguros sepa exactamente dónde estás [...], y aquellos que requieran protección y privacidad en su trabajo, por ejemplo un trabajador social que se cite con una vÃctima o un periodista que se cite con una fuente tendrán más posibilidades de dejar una huella digital que ponga en peligro a esas personas.
Bienvenido al maravilloso mundo del MLA
La llamada Mobile Location Analytics (MLA) es conjunto de técnicas que están orientadas teóricamente a comerciantes que pueden lograr informes sobre la actividad de los clientes en base a la recolección de las direcciones MAC WiFi y Bluetooth.
Esos doce dÃgitos que identifican a cada chipset WiFi y Bluetooth en nuestro teléfono son como la huella dactilar de dichos dispositivos: los identifican de forma única e inequÃvoca, y es posible recolectar esas direcciones MAC para que cualquier empresa, entidad (o persona) pueda saber qué dispositivos pasan por ciertos sitios, en qué momentos, y cuál es la duración de esa "visita".
En esa recolección de datos solo se transfiere la dirección MAC de nuestro chip WiFi o Bluetooth, sin más. No hay números de teléfono ni correos electrónicos asociados a nuestros dispositivos que se transfieran como parte de esa recolección de datos. Lo que sà se puede deducir a partir de esa información es el fabricante de nuestro dispositivo, ya que a cada uno se le conceden cierto rango de direcciones MAC.
El objetivo de esa recolección es según las compañÃas que lo utilizan el de "entender mejor la experiencia de cliente", de forma que se puedan extraer datos sobre cuáles son las zonas de la tienda más visitadas, cuánto tiempo esperamos en la cola, o si es posible mejorar potenciales planes de evacuación. Todos buenos argumentos que no dan respuesta a algo inexcusable:
Que no tenemos ni idea de que lo están haciendo. Nadie nos está avisando.
¿Cómo evitar esa recolección de datos?
Existen, eso sÃ, algunos Códigos de Conducta para el MLA (PDF) en el que las compañÃas que lo firman renuncian a la recolección de esos datos en los dispositivos que hacen el "opt-out" (baja) de estos sistemas.
La MAC se almacena sÃ, pero solo con el objetivo de descartarla en caso de formar parte de algún informe, y hay disponible un formulario que permite que cualquiera pueda encontrar la dirección MAC WiFi y la MAC Bluetooth de sus dispositivos para añadirla a esa baja de estos sistemas de recolección.
La forma más sencilla de evitar este tipo de recolección de datos es no obstante simple: tendremos que desactivar la conectividad WiFi o la Bluetooth en nuestros smartphones -u otros dispositivos móviles y aquà hay que tener en cuenta a los smartwatches-, algo que lógicamente tiene una contrapartida importante: la de que no podremos acceder a parte de las prestaciones y funcionalidades de estos dispositivos.
De hecho desactivar esa conectividad no nos libra de ese asalto a nuestra privacidad, y hay otras muchas formas de hacer un seguimiento de los usuarios. Ocurre desde luego con las cámaras de videovigilancia que encontramos en centros comerciales, aeropuertos, estaciones de trenes y otros muchos establecimientos públicos que eso sÃ, tienen la obligación de mostrar advertencias de la existencia de esas cámaras.
Pero también hay métodos menos conocidos como el uso de los llamados IMSI-catchers (International Mobile Subscriber Identity), dispositivos que permiten espiar la actividad telefónica e interceptar el tráfico de datos y voz de estos dispositivos y su geolocalización. Un buen ejemplo de este tipo de soluciones es Stingray, ese desarrollo utilizado por el FBI y por los cuerpos de seguridad en Estados Unidos que como se ha demostrado sà puede ser utilizado para luchar contra el crimen.
Y luego estamos los usuarios, por supuesto, que instalamos numerosas aplicaciones en nuestros smartphones y no prestamos atención a los permisos que concedemos a esas aplicaciones. En Android la cosa es especialmente llamativa y tenemos un buen ejemplo con lo que ocurrió con el escandaloso problema en Swype, que registraba nuestra localización 4.000 veces al dÃa, pero en iOS no están exentos de estos problemas, y lo demostró recientemente Facebook.
Pero es que a esas aplicaciones que recolectan la información de forma poco transparente se unen las que lo hacen como parte de su funcionalidad. La localización pasiva de la que hablábamos el año pasado ha sido durante años el pilar de servicios como Foursquare, y que también ha derivado en la llamada localización ambiental en las que la aplicación nos conecta a usuarios que están cerca de nosotros y con los que tenemos intereses comunes. Aquà hay ejemplos como Highlight, Sonar o Banjo, pero desde luego la más conocida es probablemente Tinder, esa aplicación de ligoteo que se convirtió en un fenómeno de la movilidad con rapidez.
Asà pues, aunque es evidente que no podemos controlar todos los parámetros que permiten tratar de espiarnos -eso nos convertirÃa en Quijotes digitales- sà que podemos tratar de tener algo de sentido común y cuidar y mimar nuestra privacidad.
En Android 6.0 Marshmallow han aparecido los controles finos de permisos para las aplicaciones -lástima que esas mejoras vayan a tardar en llegar a los usuarios muchos meses-. Obviamente tenemos también la capacidad de no instalar y usar aquellas aplicaciones que abusen de esos permisos.
Pero además podemos acceder a terminales que precisamente tratan de darnos aún más garantÃas en estos temas. El Blackphone es el ejemplo más claro de esa ambición por la privacidad y la seguridad, y aunque está más orientado a usuarios empresariales -hace poco se ha lanzado el Blackphone 2-, sus prestaciones son útiles para todo tipo de usuarios. Nos toca mover ficha.
En Xataka | Localización del usuario en el móvil: Tres exigencias para fabricantes y operadoras