Su privacidad está en venta: La NSA espía a los estadounidenses comprando información a intermediarios de datos.
Los corredores de datos ganan millones vendiendo sus datos a los servicios de inteligencia y a las fuerzas del orden. El capitalismo de la vigilancia ya está aquí.
La distopía es ahora
El senador Ron Wyden ha publicado una carta y documentos desclasificados del director de la NSA, el general Paul Nakasone (Ejército de EE.UU.) y el contenido es condenatorio. La NSA admite abiertamente que recopila datos de ciudadanos estadounidenses comprándolos a empresas sospechosas de intermediación de datos. Esto significa que tanto los servicios de inteligencia como los organismos encargados de hacer cumplir la ley están gastando el dinero de los impuestos que tanto le ha costado ganar para obtener sus datos en línea de fuentes que, en primer lugar, no deberían tenerlos. El sector de los intermediarios de datos se compone de empresas turbias que venden tus secretos al mejor postor, una práctica comercial muy sucia, pero el hecho de que el gobierno de EE.UU. sea un cliente muy solicitado es repugnante e inaceptable. Wyden llega incluso a calificar esta práctica de ilegal a raíz de recientes casos judiciales contra importantes empresas de intermediación de datos.
Cada aplicación que abres, cada sitio web que visitas, cada mensaje que envías o cada llamada que haces se registra, se recopila y se organiza en un producto ordenado, y se vende como un colchón barato. Su identidad y su historial en línea se han convertido en mercancía y son un producto a la venta para las agencias de publicidad, además de la mirada vigilante del Tío Sam. El capitalismo de la vigilancia se ha convertido en una realidad en Estados Unidos, no sólo en las empresas privadas, sino también en el sector público.
Esto no es normal y no está bien.
Capitalismo de vigilancia
El término “capitalismo de vigilancia” fue introducido en el discurso dominante por la filósofa y científica social Shoshana Zuboff a través de una serie de artículos y artículos de opinión. Su enfoque señala a empresas de la web 2.0 como Google y Facebook como pioneras en la recopilación masiva de datos de usuarios y en su transformación en un producto que puede venderse. Esta vigilancia de la población por parte del mercado, una vez disponible para su compra, puede venderse a los servicios de inteligencia y a las fuerzas del orden como un vacío legal que técnicamente no se considera vigilancia nacional. Más bien, se trata simplemente de la compra de un conjunto de datos que, de otro modo, estaría a disposición de cualquiera que pudiera permitírselo.
Los usuarios finales de servicios como Google Search, Amazon o Facebook ven su comportamiento meticulosamente catalogado en bases de datos fáciles de consultar sin su pleno consentimiento informado. Al hacer clic en la casilla “Acepto los términos y condiciones” cuando crean nuevas cuentas o se registran en nuevas plataformas de redes sociales, los usuarios renuncian a sus derechos. Esto es, por supuesto, en el mejor de los casos por parte de los sitios web. Debido a la escasa o nula legislación de protección de la privacidad en Estados Unidos, especialmente en comparación con el GDPR de la UE, los ciudadanos no tienen ningún control sobre lo que ocurre con sus datos. En el caso de los corredores de datos, no están obligados a informar a las personas que pueden ser perfiladas por sus plataformas ni a revelar cómo recopilaron la información contenida en estos perfiles.
En el caso de algunos perfiles que pueden incluir cuentas de redes sociales, estos pueden recopilarse a partir de datos robados o filtrados de infracciones que no son información adquirida legalmente, sino que suelen hacerla pública los piratas informáticos. Una vez hechos públicos, las agencias de intermediación de datos los limpian y los reempaquetan para su venta. Esto no es más que la versión digital de vender un paquete nuevo que se ha caído del camión que circulaba delante de ti. Esta zona gris de las ventas le ha valido a esta industria una reputación poco brillante, pero la demanda de datos ha hecho que sea más fácil ignorar las 50 sombras de la vigilancia que están permitiendo.
Intermediarios de datos
Las empresas que recopilan y venden datos sobre personas, empresas u otra información disponible públicamente se denominan corredores de datos o corredores de información. Estas empresas tienen una amplia variedad de modelos y enfoques. Por ejemplo, los sitios web de búsqueda de personas como PeekYou tienen una reputación dudosa, mientras que las agencias de calificación crediticia como Experian están comúnmente aceptadas e integradas en el sistema financiero. Lo que estas empresas tienen en común es que recopilan y archivan todos los datos que caen en sus manos. Acxiom, otra empresa de análisis de datos, afirma poseer actualmente más de 2.500 millones de personas, casi un tercio de la población mundial.
El negocio de los macrodatos comenzó con el auge de las agencias de calificación crediticia en los años 50, pero explotó con el aumento de la disponibilidad de acceso a Internet. No pasó mucho tiempo antes de que los sitios de búsqueda de personas empezaran a ofrecer información pública recopilada por un módico precio. Al principio era similar a las entradas de una guía telefónica, pero la introducción de las empresas de medios sociales y la web2.0 cambió drásticamente la cantidad y el tipo de datos que se podían desechar. De repente, personas de todo el mundo rellenaban perfiles para plataformas de redes sociales cada vez más grandes, incluyendo sus cumpleaños, relaciones, imágenes e incluso números de teléfono móvil. Toda esta información fue vendida por empresas tecnológicas a intermediarios de datos. ¿Te has preguntado alguna vez cómo estas plataformas podían operar sus legiones de servidores sin exigirte que pagaras por su servicio? Esta era la magia detrás de la cortina. A cambio de lo que parecía nada, muchos de nosotros, adolescentes o adultos jóvenes por aquel entonces, lo entregábamos todo a cambio de un like.
No sólo las empresas estaban ansiosas por recopilar y vender información, sino también los servicios de inteligencia y las fuerzas de seguridad. Los casos judiciales llevaron a discusiones sobre el estatus legal del uso de este tipo de información para perseguir casos penales, permitiendo a menudo este acceso sin necesidad de una orden de registro. Durante mucho tiempo, estos casos se resolvieron a favor de las agencias gubernamentales en virtud de lo que se conoce como la Doctrina del Tercero.
La doctrina del tercero permite la vigilancia sin orden judicial
Cuando los argumentos legales comenzaron a llegar a las salas de los tribunales de todo Estados Unidos, un caso histórico llegó al Tribunal Supremo en relación con lo que las fuerzas del orden pueden y no pueden acceder sin una orden de registro. En el caso Smith contra Maryland, el tribunal dictaminó que el uso por parte de la policía de un pen register (un dispositivo que registra los números de teléfono marcados) para vigilar las llamadas de un sospechoso no se consideraba un registro y, por tanto, no requería que las fuerzas del orden obtuvieran primero una orden judicial. Tras esta decisión de 1979, este tipo de observación de clientes no constituía una violación de la Cuarta Enmienda, y no sólo eso, sino que también determinaron que los usuarios de un teléfono no tienen una expectativa razonable de privacidad porque estos datos serían registrados y almacenados por una compañía telefónica.
Este fue el nacimiento de la Doctrina del Tercero.
Casos como el de Smith contra Maryland han sido citados directamente por la NSA como justificación legal para su vigilancia y recopilación de datos de ciudadanos estadounidenses. En 2012 Maryland decidió en su día que los datos de localización de teléfonos móviles tampoco estaban protegidos por la Cuarta Enmienda, porque el uso de un teléfono móvil es voluntario y los usuarios no pueden esperar que esta información sea privada. Esta suposición recibió finalmente resistencia legal en el caso Carpenter contra Estados Unidos, en el que se dictaminó que, en contra de la doctrina de la tercera parte, el gobierno sí necesita una orden judicial para obtener datos de teléfonos móviles. El tribunal observó la relación simbiótica que existe ahora entre las personas y sus dispositivos, señalando que se han convertido en una extensión del cuerpo humano y concluyendo que “cuando el Gobierno rastrea la ubicación de un teléfono móvil consigue una vigilancia casi perfecta, como si hubiera colocado un monitor de tobillo al usuario del teléfono”.
¿Ha muerto la Cuarta Enmienda?
En una carta de respuesta al senador Wyden, el subsecretario de Defensa para Inteligencia y Seguridad, Ronald Moultie, afirma:
“No tengo conocimiento de ningún requisito en la legislación estadounidense o en la opinión judicial, incluida la decisión del Tribunal Supremo en el caso Carpenter contra Estados Unidos… que obligue al DoD a obtener una orden judicial para adquirir, acceder o utilizar información, como CAI, que está igualmente disponible para su compra para adversarios extranjeros, empresas estadounidenses y personas privadas como lo está para el Gobierno de Estados Unidos.”
Aquí radica el problema. Lo que están haciendo la NSA y el FBI es censurable, pero está legalmente permitido y no están obligados a obtener órdenes judiciales para realizar compras a intermediarios de datos. A menos que el Congreso de los Estados Unidos se doblegue y apruebe una legislación firme que restrinja la venta de datos personales de esta manera, nada cambiará. Si espera que esto ocurra de la noche a la mañana, no lo hará a menos que los ciudadanos cuya identidad se ha convertido en una carta de intercambio para las empresas de datos se levanten y exijan acciones legales. Esto es posible. América, ¡eres capaz de grandes cosas! Haz oír tu voz y lucha. No dejes que tu alma digital se venda al mejor postor. Puedes apostar a que si la NSA está comprando estos datos, otras agencias de inteligencia también lo están haciendo y tú puedes estar en el punto de mira por ello.
Hay que poner fin a la venta de datos personales por parte del sector de los intermediarios de datos.
El alegato final del Presidente del Tribunal Supremo Roberts en el caso Carpenter puede ser un rayo de esperanza para quienes desean mantener su privacidad frente a los invasivos intermediarios de datos y las hambrientas agencias de inteligencia. En su alegato final destaca las diferencias entre las primeras etapas de las telecomunicaciones y el papel siempre presente que desempeña la tecnología hoy en día: “A diferencia del vecino entrometido que vigila las idas y venidas, ellas [las nuevas tecnologías] están siempre alerta, y su memoria es casi infalible. Hay un mundo de diferencia entre los tipos limitados de información personal abordados en Smith […] y la crónica exhaustiva de información de localización recopilada casualmente por los operadores inalámbricos hoy en día”.
Necesitamos esta reforma. No podemos esperar que enfoques tecnológicos casi centenarios sean en modo alguno pertinentes para el leviatán digital que hemos desatado. Estas políticas deben reevaluarse bajo el asesoramiento y la dirección de expertos en los campos de la tecnología y la privacidad por igual. Esta causa la defiende la Electronic Frontier Foundation y, si quieres ayudar a proteger la privacidad, merecen tu apoyo. Mientras tanto, si busca un tratamiento seguro y privado para sus datos, debería empezar a buscar en otra parte.
Sus datos no están seguros en Estados Unidos
Con una protección limitada de sus datos en Estados Unidos, el mundo digital interconectado puede jugar a su favor permitiéndole almacenar su información de forma segura en la UE. La UE tiene protecciones de privacidad y datos mucho más fuertes gracias a las leyes GDPR. No solo eso, sino que hay múltiples grandes empresas respetuosas de la privacidad con sede en Europa cuyo enfoque es proteger su información de los ojos vigilantes de los corredores de datos y las agencias gubernamentales.
Si buscas un ancla segura para tu vida digital, tendrás que empezar por una cuenta de correo electrónico privada. Hemos creado una guía comparativa de proveedores de correo electrónico seguro y privado que puedes consultar aquí. Al emplear el cifrado de extremo a extremo, que protege tus datos de las escuchas antes de que salgan de tu dispositivo, puedes estar seguro de que el contenido de tus comunicaciones está a salvo.
Lo que recopila la NSA
Tras la publicación por Wyden de los documentos no clasificados de la NSA, podemos confirmar por su propia admisión que la NSA adquiere la siguiente información disponible para el consumidor sobre los estadounidenses:
- Información asociada a dispositivos electrónicos utilizados fuera y, en ocasiones, dentro de Estados Unidos.
- Compra y utiliza datos de flujo de red disponibles comercialmente relacionados con comunicaciones nacionales por Internet y comunicaciones en las que una de las partes se encuentra en el extranjero. Esto incluye registros DNS que pueden estar presentes en productos de intermediación de datos.
- No compra datos de localización de teléfonos que se sabe que se utilizan en Estados Unidos, con o sin orden judicial.
- No compra datos de localización de vehículos que se sabe que se encuentran en EE.UU.
Las conexiones VPN no son seguras
Mediante la recopilación de datos de flujo de red, los servicios de inteligencia y las fuerzas de seguridad son capaces de descifrar el tráfico de Internet, incluso si el tráfico se canaliza a través de una VPN. Esto significa que esconderse detrás de una VPN por sí solo no le proporcionará un anonimato completo cuando navegue por Internet o se conecte a sus aplicaciones favoritas. Esto no significa que una VPN sea totalmente inútil, pero su capacidad para protegerle es más limitada de lo que los proveedores de VPN quieren hacer creer. Es casi imposible evitar por completo que tu ISP recopile datos, a menos que empieces a construir tu propia infraestructura. Incluso el uso del navegador Tor revela a su ISP que está utilizando Tor, a pesar de que el contenido de su tráfico de red está encriptado.
La UE ofrece seguridad y tranquilidad para sus datos
Un primer gran paso es tratar de trasladar la mayor parte de su vida digital a países que tengan leyes de privacidad más estrictas. Por supuesto, no podrá empezar a utilizar un proveedor de servicios de Internet con sede en Alemania si vive en Iowa, pero si elige proveedores de servicios que ofrezcan cifrado de extremo a extremo por defecto y tengan una política de cero registros, puede estar seguro de que, al menos, hay muy pocos datos vinculados a usted. En Tuta, no rastreamos ninguna información IP de inicio de sesión que pueda vincularse a usuarios individuales, ni registramos la actividad de las cuentas. Si le preocupa su privacidad, dar el salto a empresas ubicadas en la Unión Europea es una obligación. Tuta está a punto de lanzar un nuevo estándar de enc riptación que puede proteger tus datos contra la amenaza de los ordenadores post-cuánticos, que serían capaces de romper rápidamente los estándares de encriptación utilizados actualmente. Con el despliegue del cifrado post-cuántico, tus datos estarán a salvo de la práctica de “recoger primero, descifrar después”, lo que proporcionará un mayor grado de protección para tus correos electrónicos, calendarios, información de contacto y, en breve, cualquier dato que desees almacenar en la nube.
El camino hacia el anonimato total en Internet sigue siendo una incógnita. Pero podemos estar seguros de que el cifrado de extremo a extremo no se va a ir a ninguna parte.
Cuídate y disfruta encriptando.