Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros.
Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.
*******
Negocios Seguros
El 8 de septiembre del 2020 publicaba una pieza que llamé «La falacia de los datos de navegación anonimizados«, y en la que explicábamos cómo, pese a que ahora casi todo se hace por HTTPs, pese a que tenemos bloqueadores de publicidad/scripts, y mil y una mierdas, a poco que quisiéramos, podíamos identificar tráfico de red.
Ejemplo de ello, de hecho, ha sido recientemente la creación de Supercookies, una web de la que hablé precisamente la semana pasada y que demuestra de forma sencilla cómo es posible identificarnos pese a no utilizar ninguna cookie de sesión, simplemente con el cacheado de favicons. Algo a todas luces no identificativo.
Para ser consciente del fracaso del sistema de cookies tenemos Supercookie, un proyecto educativo que demuestra cómo es posible crear cookies que son imborrables (se basa en el uso de los favicon de las webs): https://t.co/ArgXxQAhaY
— Pablo F. Iglesias 💻🛡 (@PYDotCom) February 18, 2021
El uso de las llamadas supercookies no es algo para nada nuevo.
Es más, un servidor habló la primera vez de ellas en 2015 en aquel Especial sobre trazabilidad en internet, y las incluí como un riesgo a considerar en el Especial de 2016 sobre Web Tracking. Simplemente han vuelto a cobrar protagonismo con la paulatina demonización de las cookies, y con una Google que ya tiene bajo la manga un sistema muy parecido para mantener su negocio a flote cuando las cookies pasen a ser algo casi prohibido en Europa.
Estos días hubo bastante revuelo por una investigación del New York Times, que otra vez más demostraba cómo era posible identificar a personas teniendo de ellas únicamente los identificadores de publicidad. Un ID que a priori no es identificativo del usuario.
¿Cómo lo hicieron?
Pues como otras tantas veces, simplemente utilizando datos agregados.
Mediante una fuente anónima, el periódico consiguió un listado de datos relacionados con los móviles de los asaltantes. En ellos no había nombres, pero sí una colección de identificadores de publicidad para que las grandes empresas pudieran enviarles anuncios personalizados. Supuestamente estos datos son anónimos, pero la investigación los combinó con otras bases de datos y en cuestión de segundos, han podido obtener nombres reales, direcciones, números de teléfono y correos electrónicos.
El resultado lo tienes en la imagen que encabeza este artículo.
Todos esos puntos que ves son las personas que asaltaron el Capitolio, y que fueron por tanto a la manifestación-intento de golpe de estado con sus móviles en el bolsillo.
Y sí, es cierto que por aquí por Europa la cosa está más complicada (lo demostré con aquella otra investigación que hice al pedir a varias compañías mis datos fiscales), ya que a priori nadie tiene la potestad de cruzar estos datos si no es saltándose la RGPD. ¿Pero en EEUU y en definitiva en el resto del mundo? Hasta que no haya un cambio regulatorio, no hay nada que marque quién puede tener acceso a dicha información y por cuánto tiempo.
Using a trove of leaked smartphone location data, @cwarzel and @stuartathompson identified some of the Capitol rioters.
— New York Times Opinion (@nytopinion) February 6, 2021
In this time-lapse animation, smartphones moved from Trump’s rally to the Capitol. https://t.co/MV4foh0Olo pic.twitter.com/iSfdicvXWY
El tema tiene aún más empape en el momento en el que nos paramos a pensar en su impacto a nivel judicial.
El propio Times repasa la historia de un usuario al que los datos ubican dentro del Capitolio, pero él asegura que no estuvo en el motín. El usuario lo niega, pero estos datos podrían utilizarse como prueba por parte de la Policía para realizar una acusación.
«Pensar que la información se utilizará contra personas solo si han infringido la ley es ingenuo; estos datos se recopilan y siguen siendo vulnerables al uso y abuso, ya sea que las personas se reúnan en apoyo de una insurrección o protesten justamente contra la violencia policial.. ninguno de estos datos debería haberse recopilado nunca», concluye la reveladora investigación.
Algo que recordemos que EEUU tiene ya bastante experiencia. Casos como el de la NSA y sus escuchas basadas únicamente en metadatos con las que decidían a quién había que matar y a quien no, creo que debería servir de aviso a navegantes.
Algo que, recalco, tiene muy mala solución, ya que:
- Por un lado, no hay interés real en cambiarlo: A fin de cuentas es lo mismo que usan las compañías y las instituciones para mantener su liderazgo/poder.
- Por otro lado, difícilmente se puede controlar: Más allá de imponer medidas regulatorias más estrictas, habida cuenta de que en esta guerra quien tiene acceso a más recursos (mayor potencia de cálculo, mayor universo de datos agregados) tiene las de ganar.
Que no basta con pretender anonimizar más los datos, ya que de base han sido tomados usando sistemas identificativos… en un entorno, el digital, que se presta precisamente a cuantificar y rastrear cualquier huella.
________
Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».
