El espacio cibernético se plantea como la nueva preocupación de los gobiernos para combatir la delincuencia, lo que ha llevado al establecimiento de mecanismos para la vigilancia de actividades sospechosas en la red. Sin embargo, este escenario plantea un importante reto: monitorear lo que sucede en la red para identificar criminales, sin que ello represente una invasión a la privacidad de los usuarios inocentes.
Uno de los elementos del debate sobre ciberseguridad es la recopilación de información a partir de la actividad que realizan todos los usuarios de Internet. La información filtrada por Edward Snowden dio a conocer que, hasta 2013, la Agencia de Seguridad Nacional (NSA) realizaba una Como una medida para “conservar” la privacidad de los usuarios, diversas agencias de seguridad en el mundo se han limitado a la recopilación de metadatos de comunicaciones en redes de telecomunicaciones, información que no contiene el contenido de dichas comunicaciones. Por ejemplo, en una llamada telefónica, los metadatos proveen información como las partes, el tiempo o la duración, mientras que el contenido se compone del audio de la llamada, entre otros elementos más “personales”.recopilación masiva de registros telefónicos, compuesta por información personal.
Al considerar que los metadatos no contienen la información privada del usuario, su recopilación y solicitud a las empresas de telecomunicaciones se ha dejado a discreción de las agencias de seguridad. En el caso de Estados Unidos, un oficial de policía puede obtener los registros de llamadas telefónicas con una simple citación.
Sin embargo, un reciente estudio llevado a cabo por investigadores de la Universidad de Stanford en Estados Unidos, afirma que los metadatos telefónicos están densamente interconectados y proveen de suficiente información susceptible para su identificación y realizar inferencias altamente sensibles.
El experimento de los investigadores consistió de información ofrecida voluntariamente por usuarios mediante una aplicación en su teléfono móvil que obtenía los metadatos de su registro telefónico, a la vez que solicitaba información de sus páginas personales en Facebook para comprobar que las inferencias a partir de metadatos hayan resultado correctas.
Según los resultados del estudio, la reidentificación de una llamada resultó un proceso relativamente sencillo a partir de procesos manuales y automáticos.
El proceso automático se llevó a cabo mediante el emparejamiento de 30 mil registros en la base de datos del programa, con bases de datos públicas como Google, Yelp y Facebook, lo que llevó a la identificación de la identidad de 9 mil 576 participantes (32%). “Estos resultados son necesariamente conservadores; con acceso a bases de datos comerciales, una agencia de negocios o el gobierno sería capaz de alcanzar tasas de coincidencia sustancialmente más altas”, afirman los investigadores.
A través del proceso manual, que incluyó la consulta de Intelius, una base de datos de bajo costo (19.95 dólares al mes), y búsquedas en web, los investigadores lograron identificar hasta 65 por ciento de una muestra de 250 miembros de la base de datos elegidos al azar.
Los investigadores también lograron identificar la zona de residencia de los usuarios. Mediante el uso de bases públicas de negocios en Google y Yelp, y asumiendo que cualquier individuo realiza llamadas principalmente a negocios cercanos a su hogar, se utilizó el algoritmo DBSCAN para encontrar el mayor grupo de llamadas con base en información de ubicación de la empresa.
Entre los participantes del estudio, 418 publican su ciudad actual en Facebook. De estos, 241 (60%) tenían al menos 10 llamadas a empresas identificadas. A partir de las llamadas telefónicas, los investigadores fueron capaces de identificar la ciudad actual de 130 (57%) de los participantes
En cuanto a la identificación de relaciones personales, los investigadores utilizaron la base de datos en Facebook para la identificación de ciertas características particulares a personas en una relación y su uso en una máquina de vectores de soporte. Mediante estas herramientas, los investigadores señalan que “fue trivial” la identificación de la pareja del participante.
Otros datos identificados a partir de los metadatos incluyeron la identificación de la religión de los participantes, historial médico y asociaciones personales como la posesión de armas.
Los investigadores afirman que “los resultados son claros: hay impactos significativos a la privacidad asociados a la vigilancia de metadatos del teléfono. En combinación con revisiones independientes que han encontrado que la vigilancia masiva de metadatos es una estrategia de inteligencia ineficaz, nuestros resultados deben dar una pausa a los políticos al autorizar este tipo de programas”.
Asimismo, los investigadores advierten que la regulación debe extenderse a las empresas de telecomunicaciones, que de manera rutinaria guardan metadatos de los usuarios.