Demasiado poder, poco control: policía utiliza un software de captura de datos en una trama de extorsión sexual

La combinación de recopilación indiscriminada de datos y vigilancia constante es mala, pero el gobierno a menudo nos hace creer que esta es la única herramienta de que disponen las autoridades para atrapar a terroristas o depredadores sexuales. Acabamos interiorizando esta información, aceptando esta realidad sin ni siquiera pensarlo dos veces a la hora de compartir datos en las redes sociales, que incluso pueden ser compartidos con las autoridades. En cualquier caso, como buenos ciudadanos, no tenemos nada que temer ni ocultar, ni siquiera un historial de búsqueda sospechoso. Entonces ¿cuál es el problema?

Policía deshonesto

Una vez más la historia ha demostrado que, si existe la oportunidad de vigilar y recopilar datos de forma masiva, pueden aprovecharla de muchas maneras. ¿Y quién está en el punto de mira? Los más inocentes. Hubo un caso en el que un policía estadounidense, con las manos en una potente herramienta de recopilación de datos, accedió a las cuentas de Snapchat de varias mujeres, chantajeándolas. Y eso es sólo un ejemplo.

El ex detective de la policía estadounidense Andrew Wilson recientemente fue declarado culpable del delito de conspiración para acosar a mujeres en Internet. Esta semana fue condenado a 30 meses de prisión y 120 horas de servicios comunitarios por este y otro delito no relacionado.. Ahora salen a la luz detalles sobre cómo realmente cometió el crimen. Wilson utilizó su acceso a una herramienta llamada Accurint, utilizada habitualmente para recopilar información sobre las víctimas. Se trata de una plataforma desarrollada por LexisNexis que proporciona un perfil detallado de millones de estadounidenses mediante la recopilación de datos de fuentes privadas y públicas. Esta información puede incluir nombres, direcciones, correos electrónicos, números de teléfono, historial de empleo, matrículas, historial inmobiliario, antecedentes penales e información de redes sociales. El programa Social Network Finder de LexisNexis está disponible para los usuarios de Accurint y afirma ser capaz de "escanear millones de sitios web, incluidos miles de sitios de redes sociales y de la web profunda para obtener información sobre un individuo y cualquier empresa u organización con la que pueda estar asociado".

Según el FBI, Wilson estuvo involucrado en el hackeo de al menos 25 cuentas de Snapchat. Para ello, solicitó los servicios de un hacker, que accedió a las cuentas por él. Dado que Snapchat aún no ha hecho obligatoria la autenticación multifactor para utilizar el servicio, hacerlo probablemente no fue una tarea difícil.

Si una cuenta con contenido sexual explícito era hackeada, Wilson se ponía en contacto directamente con las víctimas, pidiéndoles que enviaran fotos más íntimas a menos que quisieran que sus imágenes se compartieran con familiares, amigos y compañeros de trabajo. En total, Wilson robó fotos comprometedoras de al menos seis mujeres y en algunos casos cumplió su amenaza de publicarlas en Internet. Una de las víctimas afirmó que sus fotos íntimas fueron enviadas a su empleador y casi le cuestan su trabajo.

Aunque la forma en que Wilson obtuvo la información sobre sus víctimas es inusual, su razón para elegir Snapchat es bastante clara. Hay varios informes de ataques de hackers que han conseguido entrar en las cuentas de Snapchat de mujeres jóvenes para robar los desnudos que las víctimas (algo descuidadas) habían almacenado allí.

Foto: Bastian Riccardi/Unsplash

Los acusadores han dicho que Wilson protagonizó una oleada de acoso en la segunda mitad de 2020, pero la policía afirma que ya no formaba parte del cuerpo policial en ese momento. En una declaración a la CNN, la policía dijo que "desactivó inmediatamente " el acceso de Wilson a Accurint una vez que descubrió que todavía podía entrar en su cuenta.

¿Pretexto para el mal?

Teniendo en cuenta la cantidad de información disponible en Accurint, Wilson no debió de tener muchos problemas para averiguar detalles de la vida de sus objetivos a través de sus datos. LexisNexis afirma haber creado 283 millones de números LexID vinculados a diferentes personas. En comparación, la población estadounidense es de 332 millones.

LexisNexis es más conocida por su trabajo con las agencias gubernamentales de Estados Unidos y, precisamente por ello, recibe muchas críticas. Más concretamente, la empresa ha sido acusada de "facilitar" la vigilancia masiva por parte del aparato estatal. El año pasado, The Intercept reveló que las autoridades estadounidenses hicieron un amplio uso de Accurint para localizar a inmigrantes sujetos a deportación. Esto va en contra de las garantías anteriores de LexisNexis de que su cooperación con el ICE se limitaría estrictamente a la búsqueda de personas "con antecedentes penales graves".

La empresa también se vio envuelta en un juicio después de que activistas por los derechos de los inmigrantes la acusaran de recoger y vender datos personales sensibles de millones de personas sin su consentimiento. Los demandantes argumentan que los corredores de datos como NexisLexis ayudan a las autoridades policiales a eludir la supervisión judicial y a reforzar la vigilancia masiva. "Utilizando Accurint, los agentes de la ley pueden vigilar y rastrear a personas basándose en información que las autoridades no obtendrían normalmente sin una citación, una orden judicial u otro proceso legal", afirman.

Además, LexisNexis también ofrece su software para empresas privadas. Una herramienta llamada Accurint for Private Investigators promete proporcionar a los profesionales "información crítica" para "identificar a delincuentes o sospechosos, descubrir deudas o activos ocultos o buscar posibles socios comerciales".

Toma las precauciones necesarias

Tanto los gobiernos como las empresas justifican la recogida masiva de datos bajo el pretexto del bien común. Argumentan que les ayuda a encontrar pistas, prevenir delitos y castigar a los delincuentes con mayor eficacia. También sostienen que las suvervisiones son constantes para evitar que los malintencionados accedan a esta gigantesca colección de datos personales. Sin embargo, en la práctica, no todas las partes de esta máquina de vigilancia verdaderamente masiva tendrán siempre como prioridad el interés público. Algunos de ellos serán corruptos y estarán dispuestos a abusar de su posición por interés propio.

Y cuanto más poder acumulen los gigantes tecnológicos y las agencias gubernamentales, más difícil será tener control sobre los datos recogidos. Se podría decir que los individuos sin escrúpulos no representan al sistema en su conjunto. Pero la verdad es que una manzana podrida estropea todo el barril. Además, si hay uno, hay muchos.

Teniendo en cuenta la situación actual, abrazar una falsa sensación de seguridad es una mala idea. Puedes pensar que la policía o los hackers no están interesados en ti, ya que no eres un criminal, un multimillonario o una celebridad. Este pensamiento puede ser reconfortante, pero no tiene ninguna base. La verdad es que todo el mundo está en riesgo. Y el problema no se limita a las redes sociales. Las grandes empresas que almacenan grandes cantidades de datos de clientes pueden filtrarlos como resultado de un hackeo. Y aparentemente eso no es una tarea muy compleja, como se ve en la historia del grupo Lapsus$.

Es fácil culpar a otros por no cuidar bien nuestros datos, pero mantenerlos a salvo también es nuestra responsabilidad. Hay algunas reglas básicas que seguir, como crear contraseñas seguras, habilitar la autenticación multifactor y hacer uso de herramientas de seguridad, como antivirus y VPN. Para limitar la cantidad de datos recopilados sobre ti, también puede ser una buena idea instalar un bloqueador de anuncios y utilizar un software de filtrado de DNS.

Sin embargo, aunque sigas todas las normas de higiene digital al pie de la letra o aprendas a evitar trampas como el phishing, no hay garantía de que la persona con la que te comunicas sea tan cuidadosa como tú. Por ello, es importante asegurarte de que tu familia y amigos también son conscientes de los riesgos.

Aun así, tal vez una de las reglas más importantes sea pensar dos veces antes de compartir algo en las redes sociales, ya que Internet no olvida (ni perdona). Alguien podría encontrar un post de hace 10 años y arruinar por completo tu carrera, no sería la primera vez que ocurre. Eso no significa que debas permanecer desconectado para siempre, pero siempre es bueno mantener la guardia alta.