La Comisión Federal de Comercio (FTC) de los Estados Unidos prohibió la venta de datos sensibles sin el consentimiento explícito de los usuarios, marcando un hito para la privacidad en el país.

"Al implementar la primera prohibición en la historia de la venta y uso de datos de ubicación sensibles, la FTC continúa protegiendo a los estadounidenses de intermediarios de datos intrusivos y de la vigilancia corporativa sin supervisión," dijo un portavoz de la FTC.

El data broker que pasó a la historia como el primero en ser sancionado por el organismo regulador de los EE. UU. es X-Mode Social y su sucesor, Outlogic.

Imposible olvidar

Para aquellos que han estado siguiendo noticias sobre privacidad en los últimos años, el nombre del data broker puede sonar familiar. X-Mode Social se hizo conocido por primera vez en noviembre de 2020, cuando se convirtió en protagonista, junto con el ejército de EE. UU., en el informe de Motherboard de VICE. El informe reveló que una aplicación del Corán con más de 100 millones de descargas estaba enviando datos de ubicación a X-Mode, que a su vez se compartía con el gobierno de los Estados Unidos, incluido el ejército. La noticia causó una gran conmoción en ese momento, lo que llevó a que la aplicación eliminara el código de X-Mode responsable del envío de datos al intermediario. Las críticas fueron tan intensas que, en un raro esfuerzo conjunto, tanto Apple como Google le dijeron a los desarrolladores que debían eliminar el código de X-Mode de sus aplicaciones.

Cuando todo sale mal, una de las estrategias más populares para las empresas con su reputación amenazada es el rebranding. Un ejemplo destacado de esto es Meta (antiguo Facebook). Fue así que, en agosto de 2021, después de ser comprada por Digital Envoy, X-Mode cambió su nombre a Outlogic.

El ostracismo y los ataques de la empresa a las dos plataformas de aplicaciones aparentemente no fueron suficientes para que Outlogic detuviera sus prácticas cuestionables para evitar críticas en el futuro. Según la queja de la FTC, que aborda las presuntas infracciones del intermediario de datos en 2021,, X-Mode/Outlogic “no presentó ninguna política para eliminar datos sensibles de ubicación de los datos de ubicación vendidos” hasta mayo de 2023(!).

Pero, ¿qué hizo exactamente X-Mode/Outlogic para recibir esta sanción sin precedentes del gobierno de EE. UU.?

Recopilación de datos nunca antes vista

En su queja, la FTC acusa a X-Mode Social y a su sucesor de una amplia variedad de violaciones de privacidad, algunas más graves que otras. La mayoría de las presuntas transgresiones de X-Mode Social provienen del hecho de que ha estado recopilando datos sensibles de ubicación de más de 300 aplicaciones a través de su SDK, o kit de desarrollo de software.

El organismo regulador afirma que X-Mode alentaba a los desarrolladores de aplicaciones a incorporar el SDK en sus aplicaciones "al prometer ingresos pasivos por cada dispositivo móvil que otorgue permiso para que se recopilen sus datos de ubicación." Los SDK son fragmentos de código que permiten que la aplicación realice tareas importantes, como el seguimiento de la ubicación. La ventaja para los desarrolladores que utilizan SDK de terceros en sus aplicaciones es que no necesitan desarrollar funciones desde cero, ahorrando así tiempo y dinero. Esto, junto con la posibilidad de obtener ingresos pasivos, hace que la oferta sea difícil de rechazar. Por lo tanto, los desarrolladores de 300 aplicaciones (que incluyen aplicaciones de fitness, religión y juegos) no rechazaron la oferta.

Además, el intermediario también recopilaba datos de sus propias aplicaciones Drunk Mode y Walk Against Humanity. Asimismo, utilizaba datos de otros intermediarios de datos y agregadores. El resultado de todo esto es que X-Mode estaba recopilando una cantidad absurda de datos de ubicación. Según la FTC, el intermediario “absorbió más de 10 mil millones de datos de ubicación de todo el mundo,” todo esto con “una precisión de 20 metros o menos en el 70% de las ocasiones.”

¿Qué se recopiló y a quién se vendió?

El SDK de X-Mode, que es la principal fuente de los datos sensibles de ubicación en posesión del intermediario, tenía acceso sin restricciones a los datos de ubicación generados por el sistema operativo del dispositivo de los usuarios. Más específicamente, el SDK recibía “la latitud y longitud precisa del usuario, junto con la hora de esta ubicación.” Luego, la información, junto con el identificador único del dispositivo móvil llamado Mobile Advertiser ID (o MAID), se dirigía directamente a los servidores de X-Mode.

Este conjunto de datos podría revelar potencialmente información sensible sobre los usuarios, como visitas a hospitales, lugares religiosos, centros de tratamiento de adicciones o farmacias. Según la FTC, a X-Mode no le preocupaba en absoluto las consecuencias de una posible filtración o mal uso, ya que habría afirmado no tener “ninguna política o procedimientos activos para eliminar las ubicaciones sensibles de los conjuntos de datos que vendió.”

Además de ofrecer los datos a cualquier persona que quisiera pagar por ellos, X-Mode segregaba estos datos para crear "segmentos de audiencia" basados en el número de características en común, incluyendo datos más sensibles. En otro caso, la empresa llegó a ofrecer a una empresa privada de investigación clínica segmentos de audiencia personalizados basados en visitas a diferentes médicos en Columbus, Ohio. Entre los objetivos estaban los pacientes de cardiología, endocrinología y gastroenterología.

Si el hecho de que una empresa privada de investigación reciba información sobre tu salud que probablemente preferirías mantener en secreto no te molesta mucho (¡pero debería!), el informe de la FTC tiene revelaciones aún más impactantes para ti. Algunos de estos datos terminaron en manos de “agencias gubernamentales” que los utilizaron “con el propósito de mantener la seguridad nacional.” En ningún momento, ya sea en la política de privacidad o en las aplicaciones con el SDK, X-Mode mencionó este hecho "curioso".

Los compradores de los datos de ubicación de X-Mode también incluyen al menos dos empresas que revendieron los datos a otras empresas, rompiendo su contrato con X-Mode. En este caso, es casi imposible saber con certeza qué empresas tuvieron contacto con los datos, ya que podrían ni siquiera haber sido el destino final de esos datos. Otro problema es que todas estas empresas terciarias no están sujetas a ninguna restricción que X-Mode pueda haber impuesto en el uso de estos datos.

¿Cómo estos datos podrían ayudar a identificarte?

X-Mode ofrecía los datos a sus compradores sin ningún tratamiento, sin ninguna anonimización, lo que hacía fácil identificar a la mayoría de los usuarios. Conociendo el identificador persistente del dispositivo de los usuarios (MAID), junto con varias marcas de tiempo en las señales de ubicación, no se necesita ser ningún Sherlock Holmes para inferir la dirección de residencia del usuario basándose en la ubicación del celular por la noche.

Y aún no hemos mencionado la posibilidad de complementar estos datos con información de fuentes fuera de línea, como archivos públicos, directorios telefónicos y redes sociales, un servicio de identificación cruzada ofrecido por muchos intermediarios de datos.

Riesgos de uso: desde seguridad nacional hasta publicidad dirigida

Como se mencionó, algunos de los usos potenciales de estos datos de ubicación detallada podrían estar relacionados con la seguridad nacional. Esto puede significar desde acciones de vigilancia con el objetivo de contener ataques hasta la supervisión del cumplimiento de la política de inmigración.

Pero un uso mucho más común de este tipo de datos es la publicidad. Los anunciantes utilizan estos datos para construir perfiles detallados de los consumidores con el propósito de mostrarles anuncios con temas relevantes, muy efectivos para la venta de productos.

De cualquier manera, la venta de datos, en palabras de la FTC, “representa una invasión en una de las áreas más privadas de la vida de los consumidores y puede causar daños significativos” a ellos. Es difícil no estar de acuerdo con esto.

Desde nuestra perspectiva, creemos que la decisión de la FTC es muy bienvenida y es un primer paso para poner freno a la industria de venta de datos de ubicación. Pero es lamentable que haya tomado tanto tiempo que esto sucediera. Creemos que la decisión llegó tarde y que la venta de datos sensibles de usuarios nunca debería haber sido permitida.

Por otro lado, la FTC no prohibió la venta de estos datos de una vez por todas, sino que dejó que fuera una decisión del usuario dar su consentimiento. Aunque esto pueda parecer una decisión lógica a primera vista (después de todo, si el usuario quiere ofrecer sus datos al intermediario de datos, tiene derecho a hacerlo), puede no ser tan simple como parece.

Sabemos que empresas como X-Mode o el otro notorio intermediario de datos SafeGraph seguirán engañando a los usuarios, haciendo que compartan sus datos sensibles con la ayuda de instrucciones confusas e información engañosa. Necesitamos estar atentos a ellas.