Los Centros para el Control y la Prevención de Enfermedades (CDC) compraron el acceso a los datos de localización obtenidos de decenas de millones de teléfonos en los Estados Unidos para realizar un análisis del cumplimiento de los toques de queda, rastrear los patrones de las personas que visitan las escuelas K-12 y, específicamente, supervisar la eficacia de la política en la Nación Navajo, según los documentos de los CDC obtenidos por Motherboard.
Los documentos también muestran que el CDC utilizó COVID-19 como razón para comprar el acceso a los datos más rápido, con la intención de utilizarlo para fines más generales del CDC.
Los datos de localización son información sobre la ubicación de un dispositivo procedente de un teléfono, que puede mostrar dónde vive y trabaja una persona y a dónde ha ido. El tipo de datos que compró el CDC era de carácter agregado (estaba diseñado para seguir las tendencias que surgen de los movimientos de grupos de personas).
Los investigadores han planteado repetidamente su preocupación por la forma en que los datos de localización pueden ser desanonimizados y utilizados para rastrear a personas concretas.
Los documentos revelan el amplio plan que tenían los CDC el año pasado para utilizar los datos de localización de un intermediario de datos muy controvertido. SafeGraph, la empresa a la que los CDC pagaron 420.000 dólares por el acceso a un año de datos.
Entre sus inversores con Peter Thiel y el antiguo jefe de la inteligencia saudí. Google prohibió a la empresa en su Play Store el pasado junio.
Los CDC utilizaron los datos para supervisar los toques de queda, y en los documentos se dice que los datos de SafeGraph “han sido fundamentales para los esfuerzos de respuesta en curso, como la supervisión horaria de la actividad en las zonas de toque de queda o el recuento detallado de las visitas a las farmacias participantes para la supervisión de las vacunas.” Los documentos datan de 2021.
Zach Edwards, un investigador de ciberseguridad que sigue de cerca el mercado de datos, dijo a Motherboard en un chat en línea después de revisar los documentos que
“LosCDC parece haber creado a propósito una lista abierta de casos de uso, que incluía el monitoreo de toques de queda, visitas de vecino a vecino, visitas a iglesias, escuelas y farmacias, y también una variedad de análisis con estos datos específicamente centrados en la “violencia”.
Motherboard obtuvo los documentos a través de una solicitud de la Ley de Libertad de Información (FOIA) al CDC. Los documentos contienen una larga lista de lo que los CDC describen como 21 diferentes “casos potenciales de uso de datos de los CDC”. Entre ellos se encuentran:
- “Rastrear los patrones de los que visitan las escuelas K-12 por la escuela y comparar con 2019; comparar con las métricas epi [Índice de Rendimiento Ambiental] si es posible”.
- “Examen de la correlación de los datos de los patrones de movilidad y el aumento de los casos de COVID-19 […] Restricciones de movimiento (cierres de fronteras, toques de queda interregionales y nocturnos) para mostrar su cumplimiento.”
- “Examen de la eficacia de las políticas públicas en la Nación Navajo”.
Al principio de la pandemia, los datos de localización de los teléfonos móviles se consideraron una herramienta potencialmente útil.
Numerosos medios de comunicación, entre ellos el New York Times, utilizaron los datos de localización proporcionados por las empresas del sector para mostrar hacia dónde se desplazaba la gente una vez que empezaban a levantarse los cierres, o para destacar que las comunidades más pobres no podían refugiarse en el lugar tanto como las más ricas.
La pandemia de COVID-19 en su conjunto ha sido un punto de inflamación en una guerra cultural más amplia, con conservadores y grupos antivacunas que protestan contra la máscara del gobierno y los mandatos de vacunación.
Han expresado una paranoia específica de que los pasaportes de las vacunas se utilicen como herramienta de seguimiento o vigilancia, enmarcando el rechazo a las vacunas como una cuestión de libertades civiles.
La organización Children’s Health Defense de Robert F. Kennedy Jr., uno de los grupos antivacunas más influyentes y con más dinero de Estados Unidos, ha promovido el temor de que los certificados digitales de vacunas puedan utilizarse para vigilar a los ciudadanos.
El promotor de QAnon, Dustin Nemos, escribió en Telegram en diciembre que los pasaportes de vacunas son:
“Un caballo de Troya que se está utilizando para crear un tipo completamente nuevo de sociedad controlada y vigilada en la que la libertad que disfrutamos hoy será un recuerdo lejano.”
En este ambiente inflamado, el uso de los datos de ubicación de los teléfonos móviles para una variedad tan amplia de medidas de seguimiento, incluso si es eficaz para estar mejor informado sobre la propagación de la pandemia o para informar a la política, es probable que sea controvertido. También es probable que proporcione a los grupos antivacunas un punto de información del mundo real en el que fijar sus advertencias más oscuras.
Los documentos de adquisición dicen que “Se trata de un PR [solicitud de adquisición] urgente de COVID-19”, y piden que se agilice la compra.
Pero algunos de los casos de uso no están explícitamente vinculados a la pandemia de COVID-19. Uno de ellos dice: “Investigar puntos de interés para la actividad física y la prevención de enfermedades crónicas, como visitas a parques, gimnasios o empresas de control de peso”.
Otra sección del documento profundiza en el uso de los datos de localización para programas no relacionados con la COVID-19.
“Los CDC también tienen previsto utilizar los datos y servicios de movilidad adquiridos a través de esta adquisición para apoyar las áreas programáticas no relacionadas con COVID-19 y las prioridades de salud pública en toda la agencia, incluyendo, pero no limitado a los viajes a parques y espacios verdes, la actividad física y el modo de viaje, y la migración de la población antes, durante y después de los desastres naturales. Los datos de movilidad obtenidos bajo este contrato estarán disponibles para el uso de toda la agencia CDC y apoyarán numerosas prioridades de CDC”.
Los CDC no respondieron a los múltiples correos electrónicos en los que se les pedía que explicaran para qué casos de uso había desplegado los datos de SafeGraph.
SafeGraph forma parte de la creciente industria de la localización, y ya ha compartido anteriormente conjuntos de datos con 18 millones de teléfonos móviles de Estados Unidos. Los documentos dicen que esta adquisición es para datos geográficamente representativos, “es decir, derivados de al menos 20 millones de usuarios de teléfonos móviles activos por día en todo Estados Unidos”.
Por lo general, las empresas de este sector piden, o pagan, a los desarrolladores de aplicaciones que incluyan en ellas un código de recopilación de datos de localización. Los datos de localización llegan entonces a las empresas que pueden revender estos datos en bruto o empaquetarlos en productos.
SafeGraph vende ambas cosas. En cuanto a los productos desarrollados, SafeGraph tiene varios productos diferentes.
“Places” se refiere a los puntos de interés (POI), como la ubicación de determinadas tiendas o edificios.
“Patterns” se basa en los datos de localización de los teléfonos móviles, que pueden mostrar durante cuánto tiempo visita la gente un lugar, y “de dónde vienen” y “a dónde más van”, según el sitio web de SafeGraph.
Recientemente, SafeGraph ha empezado a ofrecer datos agregados de transacciones, que muestran cuánto gastan los consumidores en lugares específicos, bajo el producto “Spend”. SafeGraph vende sus productos a una amplia gama de sectores, como el inmobiliario, el de los seguros y el de la publicidad. Estos productos incluyen datos agregados sobre movimientos y gastos, en lugar de la ubicación de dispositivos específicos.
Motherboard compró anteriormente un conjunto de datos de localización de SafeGraph por 200 dólares. Los datos eran agregados, lo que significa que no debían señalar los movimientos de dispositivos específicos y, por tanto, de personas, pero en aquel momento, Edwards dijo:
“En mi opinión, los datos de SafeGraph están muy por encima de cualquier umbral de seguridad [en torno al anonimato]”.
Edwards señaló un resultado de búsqueda en el portal de datos de SafeGraph que mostraba datos relacionados con la consulta de un médico concreto, lo que demuestra lo afinados que pueden estar los datos de la empresa.
En teoría, un atacante podría utilizar esos datos para intentar desenmascarar a los usuarios concretos, algo que los investigadores han demostrado repetidamente que es posible.
En enero de 2019, el Departamento de Transporte de Illinois compró esos datos a SafeGraph relacionados con más de cinco millones de teléfonos, según descubrió previamente la organización activista Electronic Frontier Foundation (EFF).
Los documentos del CDC muestran que la agencia compró el acceso a los “Datos de lugares centrales de Estados Unidos”, “Datos de patrones semanales” y “Datos de patrones de vecindario” de SafeGraph. Este último producto incluye información como el tiempo de permanencia en el hogar, y está agregado por estado y bloque censal.
“SafeGraph ofrece datos de los visitantes a nivel de grupo de bloques censales que permiten obtener información extremadamente precisa relacionada con la edad, el sexo, la raza, el estatus de ciudadanía, los ingresos y mucho más”, dice uno de los documentos de los CDC.
Tanto SafeGraph como los CDC han hablado anteriormente de su asociación, pero no con el detalle que se revela en los documentos. Los CDC publicaron un estudio en septiembre de 2020 en el que se analizaba si las personas de todo el país cumplían las órdenes de permanencia en el hogar, que parecía utilizar los datos de SafeGraph.
SafeGraph escribió en una entrada de blog en abril de 2020 que “Para desempeñar nuestro papel en la lucha contra la crisis sanitaria del COVID-19 -y su devastador impacto en la economía mundial- decidimos ampliar nuestro programa aún más, haciendo que nuestros datos de tráfico peatonal sean gratuitos para las organizaciones sin ánimo de lucro y las agencias gubernamentales a nivel local, estatal y federal.”
Múltiples empresas de datos de localización promocionaron sus datos como una posible mitigación de la pandemia durante su punto álgido en Estados Unidos, y proporcionaron datos a organizaciones gubernamentales y medios de comunicación.
Un año después, los CDC compraron el acceso a los datos porque SafeGraph ya no quería proporcionarlos gratuitamente, según los documentos.
El acuerdo de uso de los datos proporcionados en especie expiraba el 31 de marzo de 2021, añaden los documentos. Los datos seguían siendo importantes para acceder a la apertura de los Estados Unidos, argumentan los CDC en los documentos.
“Los CDC tienen interés en seguir accediendo a estos datos de movilidad a medida que el país se abre de nuevo. Estos datos son utilizados por varios equipos/grupos en la respuesta y han dado lugar a conocimientos más profundos sobre la pandemia en lo que respecta al comportamiento humano“
Los investigadores de la EFF obtuvieron por separado documentos relativos a la compra por parte de los CDC de productos de datos de localización similares a una empresa llamada Cubeiq, así como los documentos de SafeGraph.
La EFF compartió esos documentos con Motherboard. En ellos se mostraba que el CDC también pidió acelerar la compra de los datos de Cubeiq debido a COVID-19, y que tenía la intención de utilizarlos para fines distintos de COVID-19.
Los documentos también enumeraban los mismos casos de uso potencial de los datos de Cubeiq que en los documentos de SafeGraph.
Google prohibió SafeGraph en su Google Play Store en junio. Esto significaba que cualquier desarrollador de aplicaciones que utilizara el código de SafeGraph tenía que eliminarlo de sus aplicaciones, o enfrentarse a la eliminación de su aplicación de la tienda.
No está del todo claro hasta qué punto ha sido efectiva esta prohibición: SafeGraph ha dicho anteriormente que obtiene los datos de localización a través de Veraset, una empresa derivada que interactúa con los desarrolladores de aplicaciones.
