“¿Qué pensarías si alguien te llama a la puerta para decirte: `Hola, tengo tu historial de navegación completo. Cada día. Cada hora. Cada minuto. Tengo cada click que has hecho en la web en el último mes?´ ¿Acaso pensarías que es un hacker? No. Ha conseguido tu información de una forma más sencilla: la ha comprado”.
Esta fue la inquietante introducción de la periodista Svea Eckert para presentar su nueva investigación sobre la privacidad en Internet. En los últimos meses, Eckert se ha unido al científico de datos Andreas Dewes para descubrir cuán fácil puede ser destruir el anonimato que en teoría nos garantiza la red. Los resultados son sorprendentes.
Estos dos investigadores alemanes no solo han descubierto lo fácil que es conseguir los datos de navegación anónima de más tres millones de ciudadanos alemanas. También han descubierto lo sencillo que es “nominalizar” este anonimato. Por ejemplo, saben las preferencias pornográficas de un juez o la medicación que utiliza un miembro del parlamento alemán.
La pareja reveló sus descubrimientos en la conferencia Def Con en Las Vegas, un evento centrado en el mundo del hackeo. Consiguieron una base de datos de tres millardos de URLs que tres millones de usuarios alemanes habían visitado a lo largo del último mes. Algunos de estos tres millones tan solo habían visitado un par de docenas de páginas pero otros habían visitado cientos de miles. La periodista y el científico tenían toda la vida online de ese segundo grupo de personas en sus manos. Y de ahí podían deducir muchas cosas sobre su estilo de vida, su pensamiento… o sus pecados.
¿Cómo consiguieron la información? Crearon una empresa de marketing falsa con su propia página oficial, su página de LinkedIn para su presunto jefe e incluso una bolsa de trabajo. En la página oficial pusieron fotos genéricas y “cháchara típica de marketing” en el que se aseguraba que habían creado un algortimo de aprendizaje que podía facilitar el vender productos al personal siempre y cuando pudiera ser entrenado con una gran cantidad de datos.
“Escribimos y llamamos a cientos de compañías, preguntando si podíamos conseguir datos de navegación de usuarios”. Tardaron en obtener los datos no porque las compañías se negaran a admitir que tenían dichos datos sino porque se especializaban en usuarios de Estados Unidos y de Reino Unido. El periodista y el científico querían datos de usuarios alemanes.
Obtuvieron los datos que necesitaban de forma gratuita por cortesía de un data broker.
Un data broker o “corredor de datos” analiza la vida de los usuarios en Internet. Acumula datos de usuarios, los analiza y vende las conclusiones a las empresas.
Este data broker en cuestión les ayudó porque cayó en la trampa, se creyó que existía dicho algoritmo, y quería probarlo.
El data broker les ofreció datos anónimos de usuarios alemanes. Pero lo que el periodista y el científico lograron fue “nominalizar” algunos de estos datos hasta encontrar usuarios específicos detrás de ellos.
En la conferencia, la pareja describió algunos métodos para encontrar usuarios en paquetes de datos anónimos.
Por ejemplo, crearon listas de URLs que sabían que estaban relacionadas entre sí, que pertenecían a un mismo usuario, debido a las marcas de tiempo entre página y página. En otras palabras: habían encontrado el historial de navegación de alguien.
Genial pero, ¿cómo podían saber el nombre de la persona que había visitado estos sites? Buscando URLs que revelasen sus nombres de usuario en redes sociales. Por ejemplo, si un usuario ha visitado la sección de analíticas de su cuenta de Twitter, en su historial de navegación aparecerá una URL que incluirá su nombre de usuario en Twitter. ¡Bingo! De esta forma, los investigadores sabían a quién pertenecía esta lista de URLs relacionadas. Se acabó el anonimato para ese usuario.
En otros casos, con tan solo 10 URLs, la pareja de investigadores lograba identificar a alguien. Aquí era más un trabajo de probabilidades y de comparación. Piensa en ti como un usuario. ¿Cuánta gente existe en tu país que trabaje en tu misma empresa, tenga su cuenta en tu mismo banco, tenga tus mismas aficiones, tu mismo diario online preferido, tu misma compañía telefónica…? De esta forma, con URLs que revelaban estos datos, los científicos encontraban el equivalente a “huellas dactilares”.
Si en series policíacas como CSI, las huellas dactilares sin dueño identificado se comparan con huellas de registro público para encontrar a un sospechoso, lo mismo ocurría durante el proyecto de estos investigadores. Comparaban estas URLs mencionadas con datos abiertos a todo el mundo como cuentas de redes sociales (donde puedes saber dónde trabaja alguien, sus aficiones…), listas de reproducción públicas de Youtube… y así encontraban usuarios concretos.
¿Y de dónde venían los datos ofrecidos por el corredor de datos? De diversos plugins que instalamos en nuestros navegadores. El culpable más irónico de todos ellos era una herramienta llamada Web of Trust que en teoría te garantiza una navegación anónima. Este plugin modificó su política de privacidad para afirmar que vende tus datos… pero como nadie lee la letra pequeña, sus usuarios no se dan ni cuenta.
Conclusión: “La navegación anónima es casi imposible”, declaran los investigadores. Con ello, no están diciendo que cualquiera pueda conocer tus datos de navegación. No es fácil crear una empresa imaginaria, contactar con data brokers y luego analizar tres millardos de URLs. Pero es posible, es factible y, una vez más, se demuestra que en la red estamos menos protegidos de lo que creemos.
Fuente: The Guardian