Los documentos publicados recientemente mostraron que los CDC planeaban usar datos de ubicación de teléfonos para monitorear escuelas e iglesias, y también querían usar los datos para muchos propósitos no relacionados con COVID-19. Según surge del artículo del medio vice.com.
Los Centros para el Control y la Prevención de Enfermedades (CDC, por sus siglas en inglés) compraron el acceso a los datos de ubicación recopilados de decenas de millones de teléfonos en los EEUU para realizar un análisis del cumplimiento de los toques de queda, rastrear los patrones de las personas que visitan las escuelas K-12 y monitorear específicamente la efectividad de política en la Nación Navajo, según documentos de los CDC obtenidos por Motherboard. Los documentos también muestran que aunque los CDC usaron el COVID-19 como una razón para comprar el acceso a los datos más rápidamente, tenían la intención de usarlos para propósitos más generales de los CDC.
Los datos de ubicación son información sobre la ubicación de un dispositivo obtenida del teléfono, que luego puede mostrar dónde vive, trabaja y adónde fue una persona. El tipo de datos que compró el CDC fue agregado, lo que significa que fue diseñado para seguir las tendencias que surgen de los movimientos de grupos de personas, pero los investigadores han expresado repetidamente su preocupación sobre cómo los datos de ubicación pueden ser anonimizados y utilizados para rastrear a personas específicas.
Los documentos revelan el plan expansivo que los CDC tenían el año pasado para usar datos de ubicación de un corredor de datos muy controvertido. SafeGraph, la empresa a la que CDC pagó 420.000 dólares por acceder a un año de datos, incluye a Peter Thiel y al exjefe de inteligencia saudí entre sus inversores. Google prohibió a la empresa en Play Store en junio.
¿Trabajas en la industria de datos de ubicación? Nos encantaría saber de usted. Si usa un teléfono o computadora que no sea del trabajo, puede comunicarse con Joseph Cox de manera segura en Signal en el +44 20 8133 5190, Wickr en josephcox, chat OTR en jfcox@jabber.ccc.de o enviar un correo electrónico a joseph.cox@vice.com.
Los CDC utilizaron los datos para monitorear los toques de queda, y los documentos dicen que los datos de SafeGraph “han sido fundamentales para los esfuerzos de respuesta en curso, como el monitoreo por hora de la actividad en las zonas de toque de queda o el recuento detallado de visitas a las farmacias participantes para el monitoreo de vacunas”. Los documentos datan de 2021.
Zach Edwards, un investigador de seguridad cibernética que sigue de cerca el mercado de datos, le dijo a Motherboard en un chat en línea después de revisar los documentos: “Parece que los CDC crearon deliberadamente una lista abierta de casos de uso, que incluían monitorear toques de queda, vecinos a vecinos”. visitas de vecinos, visitas a iglesias, escuelas y farmacias, y también una variedad de análisis con estos datos enfocados específicamente en la ‘violencia’”. (El documento no se detiene en las iglesias; menciona “lugares de culto”).
Motherboard obtuvo los documentos a través de una solicitud de la Ley de Libertad de Información (FOIA) con los CDC.
Los documentos contienen una larga lista de lo que los CDC describen como 21 «casos de uso potenciales de datos de los CDC». Incluyen:
- “Haga un seguimiento de los patrones de quienes visitan las escuelas K-12 por escuela y compárelos con 2019; compare con epi metrics [Índice de desempeño ambiental] si es posible”.
- “Examen de la correlación de datos de patrones de movilidad y aumento de casos de COVID-19 […] Restricciones de movimiento (cierre de fronteras, toques de queda interregionales y nocturnos) para demostrar el cumplimiento”.
- “Examen de la efectividad de la política pública en [la] Nación Navajo”.
Al comienzo de la pandemia, los datos de ubicación de los teléfonos móviles se consideraban una herramienta potencialmente útil. Varias organizaciones de medios, incluido el New York Times , utilizaron datos de ubicación proporcionados por empresas de la industria para mostrar a dónde viajaba la gente una vez que comenzaron a levantarse los bloqueos, o resaltar que las comunidades más pobres no pudieron refugiarse en el lugar tanto como las más ricas.
La pandemia de COVID-19 en su conjunto ha sido un punto álgido en una guerra cultural más amplia, con conservadores y grupos antivacunas que protestan por los mandatos gubernamentales de mascarillas y vacunas. También expresaron una paranoia específica de que los pasaportes de vacunas se usarían como una herramienta de seguimiento o vigilancia, enmarcando el rechazo de la vacuna como un problema de libertades civiles. Children’s Health Defense de Robert F. Kennedy Jr., uno de los grupos antivacunas más influyentes y adinerados de EEUU, ha fomentado el temor de que los certificados digitales de vacunas puedan usarse para vigilar a los ciudadanos. El promotor de QAnon, Dustin Nemos, escribió en Telegram en diciembre que los pasaportes de vacunas son «un caballo de Troya que se utiliza para crear un tipo completamente nuevo de sociedad controlada y vigilada en la que la libertad que disfrutamos hoy será un recuerdo lejano».
En ese contexto, es probable que el uso de datos de ubicación de teléfonos celulares para una variedad tan amplia de medidas de seguimiento, incluso si es efectivo para estar mejor informado sobre la propagación de la pandemia o para informar la política, sea controvertido. También es probable que proporcione a los grupos antivacunas un punto de datos del mundo real en el que fijar sus advertencias más oscuras.
UNA CAPTURA DE PANTALLA DE LOS CASOS DE USO PROPUESTOS POR LOS CDC.
Los documentos de adquisición dicen que “Esta es una PR [solicitud de adquisición] URGENTE COVID-19”, y solicita que se agilice la compra.
Pero algunos de los casos de uso no están vinculados explícitamente a la pandemia de COVID-19. Uno dice «Investigar puntos de interés para la actividad física y la prevención de enfermedades crónicas, como visitas a parques, gimnasios o negocios de control de peso».
Otra sección del documento elabora sobre el uso de los datos de ubicación para programas no relacionados con COVID-19.
“Los CDC también planean utilizar los datos y servicios de movilidad adquiridos a través de esta adquisición para respaldar áreas programáticas no relacionadas con COVID-19 y prioridades de salud pública en toda la agencia, incluidos, entre otros, viajes a parques y espacios verdes, actividad física y modo de viaje, y la migración de la población antes, durante y después de los desastres naturales”, dice. “Los datos de movilidad obtenidos en virtud de este contrato estarán disponibles para uso de toda la agencia de los CDC y respaldarán numerosas prioridades de los CDC”.
El CDC no respondió a múltiples correos electrónicos solicitando comentarios sobre los casos de uso para los que implementó los datos de SafeGraph.
SafeGraph es parte de la industria de la ubicación en globo, y SafeGraph ha compartido previamente conjuntos de datos que contienen 18 millones de teléfonos celulares de los EEUU. Los documentos dicen que esta adquisición es para datos que son geográficamente representativos, “es decir, derivados de al menos 20 millones de usuarios activos de teléfonos celulares por día en los EEUU”.
Por lo general, las empresas de esta industria solicitan o pagan a los desarrolladores de aplicaciones para que incluyan un código de recopilación de datos de ubicación en sus aplicaciones. Los datos de ubicación luego se canalizan hacia las empresas que pueden revender los datos de ubicación sin procesar directamente o empaquetarlos en productos.
SafeGraph vende ambos. Por el lado de los productos desarrollados, SafeGraph tiene varios productos diferentes. Los «lugares» se refieren a puntos de interés (POI), como la ubicación de tiendas o edificios en particular. «Patrones» se basa en datos de ubicación de teléfonos móviles que pueden mostrar durante cuánto tiempo las personas visitan una ubicación, y «De dónde vienen» y «Adónde más van», según el sitio web de SafeGraph. Más recientemente, SafeGraph ha comenzado a ofrecer datos de transacciones agregados, que muestran cuánto gastan los consumidores normalmente en ubicaciones específicas, bajo el producto «Gasto».
SafeGraph vende sus productos a una amplia gama de industrias, como bienes raíces, seguros y publicidad. Estos productos incluyen datos agregados sobre movimientos y gastos, en lugar de la ubicación de dispositivos específicos. Motherboard compró previamente un conjunto de datos de ubicación de SafeGraph por U$S200. Los datos se agregaron, lo que significa que no se suponía que identificara los movimientos de dispositivos específicos y, por lo tanto, de personas, pero en ese momento, dijo Edwards: «En mi opinión, los datos de SafeGraph están mucho más allá de cualquier umbral seguro [alrededor del anonimato]».
Edwards señaló un resultado de búsqueda en el portal de datos de SafeGraph que mostraba datos relacionados con el consultorio de un médico específico, mostrando cuán finamente ajustados pueden estar los datos de la empresa. Teóricamente, un atacante podría usar esos datos para luego intentar desenmascarar a los usuarios específicos,algo que los investigadores han demostrado repetidamente que es posible.
En enero de 2019, el Departamento de Transporte de Illinois compró dichos datos de SafeGraph que se relacionaban con más de 5 millones de teléfonos, según descubrió anteriormente la organización activista Electronic Frontier Foundation (EFF).
Los documentos de los CDC muestran que la agencia compró el acceso a los «Datos de lugares centrales de EEUU», «Datos de patrones semanales» y «Datos de patrones de vecindario» de SafeGraph. Ese último producto incluye información como el tiempo de permanencia en el hogar y se agrega por estado y bloque censal.
“SafeGraph ofrece datos de visitantes a nivel de Grupo de bloques del censo que permite obtener información extremadamente precisa relacionada con la edad, el género, la raza, el estado de ciudadanía, los ingresos y más”, se lee en uno de los documentos de los CDC.
SafeGraph escribió en una publicación de blog en abril de 2020 que «Para desempeñar nuestro papel en la lucha contra la crisis de salud de COVID-19, y su impacto devastador en la economía global, decidimos expandir aún más nuestro programa, haciendo que nuestros datos de tráfico peatonal sean gratuitos para organizaciones sin fines de lucro y agencias gubernamentales a nivel local, estatal y federal”. Múltiples compañías de datos de ubicación promocionaron sus datos como una posible mitigación de la pandemia durante su apogeo en los EEUU y proporcionaron datos a organizaciones gubernamentales y de medios.
Un año después, los CDC compraron el acceso a los datos porque SafeGraph ya no quería proporcionarlos de forma gratuita, según los documentos. El Acuerdo de uso de datos para los datos proporcionados en especie vencía el 31 de marzo de 2021, agregan los documentos. Todavía era importante acceder a los datos a medida que Estados Unidos se abría, argumentó el CDC en los documentos.
“CDC tiene interés en el acceso continuo a estos datos de movilidad a medida que el país vuelve a abrirse. Varios equipos/grupos utilizan estos datos en la respuesta y han dado como resultado una comprensión más profunda de la pandemia en lo que respecta al comportamiento humano”, se lee en una sección.
Los investigadores de la EFF obtuvieron por separado documentos relacionados con la compra por parte de los CDC de productos de datos de ubicación similares de una empresa llamada Cubeiq, así como los documentos de SafeGraph. La EFF compartió esos documentos con Motherboard. Mostraron que los CDC también solicitaron acelerar la compra de los datos de Cubeiq debido a la COVID-19 y tenían la intención de utilizarlos para fines distintos de la COVID-19. Los documentos también enumeran los mismos casos de uso potenciales para los datos de Cubeiq que en los documentos de SafeGraph.
Google prohibió SafeGraph en su Google Play Store en junio. Esto significaba que cualquier desarrollador de aplicaciones que usara el código de SafeGraph tenía que eliminarlo de sus aplicaciones o enfrentarse a que su aplicación fuera eliminada de la tienda. No está del todo claro qué tan efectiva ha sido esta prohibición: SafeGraph dijo anteriormente que obtiene datos de ubicación a través de Veraset, una empresa derivada que interactúa con los desarrolladores de aplicaciones.
SafeGraph no respondió a múltiples solicitudes de comentarios.