lunes, noviembre 07, 2016

Tú eres: Donde tú estás. ( O cómo tu ubicación dice quién y cómo eres) #privacidad #datos

Conocer el perfil de una persona es fundamental para el negocio de los datos hoy en día. Conocer quién es, qué le gusta y cómo es, ayuda mucho a los anunciantes a seleccionar el objetivo de su anuncio. Saber que una persona tiene un buen nivel económico, le gustan los coches caros y es de comprar coches de lujo, puede ser fundamental para un anunciante que vender coches de alta gama. O saber que una mujer está embarazada, tu ideología política o si eres una persona impulsiva o reflexiva.

Figura 1: Tú eres "Dónde tú estás"

Saber cosas de tus gustos, tus equipos deportivos, tus cantantes favoritos, tu música, tus amigos, tu estado de ánimo, tus intereses secretos – esos por los que pagas mucho dinero de forma discreta -, tu forma de vivir, tu manera de gestionar tu dinero, etcétera, es algo muy valioso para los que quieren venderte cosas. Saber, en definitiva, quién eres tú mucho mejor de lo que lo sabes tú, y mucho más explícito de lo que tú mismo te definirías. Ya sabes, mucho más allá de “amigo de mis amigos”.

Para hacer ese perfilado los expertos en este negocio utilizan muchos datos. Muchos y muy variados datos obtenidos de muy diversas y peculiares formas. Yo voy a dedicarle varios artículos a esta forma de hacer el perfilado de personas mediante diferentes aspectos, muchos de ellos evidentes, y otros muchos menos evidentes, y para hoy he elegido como primero de ellos la localización. Es decir, dónde estás en un momento dado y a lo largo del tiempo.

¿Cómo se sabe dónde estás?

Conocer dónde una persona está en un determinado momento consiste en tener dos cosas relacionadas: Quién eres tú y Dónde estás.

Responder a quién eres tú fácil para las organizaciones y no tanto para ti controlar esto. Tú eres tu nombre y tus apellidos, tu número de teléfono, tu identificador publicitario, tu huella digital de conexión, tu correo electrónico, tu cuenta de Twitter, tu cuenta de Facebook, tu DNI, tu alias, tu biometría facial, dactilar y tu forma de teclear, tu eres muchas cosas más allá de las que te piensas y cada servicio que quiere saber dónde estás se va a encargar, de una forma u otra, de saber quién eres tú. Os dejo esta charla sobre Big Data y privacidad en la que hablaba de la huella digital de tu conexión.

Figura 2: Big Data y Privacidad

Responder a dónde estás tú, también se puede hacer de diferentes formas, algunas de ellas son evidentes, otras no lo son tanto para los usuarios menos expertos.

- Acceso a la información GPS: Esta parece la forma más entendible por todo el mundo para saber dónde estás. Se basa en pedir permiso de acceso a tu localización y listo.

- Dirección IP de conexión: No es 100% exacta, y puede ser oculta mediante conexiones en la red TOR, servidores Proxy o conexiones VPN, pero no es lo que utiliza la mayoría de la gente y además existen side-channels para comprobar la veracidad o no de esta información.

- Conexión física a la red: Para conectar un terminal móvil a la red hay que hacerlo a un punto físico. En el caso de las operadoras se sabe en todo momento en qué antena física está conectado un terminal cuando está encendido. Si hablamos de cualquier otra conexión – una LAN física o Wi-FI. BlueTooth, Infrarojos o RF – siempre el punto al que te conectas te identifica.

- WarDriving: Este es un caso muy común y es el que utilizan los sistemas operativos iPhone y Android para localizar bien a los terminales. Con la Wi-Fi encendida, es fácil triangularte analizando las redes Wi-Fi que ves (SSID+BSSID) y la potencia de señal de cada una de ellas. Después solo hay que tener en un mapa dónde están todas esas redes, y eso es algo que tanto Google como Apple tienen.

Figura 3: iSniff-GPS capturaba los reportes a Apple de tus redes WiFi


- Side-Chanels: Los trucos son muchos y variados, e incluso sutiles. Hemos visto que existe la posibilidad de robárselo a otros que ya lo sepan, como los ataques a tu cuenta de Facebook usando técnicas basadas en tiempo, o robándosela a la caché de tu navegador usando mediciones de tiempo cargando recursos de servicios de Internet que indican tu ubicación, pero cada cierto tiempo aparece un nuevo método.

¿Cómo te piden tu ubicación?

Conseguir tu localización, aparte de realizarse de diferentes formas, se puede hacer con diferentes excusas o justificaciones a tener en cuenta.

- Explícito: El servicio se basa en tu ubicación, como por ejemplo el mapa de un sistema que navegación que está calculando la mejor ruta para ti, o un localizador de tiendas cerca tuya. El servicio necesita sí o sí conocer tu ubicación porque se basa en ello y tú lo aceptas porque te da un valor. Te ayuda.

Figura 4: Más de 1 Millón de apps quieren acceso a tu ubicación

- Implícito: El servicio necesita conocer tu ubicación para poder funcionar, pero el servicio no se basa en tu ubicación. Este es el caso de todas las aplicaciones que tienen un backend al que se conecta tu app y que recoge tu dirección IP, pero también aquellos que te dan conexión a Internet desde una ubicación concreta para saber que has visitado su tienda o que necesitan saber a qué antena de la red de telefonía está conectado tu terminal para encaminarte las llamadas.

- (PWYP) Pay With Your Privacy: Estos son aquellos servicios que quieren capturar tu ubicación siendo más o menos claros en los Términos y Condiciones y en la Política de Privacidad. Se basan en darte algo – por ejemplo, un juego – a cambio de obtener datos tuyos, como tu ubicación GPS u otros (ya veremos más casos en más artículos). El usuario, siendo consciente o no de lo que esto significa, acepta las condiciones.

Figura 5: ¿Es un justi-precio para ti darle tu ubicación y tus cuentas a este wallpaper?

Buscando en Tacyt, nuestro Big Data para la investigación de apps móviles, es fácil localizar cientos de miles de apps que buscan acceso a tu ubicación. De ellas muchas son explícitas, otras implícitas y otras del tercer grupo PWYP.

- De manera oculta: Estos servicios utilizan formas muy diversas para saber dónde estás. Pueden hacerlo de muchas maneras diferentes utilizando side-chanels, como por ejemplo averiguando dónde estás por las redes Wi-Fi (SSID,BSSID) que tu terminal está detectando y con qué señal cada una, o por la curva de consumo de batería de tu terminal.

¿Qué dice de ti tu ubicación?

La localización es uno de los datos más poderosos – aunque ya veremos otros en artículos siguiente que también tiene su valor – ya que permite obtener mucha información tuya analizándolo de forma discreta o de forma agregada con otros datos. Vamos a hacer un recorrido por ella.

- PoI (Points of Interest): Estas bases de datos son comunes en cada ciudad y en cada mapa. Tienen marcados puntos de interés que van desde monumentos hasta cualquier tienda. Listas de hoteles, gasolineras, restaurantes, tiendas de cómics, peluquerías, ministerios, empresas, etcétera. Es información más o menos pública ubicada en el mapa, por lo que es accesible por todo el mundo. Es fácil para cualquiera que se haya hecho con tu ubicación saber en qué PoI estás en un momento dado.

- Bases de datos oficiales: Existen mucha información relativa a ministerios que da datos de las ubicaciones. El catastro es una de las más populares, y se puede saber información de la vivienda que va desde quién es el dueño hasta el valor del metro cuadrado. Con estos datos se puede añadir a la lista de PoI una lista de viviendas unifamiliares que dice mucho de su dueño.

Con solo estos datos cruzados con tu ubicación se puede saber:
- Dónde vives.
- Dónde veraneas.
- Si la casa es tuya o vives de alquiler.
- Dónde trabajas.
- Qué tiendas visitas.
- Cuál es tu ruta al trabajo.
- Qué gustos tienes.
- Cuál es tu salario estimado.
- Tu geolocalización en series: Analizando la serie de ubicaciones, y viendo los patrones de encendido y apagado de tu localización, y la velocidad a la que cambia el delta de tu ubicación, se podría saber también:
- En qué medio de transporte te mueves.
- Cuántas amantes tienes (o en cuantas casas duermes).
- Cuál es tu actividad física (Vas a gimnasios, corres, bicicleta).
- Hospitalizaciones, problemas médicos.
- Viajes placer o negocios.
Y también cosas más mundanas cómo “Dónde has aparcado tu coche” o “Vas a tardar 25 minutos en llegar al colegio de tus hijos”.

Figura 6: Dónde has aparacado tu coche

- Eventos temporales: Si cruzamos la ubicación con las bases de datos que venden empresas con información de eventos que tienen lugar en un día y a una hora en una ubicación se podría acceder a qué películas se ponen en cada instante en cada cine, qué conciertos tienen lugar en cada bar, qué espectáculos deportivos tienen lugar en cada escenario o qué eventos o reuniones de negocio tienen lugar en cada ubicación (como los meetups o eventos de cada tipo). Con esto se saca un perfilado de:
- Tus gustos.
- Tus aficiones.
- Equipo de fútbol.
- Cantantes, actores, etcétera.
- Eventos significativos: Pero si esos eventos son de otra índole, por ejemplo, manifestaciones, mítines políticos, ceremonias religiosas, cárceles o fiestas sexuales. Se podría saber
- Ideología política.
- Ideología religiosa.
- Participación en determinados actos reivindicativos.
- Intereses secretos.
- Conexiones personales.
- Con otras personas: Si ahora cruzamos la base de datos de ubicaciones y vemos qué personas están al mismo tiempo en la misma ubicación, entonces se podrían conocer un montón de datos sociales:
- Quiénes son tus amigos y perfilarte por tus amigos.
- Perfilar un Punto de Interés, por ejemplo, una ubicación tipo tienda o restaurante, por ideología, edad, nivel socio-económico, etcétera.
- Deep Learning: Y si ahora utilizamos el perfilado social para detectar anomalías o patrones usando técnicas de Machine Learning & Deep Learning, se puede predecir mucho de cada persona uniéndolo con otros datos:
- Saber si un comercio comete fraude o no en los impuestos que paga por el tipo de gente que lo visita, la cantidad media de visitas y los impuestos que paga.
- Detectar comportamientos anómalos o erráticos.
- Detectar comportamientos ilegales.
- Predecir la fecha de tu muerte.
¿Datos buenos o Malos?

Todo lo que se aprende de un dato, todos estos insights, no tienen por qué ser malos ni mucho menos. Los datos se dan a gente o empresas de nuestra confianza para que nos hagan la vida más fácil. Yo le doy muy ubicación a Waze para que me ayude con la ruta y me da valor. Yo le doy mi ubicación a Facebook a cambio del servicio que me da porque me compensa la calidad de su servicio. Yo acepto que Skype sepa desde dónde estoy haciendo una llamada para poder usar su servicio. Y proteger tu tarjeta de crédito por tu ubicación es también de gran valor para mí. Que el banco detecte que mi banco detecte que no soy yo el que está usando mi tarjeta de crédito porque se está usando en un lugar en el que no estoy yo, también tiene un valor positivo para mí.


Figura 7: Proteger tarjetas de crédito con ubicación

Al final los datos pueden ser utilizados para muchas cosas buenas y se pueden usar incluso preservando la privacidad de las personas para mejorar la sociedad. La existencia de Waze o Google Maps u otros servicios de rutas han hecho que el tráfico en las ciudades sea lo mejor posible gracias a ellos. Además, analizando el movimiento de personas una ciudad puede planificar mejor sus infraestructuras a la hora de poner un colegio o un hospital. Y ayudar en crisis y emergencias de salud. Por ejemplo, conociendo cuáles son los patrones de movimiento de los habitantes de una ciudad donde se ha producido el brote de una enfermedad, es posible predecir la ruta más probable de expansión, o saber si el plan de emergencia de un país funciona tras un terremoto o una catástrofe natural.


Figura 8: Cómo usar los datos de localización para salvar vidas

Al final, de lo que se trata es de entender cuál es el pacto que haces con cada empresa, app u organización en la que compartes tus datos, para que entiendas si tiene valor para ti el servicio que recibes, y que no te extrañe si el día de mañana aparece asociado a tu perfil tu ideología o sexualidad porque una app gratuita capturó tu ubicación cuando diste a “Sí, Acepto” y vendió tu asistencia tiendas y reuniones que le sirvieron para perfilarte y luego vendió esos datos a un tercero.

Saludos Malignos!

2 comentarios:

Chelui Martinez Fajardo dijo...

Gracias por por este post, como interesado en el tema lo leeré varias veces.

gersonbeltran dijo...

Muchas gracias por el artículo, muy interesante, lo de la privacidad y la geolocalización es todo un mundo, además del tema del historial de localizaciones de Google que es brutal te recomiendo darle un vistazo a esta teoría donde explica que lo importante no es el dato en si sino la trazabilidad de ese dato y el comportamiento de los sujetos http://gersonbeltran.com/2014/06/04/la-teoria-del-mosaico/ Un abrazo

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares