8 millones de motivos para no descuidar los datos personales en cualquier lado
Nota sobre la responsabilidad de los datos ofrecidos: La información que aquí aparece es fruto de mi labor de recopilación y análisis, en calidad de estudiante de postgrado de la Universidad de Indiana, durante mi tiempo libre, sin que haya utilizado los recursos del gobierno federal. Este estudio formará parte de mi tesis doctoral, y como tal admito todas las críticas constructivas que se me hagan sobre mis teorías. Las opiniones que expreso son mías, y no reflejan la opinión de la Comisión Federal de Comercio, o de cualquier otra persona u organización.
ACTUALIZACIÓN, 3 de diciembre de 2009: He recibido una llamada telefónica de un ejecutivo de Telestrategies, la empresa organizadora de la Conferencia Mundial de la ISS, diciendo que las grabaciones que he realizado vulneran los derechos de autor, pidiéndome que retirase las grabaciones en formato MP3 de las dos sesiones de debate, así como los vídeos de Youtube, Vimeo, que había incrustado en este blog. Aunque creo que la forma en que inserté las grabaciones de vídeo y de audio eran legales, como gesto de buena fe, las he retirado, y se pueden descargar como archivo .zip de una página de hospedaje web.
Resumen
Sprint Nextel envió a las agencias de protección de datos la información sobre la posición de sus clientes (GPS), más de 8 millones de localizaciones entre septiembre de 2008 y octubre de 2009. Este descubrimiento de envío masivo de información sensible de los clientes de una empresa ha sido posible gracias a su inclusión en una web, en cumplimiento y aplicación de las leyes.
La prueba que documentan este programa de control y vigilancia es una grabación de audio en la que el Gerente de Sprint’s Manager of Electronic Surveillance lo destapó durante una mesa redonda en torno a la intervención de las conexiones telefónicas y la industria de control, que tuvo lugar en Washington DC en octubre de 2009.
No está claro si estas agencias que en aplicación de las leyes federales recopilan datos de geolocalización debieran haber entregado estos datos al Congreso, de conformidad con una ley de 1999 que indica la publicidad de las estadísticas de vigilancia. El Ministerio de Justicia no tiene en cuenta esta ley y no ha proporcionado los informes a que legalmente está obligado por mandato del Congreso desde el año 2004.
Introducción
“Los proveedores de servicios, desde la última vez que miré, no tienen ninguna entrada en los directorios de las páginas web del gobierno; no son agentes policiales; no trabajan para hacer informes como si fueran agentes de la Brigada de Investigación Criminal; sin embargo, por el camino de aplicación de la ley se les ordena y pide una obediencia ciega” Albert Gidari junior. Discurso en el programa: Companies Caught in the Middle, 41 U.S.F. L. Rev. 535, Spring 2007.
“ Las razón para mantener los datos de las búsquedas en internet por un periodo determinado de tiempo se nos dice que es porque se necesitan para hacer mejor los algoritmos, pero lo más importante es que esos datos pueden ser entregados por orden judicial en aplicación de las leyes gubernamentales”. — Eric Schmidt, CEO of Google, All Things Considered, NPR interview between 5:40 and 6:40, October 2, 2009.
Los proveedores de los servicios de internet y las compañías de telecomunicaciones desempeñan un papel muy importante, aunque poco conocido en relación con los servicios de inteligencia y de aplicación de las leyes.
Los agentes gubernamentales realizan de forma rutinaria registros de los clientes de estas empresas, donde se detallan los números marcados, los mensajes de texto enviados, los correos electrónicos y los SMS, páginas por las que se ha navegado, las consultas hechas en los motores de búsqueda, y por supuesto, los datos de geolocalización, con la información detallada de dónde y a qué hora se encontraba una persona en tal sitio.
Estas empresas de Internet y Telecomunicaciones cuentan con departamentos especiales, abiertos las 24 horas del día, con objeto de responder a las peticiones legales. Su único propósito es facilitar la divulgación de los registros de los clientes, en cumplimiento de la ley y de las peticiones de las agencias de inteligencia, al pie de la letra de la ley.
Las estadísticas “Juking”
Si usted creyese en las estadísticas de vigilancia pública, saldría con la idea de que la vigilancia que hace el gobierno de los EE.UU es algo raro.
Cada año, los tribunales de EE.UU realizan un informe detallado de cada intervención telefónica, solicitada por las autoridades federales, estatales o las agencias locales, en aplicación de la ley. A parte de la policía, el FBI, la DEA y otras fuerzas del orden pueden intervenir un teléfono, o interceptar una conexión de internet, o colocar de forma encubierta un aparato espía en una vivienda, para eso deben de tener una orden, que el profesor de derecho y blogger Orin Kerr describe como una “super-autorización”, debido al excesivo número de trámites que el gobierno debiera hacer para obtener la citada aprobación.
Los informes oficiales de escuchas telefónicas hablan de aproximadamente 2000 peticiones de intercepción de llamadas al año y que son aprobadas por los jueces.
Como era de esperar, la mayor parte de estas órdenes son para la intercepción de conversaciones telefónicas. Así, por ejemplo, de las 1891 órdenes de intercepción concedidas en 2008, todas menos 134 fueron para las escuchas telefónicas.
El número de órdenes para la intercepción del tráfico de Internet y de otros equipos de comunicaciones es sorprendentemente bajo. Sólo se concedieron 10 órdenes en 2008 para estos propósitos, y sólo 4 provenían del Gobierno Federal, cuando era de esperar un aumento mucho mayor, de acuerdo con las realizadas el año anterior.
Estas informaciones no tienen sentido, pues el número de intercepciones electrónicas debieran aumentar al igual que se hace con las escuchas telefónicas, pues la gente dispone con más facilidad de computadoras, y los delincuentes y otras personas que pudieran interesar al gobierno las utilizarían también para comunicarse y planificar sus actividades. ¿Por qué hay solamente 10 peticiones de este tipo en 2008 cuando fueron 700 ya en 1998?
Si bien no hay manera de probarlo, mis sospechas van en el sentido de que nunca ha habido muchas órdenes de intercepción electrónica de comunicaciones., según lo informado por los tribunales de EE.UU, incluyendo las utilizadas para controlar ordenadores, fax y buscapersonas. El informe de intervenciones no se detalla en las tecnologías utilizadas, pero sospecho que las 700 órdenes de 1998 se refieren fundamentalmente a fax y buscapersonas. Como estas tecnologías han desaparecido, también se ha reducido el número de intercepciones.
Todavía queda una pregunta : ¿Con qué frecuencia se supervisan las comunicaciones por Internet, y qué tipo de órdenes son necesarias para llevarlas a cabo?
Las estadísticas no abarcan todas las formas de vigilancia que marcan las leyes
Como he descrito al principio de este artículo, el gobierno obtiene los datos de los clientes que proporcionan las empresas proveedoras de internet (ISPs), que detallan los números marcados, los mensajes de texto, los correos electrónicos, los SMS, las páginas web por las que se navega, las consultas hechas en los navegadores, los datos de geolocalización, que detallan la posición de una persona y a qué hora.
Sin embargo, hay otras muchas maneras en que un gobierno puede controlar a un individuo, métodos que no requieren de una orden judicial para hacerlo.
En general, las órdenes de intercepción son para la vigilancia de las comunicaciones en tiempo real. Otras informaciones, como los mensajes electrónicos, URLs de las páginas visitadas, los números marcados, pueden ser obtenidos en un simple registro o solicitud.
Mientras las escuchas telefónicas requieren una orden judicial que debe ser evaluada y aprobada por un juez siguiendo normas estrictas, los abogados del gobierno tienen la posibilidad de obtener órdenes de registro simplemente certificando que la información que se requiere es pertinente para una investigación penal en curso, en un umbral probatorio muy bajo.
Además de que son muy fáciles de obtener, estas órdenes de registro no se incluyen en los informes anuales de los tribunales de EE.UU sobre intervenciones telefónicas. Aunque la ley de 1999 exigía del Procurador General una compilación estadística sobre las órdenes de registro emitidas por el Departamento de Justicia, y que se debe presentar al Congreso.
Lamentablemente, el Departamento de Justicia hace caso omiso de esta ley desde 2004, cuando anteriormente había recogido en un informe los datos del periodo 1999-2003. Desde entonces, tanto el Congreso como el pueblo americano, no dispone de los datos de los registros de llamadas hechas por el gobierno federal.
Dado que no se dispone de ningún registro de llamadas en los últimos cinco años, es difícil hacer una comparación con datos anteriores. Sin embargo, con los datos de los cinco años anteriores sí es posible hacer algunas observaciones.
En primer lugar, en 2003, los agentes federales usan 15 veces más los registros de las llamadas y seguimientos de rastros de navegación. Tal vez esto se deba a que las 578 órdenes federales de intercepción tuvieron que ser cuidadosamente evaluadas y aprobadas por un juez, mientras que los 5922 registros de las llamadas y los 2649 seguimiento de rastros sólo tuvieron que pasar el trámite de una revisión superficial, en el mejor de los casos.
En segundo lugar, el número de registros de llamadas y seguimientos de rastros se redujeron después del 11 de septiembre, en un momento que el FBI y otros departamentos de Justicia incrementaron desmesuradamente el uso de la vigilancia. Hubo 4210 registros de llamadas en 2000, 4172 en 2001 y 4102 en 2002.
Es importante destacar que estas cifras revelan sólo una parte del conjunto, ya que estas estadísticas sólo se refieren a la utilización de los registros de llamadas y rastros del Departamento de Justicia. No hay estadísticas públicas sobre el uso de estos métodos de vigilancia por las autoridades locales. Así mismo, estas estadísticas sólo se refieren a las solicitudes presentadas en los casos de aplicación de la ley (Los registros de llamadas realizados por los servicios de inteligencia no están disponibles, o no existen).
Almacenamiento de las comunicaciones
Los requisitos que se han de cumplir para la intercepción de llamadas sólo se aplican a las comunicaciones en vivo. Sin embargo, las comunicaciones y los registros de clientes que están en depósito, tales como correos electrónicos, rotos y otros archivos, que se mantienen en los servicios de Google, Microsoft, Yahoo, Facebook y MySpace son rutinariamente dados a conocer en cumplimiento de la ley, y no hay ninguna obligación legal de que estas estadísticas sean publicadas.
Actualmente no hay una vía para que los investigadores, o los miembros del Congreso, o el público en general, se entere de cuántas veces se proporcionan datos de correos electrónicos, fotografías o servicios de redes sociales a los agentes de orden público.
Si bien estas empresas ofrecen datos de los clientes sensibles a los agentes del gobierno diariamente, se niegan rotundamente a hablar de ello.
“Como cuestión política que es, no hacemos comentarios sobre la naturaleza o el contenido de las solicitudes que en aplicación de la ley se hacen a Google”.
“No hacemos comentarios sobre las peticiones específicas del gobierno. Mocrosoft se compromete a proteger la privacidad de sus clientes y aplica todas las leyes existentes que sobre privacidad de datos”.
“Dado el carácter sensible de este asunto y el posible impacto negativo sobre la capacidad de investigación de las fuerzas de seguridad, Yahoo no discute los detalles de cumplimiento de aplicación de la ley. Yahoo aplica las leyes según los requirimientos legales”.
Sólo Facebook y AOL han divulgado públicamente el número aproximado de peticiones que reciben del gobierno (de 10 a 20 consultas al día en el primer caso, y unas 1000 al mes en el segundo).
«Dado el carácter sensible de esta zona y el posible impacto negativo sobre la capacidad de investigación de organismos de seguridad pública, Yahoo no discutir los detalles del cumplimiento de aplicación de la ley. Yahoo responde a la aplicación de la ley en cumplimiento con todas las leyes aplicables.»
Siguiendo al dinero
“Cuándo se sigue el rastro del dinero, se llega a lo que se está consumiendo, a cuántos intervienen, cuántos registros de llamadas se hacen, cuántos clientes se registran. Así se tiene la oportunidad de mirar y ver lo que pasa”. — Albert Gidari Jr., Keynote Address: Companies Caught in the Middle, 41 U.S.F. L. Rev. 535, Spring 2007.
Los operadores de telecomunicaciones y los proveedores de internet no solamente entregan información de los clientes sensibles a los agentes de orden. No… estas compañías cobran al gobierno por ello.
Cox Communications, el tercer mayor proveedor de cable en los Estados Unidos, es la única compañía que he encontrado que ha hecho pública el precio que cobra por los servicios de vigilancia. Por lo tanto, ahora sabemos que esta compañía cobra 2.500 dolares por los primeros 60 días de un registro de llamadas, o de rastreo, después 2.000 dólares adicionales por cada 60 días, mientras que cobra 3.500 dólares por los primeros 30 días de una intervención telefónica, 2.500 dólares adicionales por cada 30 días sucesivos. Por el historial de datos cobra menos: por 30 días de registros en detalla de un cliente, apenas unos 40 dólares.
Comcast no hace pública su lista de precios, pero sí conocemos por una filtración en Internet de los cargos que hizo por este asunto en 2007, por lo menos 1000 dólares por el primer mes de intervención telefónica, y después 750 dólares para mes suplementario.
En el verano de 2009, decidí probar siguiendo el rastro del dinero a fin de determinar con qué frecuencia las empresas de internet revelaban información privada de sus clientes al gobierno. Tenía la teoría de que podría obtener las listas de precios de cualquier proveedor, detallando el precio por cada tipo de servicio, y las facturas pagas por las diferentes partes del gobierno federal, y realizando ingeniería inversa obtener unas estadísticas aproximadas. Con el fin de obtener estos documentos hice solicitudes a los distintos Departamentos de Justicia que se me ocurrieron.
El primero en responder fue el Servicio de Alguaciles de EE.UU (USMS), quien me informó de que había tres listas de precios en el archivos de Cox, Comcast, Yahoo y Verizom. Dado que esta lista de precios fue entregada voluntariamente por la USMS, las empresas tuvieron la oportunidad de oponerse a la divulgación de estos documentos. Comcast y Cox no se opusieron (tal vez porque las listas ya eran públicas), mientras que Verizon y Yahoo se opusieron a su publicación.
Entonces presenté una segunda solicitud, pidiendo copias de las dos empresas que realizaban la objeción. Estas fueron más interesantes incluso que la lista de precios que originalmente buscaba.
Click here , para la lista completa de precios de Verizon
Click here , para la lista completa de precios de Yahoo
En primer lugar, Verizon dice que “recibe decenas de miles de solicitudes para el registro de los datos de sus clientes u otras informaciones de sus clientes en aplicación de la ley”
Una estimación conservadora fija en 20.000 solicitudes al año, es decir, Verizon recibe ella sola más solicitudes en aplicación de la ley que las recogidas por las estadísticas de vigilancia que se publican. Eso no quiere decir que las estadísticas sean incorrectas, sólo que la mayor parte de los métodos de vigilancia no son denunciados.
En su carta, Verizon, da varias razones por las cuales considera que su lista de precios debiera ser confidencial. Destacan dos:
-
- argumenta primero que los clientes pueden tener miedo de que sus líneas sean aprovechadas o llamen a Verizon para comprobar si sus líneas son intervenidas ( una pregunta a la que no se puede responder).
- La segunda razón más interesante: “nuestros programas de fijación de precios se hace sobre una petición en aplicación de la ley. Por este motivo no podemos revelar los precios al público por una cuestión de interés y que un criminal podría darse cuenta de nuestras capacidades, cambiando de este modo sus comportamientos y frustrar así las investigaciones de este tipo”
La carta de Yahoo es mucho más emocionante, y eso que ni siquiera dice el número de solicitudes que recibe. Hay un dato interesante, una carta cuyas razones son fácilmente comprensibles:
“ Revelar la información con los precios que cobra por estos servicios sería una vergüenza para Yahoo. Un fuerte golpe para sus clientes. Revelar estos datos es un grave deterioro de su reputación sobre su política de protección de datos, lo cual supondría una desventaja competitiva frente a otras empresas de tecnología”.
( http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:ES:HTML
Directiva 2006/24/CE del Parlamento Europeo y del Consejo
de 15 de marzo de 2006
sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE )
Traducido del inglés por Zenón
Fuente:
http://paranoia.dubfire.net/2009/12/8-million-reasons-for-real-surveillance.html