Los operadores de telefonía celular están vendiendo el acceso a los datos de ubicación de su teléfono en tiempo real

La compañía involucrada en una fila de privacidad tiene “conexiones directas” con todos los principales proveedores de servicios inalámbricos de EE. UU., Incluidos AT&T, Verizon, T-Mobile y Sprint, y también redes celulares canadienses.

Cuatro de los gigantes celulares más grandes de los EE. UU. Están vendiendo sus datos de ubicación en tiempo real a una compañía de la que probablemente nunca antes haya escuchado.

En caso de que se lo haya perdido, la semana pasada un senador envió una carta en la que le pedía a la Comisión Federal de Comunicaciones (FCC) que investigue por qué Securus, una compañía de tecnología de prisiones, puede rastrear cualquier teléfono “en segundos” utilizando datos obtenidos de los gigantes de células más grandes del país, incluidos AT&T, Verizon, T-Mobile y Sprint, a través de un intermediario, LocationSmart.

La historia explotó porque un ex alguacil de la policía husmeaba los datos de ubicación del teléfono sin orden judicial, según The New York Times. El sheriff se declaró inocente de los cargos de vigilancia ilegal.

Sin embargo, poco se sabe sobre cómo LocationSmart obtuvo los datos de ubicación en tiempo real de millones de estadounidenses, cómo se obtuvo el consentimiento requerido de los usuarios de celulares y quién más tiene acceso a los datos.

Kevin Bankston, director del Open Technology Institute de New America, explicó en una llamada telefónica que la Ley de Privacidad de las Comunicaciones Electrónicas solo restringe a las compañías de telecomunicaciones para que no revelen datos al gobierno. No restringe la divulgación a otras compañías, que luego pueden revelar esos mismos datos al gobierno.

Llamó a esa laguna “una de las mayores brechas en la ley de privacidad de Estados Unidos”.

“El problema no parece haber sido directamente litigado anteriormente, pero debido a la forma en que la ley solo restringe las divulgaciones de este tipo de empresas al gobierno, mi temor es que argumenten que pueden hacer un acuerdo de transferencia, como esto “, dijo.

LocationSmart, una compañía de tecnología con sede en California, es uno de los pocos llamados agregadores de datos. Afirmó tener “conexiones directas” a redes de operadores de telefonía celular para obtener datos de ubicación de teléfonos celulares en tiempo real de torres de telefonía móvil cercanas. Es menos preciso que usar el GPS, pero los datos de la torre de telefonía móvil no agotarán la batería del teléfono y no requieren que el usuario instale una aplicación. Verizon, uno de los muchos operadores de telefonía celular que vende acceso a sus vastas cantidades de datos de ubicación de clientes, cuenta con LocationSmart como un socio cercano.

La compañía cuenta con una cobertura del 95 por ciento del país, gracias a su acceso a todas las principales aerolíneas de EE. UU., Incluidas las de US Cellular, Virgin, Boost y MetroPCS, así como a las canadienses, como Bell, Rogers y Telus.

“Utilizamos la misma tecnología utilizada para habilitar la asistencia de emergencia y esto incluye la ubicación de la torre celular y del sector celular, GPS asistido y trilateración de la torre celular”, dijo un estudio de caso en el sitio web de la compañía.

“Con estas fuentes de ubicación, podemos localizar prácticamente cualquier dispositivo móvil con base en los EE. UU.”, Afirmó la compañía.

La ubicación precisa de una persona puede devolverse en tan solo 15 segundos, según otro estudio de caso, y los datos generalmente no se almacenan en caché durante más de dos minutos.

Otras compañías luego compran acceso a los datos de LocationSmart, o los datos los obtiene un cliente de LocationSmart, como 3Cinteractive, que se dice que proporcionó datos de ubicación a Securus.

Pero LocationSmart no ha dicho cómo garantiza que sus clientes corporativos protejan los datos de ubicación para evitar el abuso y el mal uso. Un portavoz de LocationSmart no devolvió un correo electrónico con varias preguntas enviadas antes de la publicación.

Las empresas compran los datos de ubicación de LocationSmart por muchas razones. A veces es para ayudar a localizar una tienda cercana o para enviar un mensaje de texto de marketing cuando una persona visita una tienda rival. Los datos de ubicación pueden ser utilizados incluso por compañías para rastrear entregas o envíos, o por bancos para combatir el fraude, como por ejemplo, si una persona está haciendo transacciones con tarjeta a millas de distancia entre unos pocos minutos entre sí.

En cualquier caso, la empresa requiere el consentimiento explícito del usuario antes de poder utilizar sus datos de ubicación, enviando un mensaje de texto de una sola vez o permitiendo que un usuario presione un botón en una aplicación.

LocationSmart también dijo que permite que algunos clientes obtengan un consentimiento “implícito”, que se utiliza caso por caso, cuando “la naturaleza del servicio implica que se usará la ubicación”. La compañía dijo que un ejemplo podría ser cuando un automovilista varado pide asistencia en la carretera, y el evento implica que la persona está “llamando para ser encontrada”.

La compañía incluso tiene su propia página “pruebe antes de comprar” que le permite probar la exactitud de sus datos. Con el consentimiento de un colega, rastreamos su teléfono hasta una manzana de su ubicación real.

El agregador de datos dijo que tiene acceso a los datos de ubicación de la red del operador “porque la privacidad está integrada en su plataforma basada en la nube”.

Si bien eso puede ser cierto, el requisito para obtener el consentimiento de una persona se derrumba si se emite una orden de registro para esa información. Así es exactamente cómo las compañías como Securus pueden revelar datos de ubicación sin pedir permiso a una persona.

De acuerdo con un documento del gobierno del estado de Nebraska, una aplicación “también se puede configurar, con la aprobación del operador y la documentación de garantía adecuada, para recuperar los datos de ubicación sin que el usuario se dé de alta”. Securus pudo devolver los datos de ubicación en tiempo real de los usuarios sin su consentimiento porque el sistema requería que se enviara primero un pedido válido.

Sin embargo, como informó The New York Times, Securus nunca verificó los pedidos antes de repetir los resultados.

Nos pusimos en contacto con los cuatro principales operadores de EE. UU. Antes de su publicación. Preguntamos cómo cada transportista obtiene el consentimiento de los clientes para vender sus datos y qué medidas de seguridad implementan para evitar el abuso.

La portavoz de Sprint, Lisa Belot, dijo que la compañía comparte datos de ubicación de identificación personal “solo con el consentimiento del cliente o en respuesta a una solicitud legal, como una orden judicial validada de la policía”.

La política de privacidad de la compañía, que rige el consentimiento del cliente, dice que los terceros pueden recopilar los datos personales de los clientes, “incluida la información de ubicación”.

Sprint dijo que la relación de la compañía con Securus “no incluye el intercambio de datos” y está limitada “a respaldar los esfuerzos para frenar el uso ilegal de teléfonos celulares de contrabando en instalaciones correccionales”.

Cuando se les hicieron las mismas preguntas, el portavoz de Verizon, Rich Young, respondió brevemente a Securus y no quiso hacer más comentarios.

“Aún estamos tratando de verificar sus actividades, pero si esta compañía está haciendo esto con los datos de nuestros clientes, tomaremos medidas para detenerlo”, dijo.

El portavoz de AT&T, Jim Greer, dijo en un comunicado: “Tenemos un enfoque de mejores prácticas para manejar los datos de nuestros clientes. Somos conscientes de la carta y le daremos una respuesta”. Nuestras preguntas tampoco fueron respondidas.

Un portavoz de T-Mobile no respondió en nuestro plazo.

“Es importante para nosotros cerrar esa brecha potencial y eso se puede hacer fácilmente con una línea de lenguaje legislativo”, dijo Bankston, “que también tendría el beneficio de hacer que todas las demás compañías tengan cuidado de obtener siempre el consentimiento antes de divulgar sus datos a nadie.”

Ron Wyden, un senador demócrata de Oregon, pidió a cada operador que dejara de compartir datos con terceros. Wyden argumentó que el hecho de compartir “no tiene en cuenta la obligación legal de los operadores inalámbricos de ser el único conducto por el cual el gobierno puede vigilar los registros telefónicos de los estadounidenses”.

En una publicación del blog, Electronic Frontier Foundation (EFF) dijo que la policía podría estar violando la ley al no buscar información directamente de las compañías telefónicas. “La policía no debería tener acceso ilimitado a estos datos, ya sea que los obtengan de Securus o directamente de las compañías telefónicas”, dijo la EFF.

Wyden también solicitó a la FCC que investigue a los transportistas por supuestamente no obtener el consentimiento del usuario.

La FCC no ha dicho aún si investigará.

 

Fuente y foto: https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/