Por tan solo 0,12 dólares (0,11 euros) por registro, los data broker de EE UU venden información privada y confidencial sobre militares en activo y veteranos, como sus nombres, direcciones, geolocalización, patrimonio neto y religión, así como información sobre sus hijos y su estado de salud.

El 6 de noviembre se publicó un inquietante estudio, varios investigadores de la Universidad de Duke (Carolina del Norte, EE UU) se habían puesto en contacto con 12 data broker de EE UU y les preguntaron qué era necesario para comprar este tipo de información. Al final, compraron miles de registros sobre miembros de las fuerzas armadas estadounidenses, y descubrieron que muchos data broker ofrecían vender los datos con un mínimo de investigación de antecedentes y estaban dispuestos a tratar con compradores que utilizaban dominios de correo electrónico con sede tanto en EE UU como en Asia.

El estudio ha tenido una duración de un año y fue financiado en parte por la Academia Militar de EE UU de West Point (Nueva York). Pone de relieve los riesgos extremos para la privacidad y la seguridad nacional creados por los intermediarios de datos. Estas empresas forman parte de una oscura industria multimillonaria que recopila, agrega, compra y vende datos. Unas prácticas que, en la actualidad, son legales en EE UU. Muchos data broker han anunciado que tienen cientos de informaciones individuales de cada persona en su base de datos, y la industria ha sido criticada por agravar el desgaste de la privacidad personal y del consumidor.

Los investigadores afirman que les "sorprendió" la facilidad con la que pudieron obtener datos tan sensibles sobre miembros del ejército. "En la práctica, parece como si cualquiera con una dirección de correo electrónico, una cuenta bancaria y unos cientos de dólares pudiera adquirir el mismo tipo de datos que nosotros", afirma Hayley Barton, coautora del estudio e investigadora de posgrado.

Los autores esperan que el estudio sirva de advertencia a los legisladores estadounidenses y piden al Congreso que ratifique una ley integral de privacidad que restrinja el sector de los intermediarios de datos.

"Lo que necesitamos es regular este ecosistema", afirma Justin Sherman, autor principal del informe e investigador sobre privacidad. "A fin de cuentas, es un problema del Congreso, porque necesitamos nuevas autoridades legales para hacer frente a estos riesgos, y las agencias reguladoras necesitan más recursos".

Elizabeth Warren, senadora e integrante del Comité de Servicios Armados del Senado de EE UU (SASC, por sus siglas en inglés), ha revisado el informe y está de acuerdo en líneas generales. "Los data broker están vendiendo información confidencial sobre los miembros de las fuerzas armadas y sus familias por cinco centavos, sin tener en cuenta los graves riesgos para la seguridad nacional", declaró Warren, demócrata por Massachusetts, a MIT Technology Review. "Este informe demuestra que necesitamos verdaderos guardarraíles para proteger los datos personales de los miembros en servicio, los veteranos y sus familias".

Venta de información sensible

El peligro que suponen los datos disponibles sobre militares en activo no es un problema nuevo. Por ejemplo, en 2018, los datos sobre rutas de running registrados en Strava, la aplicación de seguimiento físico, revelaron la ubicación de bases militares estadounidenses y rutas de patrulla en el extranjero.

Los investigadores de Duke ya se habían topado con  data broker que anunciaban la venta de información sobre personal militar, explica Sherman, por lo que quisieron evaluar los riesgos para la seguridad nacional de esta industria. 

Sherman también señala que los data broker han afirmado contar con sólidos procesos de investigación que impiden que los datos se vendan a partes criminales o peligrosas y que garantizan que los datos que venden se utilizan de forma responsable. Pero su investigación demostró que esto es la excepción, no la regla.

En primer lugar, el equipo rastreó la web para saber cuántos de los miles de intermediarios de datos existentes en EE UU anuncian la disponibilidad de datos personales de los miembros de las fuerzas armadas del país. Encontraron "7.728 resultados para la palabra 'militar' y 6.776 resultados para la palabra 'veterano' en 533 webs de corredores de datos", según el artículo. Los principales corredores de datos, como Oracle, Equifax, Experian, CoreLogic, LexisNexis y Verisk, anunciaban datos relacionados con el ejército.

A continuación, los investigadores se pusieron en contacto con 12 de esos intermediarios para comprar los datos. Encontraron "una falta de controles sólidos al preguntar a algunos data broker sobre la compra de información sobre el ejército de EE UU. Al comprar datos de algunos data broker, como la verificación de identidad, la comprobación de antecedentes o los controles detectivescos para determinar nuestros usos previstos para los datos comprados". Los investigadores no han identificado a los data broker con los que contactaron, pero afirman que se atuvieron a todas las políticas de cumplimiento para la investigación en Duke.

Aunque algunos data broker sí disponían de controles -dos de estos 12 se negaron a realizar la venta porque no estaban convencidos de que los investigadores tuvieran una empresa verificada-, muchas empresas no los tenían. De hecho, uno de los data broker contactados aseguró que los investigadores podían evitar la comprobación de antecedentes si pagaban los datos por transferencia bancaria en vez de tarjeta de crédito.

En un caso más inquietante aún, uno de los intermediarios llegó a vender datos sobre la edad y el género de los hijos de militares en activo y residentes en Washington D.C., Maryland y Virginia, e incluso si sus hijos vivían en casa. Este conjunto de datos, que también incluía las direcciones de los miembros, se vendió a los investigadores cuando preguntaron en dominios estadounidenses y asiáticos.

Tanto Sherman como Sarah Lamdan, profesora de Derecho de la City University (Nueva York, EE UU) y autora de Data Cartels, un libro sobre el sector, afirman que las prácticas observadas por los investigadores parecen legales. Además, aseguran que la venta de datos sobre niños no infringe la Ley de Protección de la Privacidad Infantil en Internet, conocida como COPPA, que aborda los datos sobre la actividad online del menor.

Varios data broker también pidieron a los investigadores que firmaran acuerdos de confidencialidad. "Obligar a los clientes a firmar acuerdos de confidencialidad no es solo una falta de transparencia sobre lo que ocurre con nuestros datos", explica Lamdan. "Más bien, es un velo de secretismo que los data broker mantienen en torno a sus prácticas y a los grandes volúmenes de nuestros datos que venden a quien quiera comprarlos".

Al final, los investigadores adquirieron ocho conjuntos de datos de tres intermediarios diferentes a través de direcciones de correo electrónico con dominios estadounidenses y asiáticos. Cada grupo contenía entre 4.951 y 15.000 registros identificables. El coste final fue de entre 0,12 dólares y 0,32 dólares (0,11 euros y 0,30 euros) por el registro de cada miembro del servicio. Los investigadores no firmaron ningún acuerdo de confidencialidad.

La amenaza potencial del exterior

Para determinar el alcance del riesgo para la seguridad nacional, los investigadores querían comprobar específicamente si los intermediarios venderían datos a compradores de fuera de EE UU.

Al utilizar, un nombre de dominio y una dirección de correo electrónico .asia y una dirección IP de Singapur, los investigadores pudieron obtener información identificada individualmente sobre miembros en servicio activo, así como datos sobre su estado civil, condición de propietario o inquilino, etnia, idioma, religión y calificación crediticia, entre otros muchos datos.

Según el artículo, los intermediarios no investigaron a los investigadores cuando éstos hicieron la consulta desde un correo electrónico con sede en Asia, como tampoco lo hicieron cuando los investigadores hicieron la consulta desde un dominio con sede en Estados Unidos. Un intermediario restringió algunos campos de datos cuando la solicitud procedía del dominio .asia en lugar del dominio estadounidense, pero la mayoría de los intermediarios respondieron de forma similar independientemente del origen de la consulta.

"Pudimos comprar datos a intermediarios sin ningún tipo de investigación, aunque pertenecieran a miembros del ejército, aunque utilizáramos un dominio .asia, aunque quisiéramos que los datos se enviaran fuera del país", afirma Sherman, un hallazgo que califica de "realmente preocupante".

El Departamento de Defensa estadounidense no respondió a nuestras múltiples peticiones de comentarios.

En una declaración a MIT Technology Review, Ron Wyden, senador y miembro del Comité de Inteligencia del Senado de EE UU, se hizo eco de las palabras de Sherman. "Las conclusiones de los investigadores deberían ser una llamada de atención a los responsables políticos sobre el hecho de que el sector de los intermediarios de datos está fuera de control y representa una grave amenaza para la seguridad nacional de EE UU", afirmó Wyden.

"EE UU necesita una solución integral para proteger los datos de los estadounidenses de naciones hostiles, en lugar de centrarse en tiritas ineficaces como prohibir TikTok", añadió Wyden, demócrata por Oregón. "No es por sonar como un disco rayado, pero nuestro país necesita una ley integral de privacidad del consumidor para limitar la recopilación, retención y venta de información personal sensible desde un principio".