El periodista noruego Martin Gundersen ha realizado una extensa investigación en la que ha puesto de manifiesto cómo los datos de las aplicaciones que utilizó en su smartphone acabaron en manos de Venntel, un data broker que trabaja con las autoridades policiales de Estados Unidos.
Gundersen comenzó su investigación el pasado mes de febrero, mismo mes en el que The Wall Street Journal informó que Venntel había vendido el acceso a datos de ubicación de teléfonos inteligentes a diferentes organismos gubernamentales de EE.UU., como el FBI, la Oficina de Aduanas y Protección Fronteriza de Estados Unidos (CBP) o el Servicio de Control de Inmigración y Aduanas (ICE). Según su información, el ICE utilizó los datos para identificar a inmigrantes que luego fueron arrestados mientras que al CBP le sirvieron para detectar actividad de teléfonos móviles en lugares inusuales, como áreas remotas de la frontera entre EE.UU. y México.
El primer paso de Gundersen fue instalar 160 aplicaciones en un teléfono móvil secundario que, a partir de entonces, llevó consigo a todas partes. Ahora, ha compartido los resultados tanto en un hilo de Twitter como en el medio noruego para el que trabaja, 'NRKbeta', así como en el portal de Vice 'Motherboard'.
Registró más de 75.000 datos de ubicación
Gundersen realizó la investigación con un smarthphone de Android y, entre las 160 aplicaciones que instaló, se encuentran algunas bastantes populares. Por ejemplo, Sygic GPS Navigation & Offline Maps, que tiene más de 50 millones de descargas en la Play Store, o Fu*** Weather ("Funny Weather"), que cuenta con más de un millón de descargas-
"Tengo la sensación de que estas aplicaciones me están espiando. Bueno, escuchando no, pero están haciendo un seguimiento de dónde estoy en todo momento. Que todos mis movimientos son compartidos. Cuando estoy comprando comiendo, tomando una copa o saliendo con amigos. Sé que hay quienes compran y venden esa información. ¿Cómo nos están rastreando y qué quieren con nuestros datos?", pregunta el periodista al comienzo de su artículo.
A finales de agosto, Gundersen solicitó una copia de toda la información que Venntel tenía sobre él acogiéndose al Reglamento General de Protección de Datos (RGPD), según el cual toda empresa está obligada a proporcionar estos datos y los europeos tienen derecho a reclamarlos. Anteriormente, le había dado a Venntel su "ID de publicidad", un identificador para rastrear a los usuarios de teléfonos que se puede limitar, aunque pocas personas lo hacen.
"Casi un mes después, recibí un correo electrónico de Venntel con un interesante archivo adjunto. Contenía información sobre dónde había estado 75.406 veces desde el 15 de febrero. De repente, pude retroceder sobre cada uno de mis pasos: en una caminata, saliendo a tomar una copa y visitar a mi abuela en el sur de Noruega".
Aunque en los datos no aparecían nombres ni números de teléfonos, el periodista está seguro de que es fácil averiguar a quién pertenecen y que, además, exponen claramente otra información como dónde vive y dónde trabaja.
"Venntel también me informó que habían compartido mi información con sus clientes. Sus clientes pueden utilizar esta información para fines tales como la aplicación de la ley federal y la seguridad nacional", señala Gundersen, que también apunta que Venntel se negó a revelar quiénes eran estos clientes.
Los datos pudieron terminar en Venntel violando las leyes de privacidad
Fue entonces cuando Gundersen empezó a preguntarse cómo habían terminado sus datos de ubicación en los Estados Unidos, ya que ninguna de las aplicaciones que se había descargado mencionaba a Venntel en ningún lado.
Según le informó Venntel, adquirió su información a través de su empresa matriz, Gravy Analytics, un data broker que recopila información sobre los consumidores para mejorar la orientación de los anuncios. A su vez, desde Gravy Analytics afirmaron desconocer el origen de la mayoría de los datos, pero en su respuesta aparecían los nombres de dos nuevas empresas: Predicio (francesa) y Complementics (estadounidense).
Tras una nueva ronda de solicitudes, el periodista descubrió que los datos basados en la ubicación provenían de una empresa eslovaca llamada Sygic, que cuenta con una cartera de 70 aplicaciones diferentes.
Gundersen instaló dos aplicaciones de Sygic en febrero, que requirieron su consentimiento para personalizar la publicidad. Sin embargo, al final sus datos terminaron en Gravy Analytics, que en su política de privacidad establece que incluye propósitos como la detección del fraude o la seguridad nacional. El periodista preguntó entonces a tres abogados especializados en protección de datos y los tres coinciden en que el uso de los datos era una violación del RGPD.
Además, las aplicaciones de Sygic no solo proporcionaron los datos a Venntel sino también a la app meteorológica Fu*** Weather. En este caso, el periodista indica que al instalar esta app aceptó que sus datos podrían usarse para el análisis y la "monetización", es decir, para la financiación de la app. No obstante, indica que los tres mismos abogados consideran que este acuerdo no cumple con el RGPD ya que no está claro lo que implica exactamente la "monetización".
Gundersen preguntó al desarrollador de Fu*** Weather, Lawiusz Fras, y este aseguró que no conoce a Venntel, pero que está abierto al modelo de negocio de la app.
"El hecho de que coopere con empresas que utilizan algunos datos a los que la aplicación tiene acceso para ganar dinero con esto, no es confidencial", afirmó. Además, Fras admitió que la app podría ser más clara sobre lo que implica la "monetización", pero defendió que los usuarios han sido debidamente informados.
"Cómo los datos de Funny Weather llegaron a Venntel sigue siendo un misterio, pero es probable que los datos fluyeran a través de la empresa francesa Predicio, ya que este intermediario figura como socio en la política de privacidad de la aplicación", declara el periodista.
Venntel también tiene contratos con el FBI y el ICE
Gundersen también explica que Venntel le ha asegurado que no ha compartido los datos de su teléfono con ICE O CBP y que no tienen ninguna relación con los proveedores de Sygic o de Fu*** Weather.
"El FBI y el ICE también tienen contratos con Venntel, pero no han respondido preguntas sobre las oportunidades que ofrece para rastrear a los europeos dentro y fuera de Europa", apunta el periodista.
Esta investigación vuelve a evidenciar la importancia de ser precavidos a la hora de descargar aplicaciones en nuestros dispositivos y que también es muy complicado saber qué van a hacer con nuestros datos estas compañías y en manos de quién pueden terminar.