Acceso policial a los datos personales de iot
Atrás quedaron los días en que nuestros ordenadores eran los únicos dispositivos electrónicos de la casa conectados al resto del mundo a través de Internet. Ahora se puede acceder a todo, desde frigoríficos hasta aspiradoras robot, a través de aplicaciones desde cualquier parte del mundo. Es lo que se conoce como "Internet de las cosas" (IoT).
Un problema de privacidad es que muchos de estos dispositivos IoT no almacenan datos personales localmente en el propio dispositivo, o únicamente en el dispositivo, sino en un servidor remoto de la empresa en algún lugar, donde pueden acceder a ellos muchas personas y entidades, incluidas las fuerzas de seguridad. Tal vez lo más preocupante sean los dispositivos en red que recogen y almacenan vídeo y audio de nuestros hogares y alrededores, algunos en tiempo real. Pero hay muchos otros datos del Internet de las cosas que pueden interesar a la policía. Por ejemplo, los datos de nuestro termostato o frigorífico conectados en red podrían indicar si estábamos en casa a una hora determinada, lo que bastaría para que una persona se sintiera muy vulnerable en su propia casa.
Ya es bastante malo que la policía acuda a empresas de IoT para obtener datos sobre nuestras vidas. Peor aún, algunas de estas empresas de IoT han optado por incorporar la participación policial a su infraestructura. Especialmente con los dispositivos de consumo conectados a Internet orientados específicamente a la vigilancia, las empresas han creado sistemas que facilitan a la policía la solicitud de datos para ayudar en las investigaciones. Por ejemplo, las empresas que atienden a la policía han creado un formulario de solicitud que permite a las fuerzas del orden obtener datos de los clientes, en circunstancias de "emergencia", sin una orden judicial ni el permiso del cliente.
A fecha de enero de 2021, el 18% de los hogares estadounidenses tienen un timbre de vigilancia. Se trata probablemente de uno de los mayores sistemas de vigilancia en red del país. Como tal, es necesario profundizar un poco más para entender cómo los dispositivos IoT pueden permitir un enorme avance para la vigilancia policial.
Cómo funciona
Los dispositivos IoT de consumo están conectados a Internet. Algunos pueden estar conectados entre sí, por ejemplo, si un asistente electrónico como Echo o Alexa puede regular las luces de tu casa o encender la televisión. Algunos pueden controlarse mediante una aplicación. Otros se controlan simplemente hablando en voz alta, lo que significa que el micrófono siempre está, al menos en cierto modo, activo a la espera de la orden.
Algunos dispositivos de seguridad IoT con funciones de vídeo y audio, como los timbres Ring de Amazon, se activan por movimiento. Esto activa tanto una cámara como un micrófono, que graban el incidente. Los datos se cargan en servidores remotos de la empresa. Incluso sin que se produzca un movimiento, los usuarios pueden utilizar la aplicación en tiempo real para ver, escuchar o hablar a través del dispositivo.
Cómo lo utilizan las fuerzas de seguridad
En 2019, se informó de que el 69 % de los hogares estadounidenses tenía al menos un dispositivo IoT, lo que significa que una enorme cantidad de datos en la mayoría de los hogares está potencialmente a disposición de la policía para ayudar en las investigaciones. De hecho, la policía ha recabado datos de la pulsera de fitness Fitbit y del termostato doméstico Nest de Google. Y no nos equivoquemos, cuando se recopilan datos sobre una persona, la policía acabará buscándolos.
La policía puede obtener datos de sus dispositivos IoT domésticos de varias maneras. Si la policía ve una cámara de timbre o una cámara de seguridad apuntando a la escena de un crimen, puede acercarse a la puerta de una persona y solicitar la grabación. Esto también puede ocurrir digitalmente, con la policía enviando un correo electrónico o haciendo que el fabricante envíe un correo electrónico al usuario para solicitar la grabación. Estos correos pueden enviarse en masa a muchos usuarios a la vez. Si no hay orden judicial, siempre tienes derecho a decir "no". Si la policía consigue una orden judicial, puede presentarla al propietario del dispositivo si los datos están almacenados en él, o a la empresa si los datos están almacenados en un servidor de la empresa. Algunas empresas no informan al propietario del dispositivo cuando han entregado sus datos a la policía. Por último, algunas empresas tienen un formulario especializado para que la policía solicite datos directamente a la empresa en caso de emergencia, sin orden judicial ni consentimiento del usuario, como ocurre con las cámaras Ring de Amazon.
Quién lo vende
En la actualidad, un gran número de empresas tecnológicas y electrónicas venden dispositivos en red y conectados a Internet que recopilan datos de los usuarios y, a veces, incluso datos ajenos a ellos. Muchos usuarios intentan hacer un seguimiento de cuáles controlan sus datos para evaluar si confían en ellas o no. Un reto para ello es la frecuencia con que estas empresas de IoT se compran y venden entre sí. Un ejemplo es el reciente intento de venta de iRobot, fabricante de la popular aspiradora IoT Roomba, a Amazon, una empresa con un controvertido pasado de colaboración con las fuerzas de seguridad para entregar los datos de la cámara del timbre Ring. Este acuerdo suscitó temores de que Amazon heredara mapas de los hogares de las personas, algo que podría ser útil teniendo en cuenta sus propios dispositivos robóticos domésticos y sus drones de vigilancia de interiores.
Amenazas que plantea
El acceso policial a nuestros datos de IoT almacenados en los servidores de las empresas, incluidas las grabaciones de audio y vídeo, supone una gran expansión de la vigilancia gubernamental. En ausencia de las salvaguardias necesarias, incluida la aplicación rigurosa del requisito de la orden judicial, los datos no cifrados recogidos dentro de su hogar se almacenarían en uno de los mayores armarios de pruebas policiales de la historia: los servidores de las empresas de IoT.
La ubicuidad de estos dispositivos podría llevar a un mundo en el que haya grandes zonas de la casa, el jardín y el vecindario de una persona en las que no se sienta cómoda manteniendo conversaciones delicadas. Pueden temer que su conversación sea grabada y almacenada en un servidor de la empresa, lista para el acceso de la policía.
El trabajo de la EFF relacionado con esto
La EFF ha trabajado incansablemente para asegurarse de que estas empresas protejan tus datos y aseguren sus dispositivos. Presionamos a Ring para que introdujera el cifrado de extremo a extremo de las grabaciones, lo que hicieron a principios de 2021. Esto aumentó el poder de los usuarios para limitar el acceso de la policía a sus grabaciones. También pedimos que Ring dejara de permitir a la policía enviar correos electrónicos masivos a muchos clientes a la vez para solicitar grabaciones, una política que cambiaron en junio de 2021. También seguimos presionando para que las grandes empresas tecnológicas utilicen sus considerables recursos para luchar contra las órdenes judiciales excesivamente amplias cuando las envían las fuerzas del orden. (También descubrimos que la aplicación Amazon Ring estaba llena de rastreadores de terceros no revelados y presionamos a la empresa para que dejara de hacerlo).
Pero la lucha para que los dispositivos IoT de consumo estén más orientados a la privacidad dista mucho de haber terminado.