Actualmente estamos muy preocupadxs ante la amenaza a nuestra privacidad que supone la tecnología móvil que usamos en el día a día. Pero nos equivocamos si pensamos que es la única tecnología de control que llevamos encima cuando salimos de casa.
Hace un par de días, tras abrir la lavadora para sacar la ropa y tenderla al viento, un pequeño papel se desprendió de una de las prendas. Podría haber sido uno de esos miles de tiques de compra que olvidamos retirar de algún bolsillo antes de meter la ropa en la máquina, pero no. El papel en cuestión tenía unas líneas de metal con una forma geométrica, parecidas a las que tienen los libros o discos en las tiendas pegados en alguna solapa, y que sirven para poner freno a los amigos de lo ajeno. El papel en cuestión no era más que un dispositivo con un chip con frecuencia de radio (conocido técnicamente como RFID) y que utilizan algunos comercios para hacer un seguimiento de sus existencias sin tener que ir pasando códigos de barra producto a producto. El dispositivo estaría escondido o pegado a alguna parte de alguna prenda que ese día terminó en el cesto de la ropa sucia y posteriormente fue lavada a máquina. Me dio por subir esta historia a mi Instagram personal y a los pocos minutos me empezaron a llegar comentarios de amistades sorprendidas por no saber para qué se utilizaban estos dispositivos.
Lo que más asombró a mis seguidores no era el descubrimiento del dispositivo RFID entre mi ropa, sino la utilidad de este. Las tiendas usan este dispositivo para hacer inventario, o como antirrobo, pero también puede ser utilizado para saber qué vende la competencia o hacer un seguimiento de sus productos una vez vendidos. Este tipo de chip está preparado para funcionar sin energía y ser leído a varias decenas de metros de distancia por un dispositivo lector. Estos dispositivos lectores de radiofrecuencia los tenemos situados en las puertas de casi todas las tiendas, son esos paneles que llamamos antirrobo. Este tipo de chip no queda desactivado cuando sales de la tienda, si no que sigue activo incluso cuando lleva varios días o meses ya en los cajones de tu casa. Siempre que te los pongas y vuelvas a pasar por un lector volverá a leer la información que contenga.
Pongamos un ejemplo. Un día loco nos da por ir a alguna tienda del señor Amancio a comprar un pantalón. Cuando salgamos de la tienda los paneles situados en las puertas habrán leído toda la información de lo que llevamos en la bolsa. Ahora nos dirigimos a otra tienda de la misma compañía o, mejor, a una de la competencia. Cuando entremos por la puerta esta tienda sabrá en cuestión de microsegundos qué llevamos en la bolsa, dónde lo hemos comprado, modelo, talla, precio, etc. Si dentro de un mes volvemos a las mismas tiendas, pero esta vez vistiendo aquel pantalón, y no hemos retirado este dispositivo de nuestra prenda, los lectores volverán a leerlo, pudiendo hacer un seguimiento de la durabilidad de sus productos, entre otras cosas. Si lo pensamos bien, esto sirve para hacer estudios de mercado a gran escala dentro de una misma área comercial, pero también fuera de ella. Si estamos de viaje a en alguna ciudad europea el proceso será el mismo cuando pasemos por las puertas de cualquier comercio.
Las grandes tiendas suelen tener advertencias sobre el uso de este tipo de dispositivos en sus productos, les obliga la ley, pero pocos hacemos caso a ellas. Los sistemas de rastreo como estos no son nuevos, pero sí son los grandes desconocidos por el público en general. Las voces expertas en seguridad y privacidad llevan décadas alertando sobre el poco control que tenemos ante los datos que guardan estos dispositivos.
Todo esto me llevó a recordar una charla sobre seguridad y privacidad que ofreció el Dr. Alberto Escudero, en la antigua Casa de la Paz en la Plaza del Pumarejo, durante una jornada preparada por el desaparecido Hacklab de Sevilla en 2004. Alberto pertenecía a la asamblea de Nodo50 desde sus inicios y llevaba una vida entera comprometido con la privacidad y los movimientos sociales en la red. Él había acudido meses atrás como experto en seguridad a la Cumbre Mundial de la Sociedad de la Información de Naciones Unidas. La seguridad del encuentro había sido contratada a SportAccess, una empresa privada que anteriormente había trabajado para el Fórum Económico Mundial. El proceso de registro consistía en enseñar un documento de identidad, registrar tus datos y una foto de la persona obtenida mediante una cámara web. Posteriormente, la persona participante registrada recogía una tarjeta identificatoria. A Alberto, que ya había trabajado anteriormente con ese tipo de tarjetas, le extrañó mucho el grosor y peso de aquella, así que con un cutter empezó a destriparla hasta que descubrió que dentro de ella había un dispositivo RFID. Lo que parecía una simple tarjeta identificativa resultó ser un dispositivo de seguimiento. Había dispositivos de lectura en la puerta de la cumbre, en la entrada a las ponencias del evento y no se sabe si lo había en otras estancias de la sede, como en los ascensores.
Al día siguiente Alberto procedió a sacarse otra vez la tarjeta identificativa, pero esta vez usó para ello un documento de identificación falso. No hubo ningún problema, Alberto consiguió el preciado documento identificativo. Además logró fotografiar todo el sistema, probando que los datos de identidad no eran almacenados en la misma tarjeta, sino que eran guardados en una base de datos que además registraba entradas y salidas todo el tiempo. Con estos datos es muy fácil controlar la actividad de cada participante, así como establecer relaciones entre ellos y sus posibles interacciones. Durante todo este proceso se preguntó a la organización sobre la utilidad de esos datos y la política de privacidad del evento, sin recibir respuesta. Alberto explicaba que «la preocupación principal no es solo la falta de información que los participantes reciben acerca del sistema de control de acceso al evento o que nadie fuera capaz de contestar cómo los datos personales iban a ser tratados en el futuro; el problema principal es que el sistema en realidad no introduce una verdadera seguridad y, por el contrario, introduce la posibilidad de monitorear a los representantes de la sociedad civil».
Este proceso dio lugar a una denuncia a modo de pregunta en el Parlamento Europeo sobre la violación de la intimidad en la Cumbre Mundial sobre la Sociedad de la Información. El 28 de enero de 2004 el Sr. Liikanen, en nombre de la Comisión Europea, ofreció una respuesta explicando que trataría de obtener información al respecto. En febrero se volvió a preguntar ante el Parlamento Europeo si la Comisión había obtenido respuestas a sus investigaciones y cuál era el estado de estas. El Sr. Liikanen volvió a responder esta vez que la Comisión no había obtenido respuesta de la Unión Internacional de Telecomunicaciones (UIT) ante la petición de detalles sobre el asunto con el fin de evaluar la legalidad del tratamiento de esa información. Parece que en realidad nunca hubo un interés real en saber cómo iban a ser utilizados los datos que se obtuvieron de las personas que participaron en la Cumbre Mundial de la Sociedad de la Información a finales de 2003.
Actualmente estamos muy preocupados por el tratamiento de nuestros datos durante el uso de internet, pero olvidamos que en la vida real hay otras formas de rastrear nuestra actividad y que estamos continuamente expuestos a ello. No se trata de sembrar el pánico ni de soltar soflamas conspiranoicas, pero la realidad es que no sabemos nada sobre cómo estos datos son utilizados y con qué fines, y nadie está muy preocupado por hacer que la legislación se cumpla. El propio Instituto Nacional de Tecnologías de la Comunicación alerta de que «una persona, portando una etiqueta RFID con sus datos y usándola para pagar compras, transportes públicos, accesos a recintos, etc., podría ser observada y clasificada» y que «utilizando técnicas de “minería de datos”, este análisis permitiría definir perfiles de consumo basados en las preferencias de los clientes, utilizando esta información para diseñar y orientar la estrategia de marketing y publicidad de las empresas».
Pero no solo nos espía nuestra ropa. No debemos olvidar que en nuestras carteras llevamos también algunos dispositivos RFID, como los que llevan incorporadas las tarjetas bancarias, o algunas tarjetas de acceso al gimnasio, biblioteca, etc. En este caso, estas tarjetas incorporan un nuevo tipo de RFID llamado NFC (Near-Field Communication o comunicación de campo cercano) que por defecto tiene un alcance de no más de cuatro o cinco centímetros. Esta distancia se aplica como un estándar de seguridad. Una máquina de pago o TPV, que actuaría como lector RFID, puede leer nuestro número de tarjeta bancaria, fecha de caducidad e incluso las últimas transacciones que se hizo con ella con tan solo acercarla. Aunque estos dispositivos están diseñados para funcionar a muy poca distancia, el profesor Johann Briffa y su equipo de la Universidad de Surrey, en Inglaterra, han conseguido multiplicar este rango hasta los 60 centímetros de distancia con métodos caseros. Podemos entonces imaginar qué distancia de lectura se podría alcanzar con dispositivos que cuesten unos pocos de miles de euros.
Si hablamos de identidad, hablamos de nuestro propio Documento Nacional de Identidad. En 2015, el periodista José Manuel Huesa en Los desayunos de TVE preguntaba al entonces ministro del interior, Jorge Fernández, si sería posible la localización e identificación de individuos a distancia con el nuevo DNI 3.0 presentado por aquel entonces. La respuesta de Jorge Fernández no fue del todo clara y dejaba margen a la interpretación, pero rápidamente responsables policiales salieron al paso para decir que el dispositivo NFC que contenía el nuevo DNI solo estaba preparado para funcionar a corta distancia.
Si atendemos a las investigaciones del profesor Briffa, a las denuncias del doctor Escudero y de otras tantas organizaciones que trabajan en el marco de la mejora de la seguridad y la privacidad, es lícito plantearnos la duda de si estos dispositivos están siendo utilizados como medidas de clasificación, identificación y control. Es muy posible, entonces, que este número que refleja nuestra tarjeta bancaria, o cualquier otra tarjeta identificativa, esté siendo leído cada vez que entramos o salimos de un comercio, o pasamos de una planta a otra. Es posible que sepan qué productos hemos adquirido en ese comercio o en otros, y cuándo lo hemos hecho. Es posible que alguien esté haciendo uso de herramientas de identificación y control basándose en las múltiples tarjetas o identificaciones que llevamos en la cartera. Es muy posible que incluso puedan saber qué gimnasio o biblioteca frecuentamos. Y es muy posible que alguien esté duplicando nuestra tarjeta bancaria mientras vamos en el transporte público. Obviamente todo esto son suposiciones, pero la tecnología para hacerlo está presente: ¿quién nos asegura que no se esté usando?.
Como decíamos, tenemos mucha preocupación con la amenaza a nuestra privacidad que representan los dispositivos móviles y las aplicaciones que instalamos en ellos y que mercadean con nuestros datos, como para ver que tenemos otro campo de batalla en aquellos elementos que a todas luces parecen inofensivos. De lo que se trata aquí es de reflexionar sobre varios aspectos. Está bien que la tecnología facilite el trabajo a miles de personas que trabajan en almacenes, paquetería, industria y en general a todas aquellas que trabajan con gran cantidad de recursos. Está bien que la tecnología facilite la trazabilidad de los productos que consumimos. Está bien tener esta serie de datos si con ello aumenta nuestra libertad de elección ante lo que consumimos. Pero me preocupa cómo casi cualquier avance tecnológico, que a priori facilita la vida a miles de trabajadores y trabajadoras, se pervierte hasta convertirse en una herramienta de control y seguimiento con el que obtener datos que se pueden clasificar para comerciar con ellos. Cabe preguntarse para qué necesitamos este tipo de tecnología que escapa a nuestro control en nuestra ropa, tarjetas bancarias o documentos de identidad.
