La aplicación de citas Grindr puso a la venta los datos de sus usuarios durante años: qué peligros puede entrañar

La ubicación de millones de usuarios de todo el mundo de la aplicación de citas Grindr, que usan personas homosexuales y bisexuales, fue vendida desde al menos 2017 y por aproximadamente dos años, luego de haber sido recopiladas a través de una red de publicidad digital, informó The Wall Street Journal, citando fuentes vinculadas con el caso.

Ya en 2018 se conoció que, a través de una técnica de trilateración, se podía conocer la distancia de los usuarios teniendo en cuenta tres puntos virtuales a su alrededor. El primer paso era acceder a la API y una vez que se obtenía la distancia entre los usuarios y los tres puntos de ubicación cercanos a ellos, se podía calcular dónde se producían las intersecciones de las tres distancias. Existen varias aplicaciones que pueden hacer este cálculo de manera automática y en tiempo real. Por medio de esta técnica se podía extraer información de todos los usuarios de Grindr en una ciudad y conocer no solo su ubicación, sino los datos de su perfil, incluyendo nombre, edad, foto y su estatus de HIV, según reportó entonces el sitio Queer Europe.

Cuando los usuarios compartían su ubicación no esperaban que se conociera con exactitud cada uno de sus pasos y mucho menos que este dato, junto con su información de perfil puedan ser obtenidos por cualquiera que tuviera acceso a los servidores de Grindr.

En diciembre pasado, la Autoridad de Protección de Datos de Noruega (DPA) impuso a Grindr una multa de 65 millones de coronas (6,3 millones de euros) por la venta de los datos de sus usuarios sin que estos hubiesen expresado consentimiento alguno. El ente regulador advirtió entonces que las leyes europeas prohíben que la información personal se utilice como método de pago por un servicio digital. Esto se debe a que la aplicación de citas usaba la llamada publicidad conductual para financiarse e informaba a los usuarios que estaban pagando ese servicio con sus datos personales, pero evitaba indicar que esa información era vendida a terceros y tampoco existía la posibilidad de rechazar que sus datos se usaran de ese modo. En caso de rechazo por parte del usuario se le cobraba una cuota de suscripción.

De esta forma, los movimientos precisos de millones de usuarios de la aplicación se recopilaron de una red de publicidad digital y se pusieron a la venta. La información estuvo disponible para la venta desde al menos 2017, y es posible que aún se puedan obtener datos históricos, dijeron las fuentes citadas por WSJ. Hace dos años, Grindr cortó el flujo de datos de ubicación a cualquier red publicitaria, lo que puso fin a la posibilidad de tal recopilación de datos en la actualidad, aseguró la compañía.

El diario estadounidense recordó como ejemplo de la complejidad de esta situación, que el año pasado un alto prelado católico de EE.UU. fue descubierto como usuario de Grindr en un incidente de alto perfil que involucró el análisis de datos similares.

También en EE.UU. los funcionarios de seguridad nacional señalaron su preocupación por el tema: los datos de Grindr se usaron como parte de una demostración para varias agencias del gobierno norteamericano sobre los riesgos de inteligencia de la información disponible comercialmente, según una persona que participó en la presentación y fue citada por el mismo diario.

Con esta política de Grindr, los clientes de empresas de publicidad móvil pudieron durante algunos años comprar paquetes con gran cantidad de datos de movimiento de teléfonos. Los datos no contenían información personal como nombres o números de teléfono, pero en algunos casos fueron lo suficientemente detallados como para inferir cosas como encuentros románticos entre usuarios específicos en función de la proximidad de sus dispositivos, así como para identificar pistas sobre las identidades de las personas, como sus lugares de trabajo y domicilios, en función de sus patrones, hábitos y rutinas.

“Desde principios de 2020, Grindr ha compartido menos información con socios publicitarios que cualquiera de las grandes plataformas tecnológicas y la mayoría de nuestros competidores”, dijo un portavoz de Grindr en un comunicado. La compañía, agregó, paga un precio por reducir los datos compartidos, incluida una menor calidad de los anuncios para los usuarios y menores ingresos. El portavoz agregó: “Las actividades que se han descrito no serían posibles con las prácticas de privacidad actuales de Grindr, que hemos tenido durante dos años”.

Los datos de ubicación pueden ser muy delicados y traer consecuencias graves, muchas veces difíciles de prever. Por ejemplo a comienzos de este año hubo investigadores que detectaron signos de la invasión rusa en Ucrania antes de que se conociera públicamente al observar las funciones de Google Maps que fueron diseñadas para mostrar retrasos en el tráfico. Más tarde, Google deshabilitó esas funciones para evitar que se abusara de ellas de manera que pudiera afectar la seguridad de las personas en el país invadido.

Grindr en 2019 dijo que era la aplicación de redes sociales más grande del mundo para personas homosexuales, bisexuales, trans y queer, con “millones de usuarios diarios que usan nuestra tecnología basada en la ubicación en casi todos los países en todos los rincones del planeta”.

Un antiguo empleado jerárquico de Grindr aseguró que, cuando la firma comenzó a compartir datos de ubicación de sus usuarios con las redes publicitarias, los ejecutivos de la empresa creían que los datos no planteaban este tipo de riesgos para la privacidad. Según ese exempleado, en ese momento las empresas de publicidad aseguraron a la app de citas que los anuncios hiperlocales de los establecimientos ubicados en los lugares donde se movían sus usuarios iban a remodelar los presupuestos de marketing.

La idea era que a través de lo que se conoce como intercambios de anuncios en tiempo real, los usuarios recibirían mensajes dirigidos sobre los restaurantes, bares u hoteles más cercanos.

Cada vez que un usuario abre una aplicación, se comparte información sobre el teléfono, como por ejemplo la ubicación, y esto permite orientar con gran precisión las publicidades. Estos datos pueden ser la ubicación, si el usuario dio permiso a una aplicación, los datos del estado del teléfono. La mayoría de los usuarios eligen compartir la ubicación con Grindr para conectarse con otros usuarios cercanos. Esa funcionalidad es lo que la hizo atractiva como aplicación cuando se fundó en 2009.

En un proceso computarizado que se desarrolla en milisegundos, los anunciantes ofertan para publicar un anuncio y gana el mejor postor. Los consumidores desconocen en gran medida que el proceso ocurre en sus dispositivos cada vez que cargan una aplicación o página web o cuántos datos se comparten con terceros. La mayoría de las aplicaciones participan en intercambios de anuncios en tiempo real que exponen sus detalles a cientos o miles de personas desconocidas. Sin embargo, Grindr y otras aplicaciones creadas para alentar a los usuarios a compartir su ubicación generan conjuntos de datos particularmente específicos que se pueden usar para reconstruir datos sobre usuarios individuales.

Los peligros que puede significar

Grindr es una aplicación que se usa en muchos países del mundo, incluido algunos donde la homosexualidad aún es un delito por eso afirma que no publica anuncios en estas regiones y mantiene la información de sus usuarios fuera de las redes publicitarias. En esas zonas si se compartieran este tipo de datos podría entrañar un peligro de enjuiciamiento, de prisión y, en ocasiones, incluso, puede llevar a una condena a muerte.

Pero en países donde ser gay es legal la publicación de datos también puede generar amenazas, por ejemplo de chantaje a quienes no lo viven abiertamente. El gobierno de EE. UU. intervino para obligar a una empresa china a deshacerse de Grindr por motivos de seguridad nacional en 2019, citando el riesgo de chantaje al usar los datos de la aplicación y la posibilidad de que el gobierno chino use los datos de la aplicación con fines de vigilancia.

Los clientes de la empresa de publicidad móvil UM pudieron comprar datos masivos de movimiento de teléfonos que incluían a muchos usuarios de Grindr desde al menos 2017 y posiblemente antes, dijeron personas familiarizadas con el asunto. La mayoría de los corredores de ubicación eliminan el nombre de las aplicaciones de las que se obtienen los datos en los conjuntos de datos de ubicación. En algunos de los datos de UM, la empresa incluyó el nombre de las aplicaciones de las que se obtuvo la información de ubicación.

UM, que se conocía como UberMedia antes de cambiar su nombre el año pasado, pudo acceder a los datos de Grindr desde la red publicitaria MoPub. Luego, UM lo puso a la venta para sus clientes. “Todas las entidades del ecosistema publicitario tienen acceso a la información compartida por Grindr y cualquier otra aplicación que utilice el sistema de ofertas en tiempo real. Eso significa que miles de entidades tienen ese acceso”, dijo un portavoz del nuevo propietario de UM, Near. La empresa también cuestionó que los datos de ubicación sin información personal, como nombres, correos electrónicos o números de teléfono, pudieran usarse para identificar a personas específicas.

El año pasado, una publicación católica llamada Pilar dijo que obtuvo datos disponibles comercialmente que le permitieron rastrear el uso de Grindr por parte de las personas. La Conferencia de Obispos Católicos de EE.UU. dijo que uno de sus altos funcionarios renunció a su cargo luego de que se le preguntara sobre los hallazgos que lo identifican como usuario de la aplicación.

SEGUIR LEYENDO