Comentario
Añadir a tus historias guardadas
Los investigadores del gobierno en los Estados Unidos han utilizado datos de notificaciones push para perseguir a personas de interés, dijo el senador Ron Wyden (D-Ore.) en una carta enviada el miércoles al Departamento de Justicia, revelando por primera vez una forma en que los estadounidenses pueden ser rastreados a través de un servicio básico proporcionado por sus teléfonos inteligentes.
La carta de Wyden dijo que el Departamento de Justicia le había prohibido a Apple y Google discutir la técnica y le pidió que cambiara la regla, señalando que su oficina había recibido un aviso de que los gobiernos extranjeros también habían comenzado a solicitar los datos de notificaciones push.
La técnica, que aprovecha las alertas comunes que muchas personas reciben cuando amigos se comunican con ellos por correo electrónico o mensaje de texto, se utilizó para recopilar información sobre los alborotadores del Capitolio de EE. UU. El 6 de enero de 2021 y otros sospechosos criminales, según una revisión del Washington Post de registros judiciales.
Las aplicaciones utilizan notificaciones push para alertar a los usuarios de mensajes o alertas. Cuando un usuario habilita las notificaciones push, Apple y Google crean un pequeño dato, conocido como un token, que vincula su dispositivo a la información de la cuenta que han proporcionado a las empresas, como nombre y dirección de correo electrónico.
En su carta, Wyden dijo que el gobierno federal había comenzado a exigir registros sobre esos tokens de Apple y Google porque esas empresas funcionan como una “oficina de correos digital” para transmitir las notificaciones.
Los tokens podrían revelar detalles sobre con quién está comunicándose una persona a través de una aplicación de mensajería o juegos, en qué momentos hablan y, en algunos casos, el texto de cualquier mensaje mostrado en la notificación.
Dependiendo de cómo hayan configurado las notificaciones push los usuarios, los datos del token podrían potencialmente exponer información limitada sobre cualquier persona que haya intercambiado correos electrónicos, mensajes de texto o mensajes en redes sociales con alguien que los investigadores federales hayan perseguido.
Apple dijo en un comunicado que “el gobierno federal nos había prohibido compartir cualquier información” sobre las solicitudes y ahora que el método se ha hecho público, estaba actualizando sus próximos informes de transparencia para “detallar estos tipos de solicitudes”.
Las pautas de aplicación de la ley de Apple, las reglas de la empresa sobre cómo los agentes de policía e investigadores del gobierno deben buscar información del usuario, ahora señalan que el ID de Apple de una persona, asociado con un token de notificación push, puede ser “obtenido con una citación o un proceso legal mayor”.
Ni Wyden ni Apple detallaron cuántas notificaciones se habían revisado, quiénes fueron el objetivo, qué crímenes se estaban investigando o qué gobiernos habían realizado las solicitudes.
Google dijo en un comunicado que publica informes de transparencia que comparten el número y tipos de solicitudes gubernamentales de datos de usuario que recibe y que comparte el “compromiso de Wyden de mantener informados a los usuarios sobre estas solicitudes”.
El Departamento de Justicia se negó a hacer comentarios. La carta fue informada por primera vez por Reuters.
El Post encontró más de dos docenas de solicitudes de órdenes de registro y otros documentos en registros judiciales relacionados con solicitudes federales de datos de notificaciones push. Aunque muchos estaban censurados, nueve de los documentos se referían a la búsqueda federal de los alborotadores del 6 de enero. Dos documentos buscaron datos sobre sospechosos acusados de lavado de dinero y distribución de material de abuso sexual infantil.
Las órdenes de registro buscaron datos de notificaciones push relacionados con aplicaciones de varias empresas, incluidas Amazon, Apple, Google y Microsoft.
En una solicitud de orden de registro que buscaba datos relacionados con una cuenta de Facebook utilizada por Josiah Colt, un hombre de Idaho que irrumpió en el Senado, un agente especial del FBI dijo que los tokens de notificación push podrían llevar a “información útil” que podrían ayudar a identificar la cuenta de un usuario.
Colt fue condenado a 15 meses de prisión a principios de este año. Colt publicó un video ese día anunciando que había entrado en el Capitolio, y no está claro qué papel, si es que hubo alguno, jugó la solicitud de datos de notificación por push en su caso.
En su carta, Wyden dijo que su oficina había recibido una pista el año pasado de que los investigadores del gobierno en países extranjeros habían comenzado a exigir los datos de las empresas. Un portavoz de Wyden se negó a especificar qué gobiernos.
Las empresas, escribió Wyden, dijeron a los miembros de su personal que cualquier “información sobre esta práctica” estaba “restringida de su divulgación pública por el gobierno”. Wyden presionó al Departamento de Justicia para que derogara cualquier política que prohibiera a las empresas discutir esta “práctica de vigilancia”.
“Se debería permitir a Apple y Google ser transparentes sobre las demandas legales que reciben, especialmente de gobiernos extranjeros, al igual que las empresas notifican regularmente a los usuarios sobre otros tipos de demandas gubernamentales de datos”, escribió.
Los investigadores del gobierno rutinariamente presionan a las empresas de tecnología para obtener información sobre sus usuarios presentando citaciones, órdenes de registro u otras órdenes judiciales, obligándolos a proporcionar la información.
Algunas de las órdenes de registro se sirven con órdenes de silencio que prohíben a las empresas informar a los usuarios que sus datos fueron entregados.
Google dijo en su informe de transparencia más reciente que recibió 192,000 solicitudes de datos relacionados con más de 400,000 cuentas en todo el mundo en el segundo semestre del año pasado, incluyendo aproximadamente 70,000 solicitudes en los Estados Unidos.
Esa información no desglosó las solicitudes de metadatos push. Pero señaló que Estados Unidos citó la Ley de Vigilancia de Inteligencia Extranjera al buscar hasta 500 solicitudes de “información no relacionada con el contenido”, una categoría que incluye datos de notificaciones push, que cubren hasta 36,000 cuentas en los seis meses que terminaron en junio de 2022.
Para las solicitudes estadounidenses de notificaciones push y otra información no relacionada con el contenido, Google dijo que requiere una orden judicial, no solo una citación, que esté sujeta a la supervisión judicial. Con tales órdenes, los funcionarios federales deben persuadir a un juez de que los datos solicitados son relevantes y materiales para una investigación criminal en curso.
Aaron Schaffer contribuyó a este informe.