Sensorvault de Google puede decirle a la policía dónde has estado

En un nuevo artículo , el New York Times detalla una técnica poco conocida cada vez más utilizada por la policía para descubrir a todas las personas que podrían haber estado dentro de ciertas áreas geográficas durante períodos de tiempo específicos en el pasado. La técnica se basa en datos de ubicación detallados recopilados por Google en la mayoría de los dispositivos Android, así como en iPhones e iPads que tienen Google Maps y otras aplicaciones instaladas. Estos datos residen en una base de datos mantenida por Google llamada “Sensorvault”, y debido a que Google almacena estos datos por tiempo indefinido, Sensorvault “incluye registros de ubicación detallados que involucran al menos cientos de millones de dispositivos en todo el mundo y que datan de casi una década”.

La información que Google está entregando a la policía es tan precisa que un jefe de policía adjunto dijo que “muestra todo el patrón de la vida”. Se recopila incluso cuando las personas no hacen llamadas o usan aplicaciones, lo que significa que puede ser aún más detallado. que los datos generados por torres celulares.

Los datos de ubicación provienen de señales de GPS, torres de telefonía celular, dispositivos Wi-Fi cercanos y balizas Bluetooth. Según Google , los usuarios optan por la recopilación de los datos de ubicación almacenados en Sensorvault. Sin embargo, Google hace que sea muy difícil resistirse a optar por participar, y muchos usuarios pueden no entender que lo han hecho. Además, los dispositivos Android recopilan muchos otros datos de ubicación de forma predeterminada, y es extremadamente difícil optar por no participar en esa colección .

Usando una orden única, a menudo llamada una “geo-cerca” o una orden de “ubicación inversa”, la policía puede acceder a los datos de ubicación de docenas a cientos de dispositivos, dispositivos que están vinculados a personas reales, muchos de los cuales (y quizás en algunos todos los casos) no tienen ningún vínculo con la actividad delictiva y no han proporcionado ninguna razón para sospechar. Las garantías cubren áreas geográficas que van desde edificios individuales hasta bloques múltiples, y períodos de tiempo que van desde unas pocas horas hasta una semana.

Hasta el momento, según el Times y otros medios, esta técnica está siendo utilizada por el FBI y los departamentos de policía en Arizona, Carolina del Norte , California, Florida , Minnesota , Maine y Washington, aunque puede haber otras agencias que la utilicen en todo el país. . Pero la policía no está limitando el uso de la técnica a delitos atroces o violentos: la Radio Pública de Minnesota informó que la técnica se ha utilizado para tratar de identificar a los sospechosos que robaron una camioneta y, por separado, neumáticos por valor de $ 650. Google está recibiendo hasta 180 solicitudes de datos por semana y, aparentemente, está luchando para mantenerse al día con la demanda.

La policía parece estar buscando órdenes para acceder a esta información de ubicación extremadamente detallada. Sin embargo, es cuestionable si las declaraciones juradas que respaldan esas garantías realmente establecen una causa probable y también son cuestionables si los jueces entienden completamente lo que están autorizando cuando emiten estas órdenes.

Según el Times , las garantías con frecuencia se basan en la afirmación de un oficial de que el hecho de que “los estadounidenses eran propietarios de teléfonos celulares y que Google tenía datos de ubicación en muchos de estos teléfonos” de alguna manera apoya la causa probable de la orden. Las autorizaciones también enumeran las coordenadas de GPS que supuestamente “geo-cercan” el área geográfica para la cual están solicitando datos, pero muchas no incluyen un mapa que muestre el área en sí. Sin una representación visual , casi no hay forma de saber qué tan grande o pequeña es el área geográfica cubierta por la orden.

La aplicación de la ley parece estar utilizando un proceso de tres pasos para conocer los nombres de los titulares de dispositivos (en algunos casos, una sola orden autoriza los tres pasos). En el primer paso, el oficial especifica el área y el período de tiempo de interés, y en respuesta, Google le da a la policía información sobre todos los dispositivos que estaban allí, identificados con números anónimos; este paso puede revelar cientos de dispositivos.

Después de eso, los oficiales pueden limitar el alcance de su solicitud a menos dispositivos, y Google dará a conocer datos aún más detallados, incluidos datos sobre dónde viajaron los dispositivos fuera del área solicitada original y el período de tiempo. Esta información, que aún involucra múltiples dispositivos, revela patrones de viaje detallados. En el paso final, los detectives revisan los datos de viaje para ver si algún dispositivo parece relevante para el delito, y piden los nombres de los usuarios y otra información para dispositivos individuales específicos.

Esta técnica es problemática por varias razones. En primer lugar, a diferencia de otros métodos de investigación utilizados por la policía, la policía no comienza con un sospechoso real o incluso con un dispositivo de destino: trabaja desde la ubicación y la hora hacia atrás para identificar a un sospechoso. Esto lo convierte en una expedición de pesca, el mismo tipo de búsqueda que la Cuarta Enmienda pretendía evitar. Búsquedas como éstas, donde la única información que tiene la policía es que ha ocurrido un crimen, es mucho más probable que implique a personas inocentes que simplemente están en el lugar equivocado en el momento equivocado. Todos los propietarios de dispositivos en el área durante el tiempo en cuestión se convierten en sospechosos, por la única razón de que poseen un dispositivo que comparte información de ubicación con Google.

En segundo lugar, como lo reconoció la Corte Suprema en Carpenter v. Estados Unidos el verano pasado, datos de viaje detallados como este pueden proporcionar “una ventana íntima a la vida de una persona, revelando no solo sus movimientos particulares, sino a través de ellos su ‘familia, política, profesional, religión , y las asociaciones sexuales “. Esto es exactamente lo que reconoció el jefe de policía adjunto cuando dijo que los datos de ubicación de Google” muestran todo el patrón de la vida “.

En tercer lugar, existe una alta probabilidad de que el verdadero autor ni siquiera esté incluido en los datos divulgados por Google. Para este tipo de órdenes, los oficiales solo están operando con el presentimiento de que el sospechoso desconocido tenía un teléfono celular que generaba datos de ubicación recopilados por Google. Esto no debería ser suficiente para respaldar una causa probable, porque es muy probable que el sospechoso no estuviera usando un teléfono Android o usando aplicaciones de Google en ese momento.

Técnicas como esta también revelan grandes problemas con nuestro sistema actual de garantías. A pesar de que el estándar para obtener una orden judicial es más alto que otros procedimientos legales, y la EFF presiona para que exista un requisito de garantía para datos y dispositivos digitales, las garantías, por sí solas, ya no son suficientes para proteger nuestra privacidad. A través de una única orden judicial, la policía puede acceder a información exponencial cada vez más detallada sobre nosotros que nunca antes. Aquí, la policía está utilizando una sola orden para acceder a la información de ubicación de cientos de dispositivos. En otros contextos, a través de una sola orden judicial, los agentes pueden acceder a todos los datos en un teléfono celular o un disco duro; todo el correo electrónico almacenado en una cuenta de Google (posiblemente años atrás); y toda la información vinculada a una cuenta de redes sociales (incluidas fotos, publicaciones, comunicaciones privadas y contactos).

No debemos permitir que el gobierno tenga un acceso tan amplio a nuestras vidas digitales. Una forma en que podríamos limitar el acceso es mediante la aprobación de una legislación que exija estándares elevados, procedimientos de minimización y requisitos de particularidad para las búsquedas digitales. Ya tenemos esto en las leyes que regulan las escuchas telefónicas , donde la policía, además de demostrar una causa probable, debe declarar que primero han intentado otros procedimientos de investigación (o indicar por qué otros procedimientos no funcionarían) y también describir cómo se limitará la escuchas telefónicas. En alcance y tiempo.

La Cuarta Enmienda en sí misma también apoya límites en el alcance de las garantías individuales. Afirma que las garantías deben “describir en particular [e] el lugar donde se buscará y las personas o cosas que se tomarán”. Sin embargo, muchos tribunales simplemente se limitan a las solicitudes de garantías de sellos sin cuestionar el amplio alcance de la solicitud.

Como señala el artículo del Times , esta técnica implica a personas inocentes y tiene un impacto real en la vida de las personas. Incluso si luego puede limpiar su nombre, si pasa algún tiempo bajo custodia policial, esto podría costarle a usted su trabajo, su automóvil y su capacidad para recuperarse después de la detención. Un hombre incluido en el artículo del Times pasó casi una semana bajo custodia policial y estaba teniendo problemas para recuperarse, incluso meses después del arresto. Fue arrestado en el trabajo y posteriormente perdió su trabajo. Debido al arresto, su auto fue confiscado para su investigación y luego fue embargado. Estos son los tipos de consecuencias de gran alcance que pueden resultar de búsquedas demasiado amplias, por lo que los tribunales deberían someter las órdenes de geolocalización a un mayor escrutinio.