Investigadores de la Universidad de Washington y de la Facultad de Derecho de Harvard han publicado recientemente un estudio pionero en el que se analizan las capacidades técnicas de 16 aplicaciones de vigilancia electrónica para teléfonos inteligentes utilizadas como "alternativas" a la detención penal y civil. El estudio, considerado el "primer análisis sistemático del ecosistema de aplicaciones de vigilancia electrónica", confirma los temores de muchos defensores de que las aplicaciones de vigilancia electrónica permiten el acceso a una gran cantidad de información, a menudo contienen rastreadores de terceros y a menudo no son fiables. El estudio también plantea nuevas cuestiones sobre la falta de transparencia del ecosistema de aplicaciones de monitorización electrónica, a pesar de que los organismos gubernamentales locales, estatales y federales dependen cada vez más de estas aplicaciones.
En 2020, más de 2,3 millones de personas en Estados Unidos estaban encarceladas, y otros 4,5 millones se encontraban bajo alguna forma de "supervisión comunitaria", incluidos los que estaban en libertad condicional, libertad vigilada, libertad provisional o en los sistemas de detención de menores o de inmigración. Si bien los organismos han utilizado durante mucho tiempo los monitores de tobillo como "alternativa" a la detención, los organismos gubernamentales locales, estatales y federales han recurrido cada vez más a las aplicaciones de los teléfonos inteligentes para cumplir esta función. El funcionamiento es sencillo: en lugar de la encarcelación/detención o de un monitor de tobillo, una persona acepta descargarse una aplicación de EM en su propio teléfono que permite a la agencia rastrear la ubicación de la persona y puede exigirle que se someta a condiciones adicionales, como controles que impliquen el reconocimiento facial o de voz. Los bajos costes asociados a la exigencia de que una persona utilice su propio dispositivo para la gestión de emergencias explican probablemente la explosión de las aplicaciones de gestión de emergencias en los últimos años. Aunque no existe un recuento preciso del número total de personas que utilizan una app de ME como alternativa a la detención, solo en el contexto de la inmigración, hoy en día casi 100.000 personas están en ME a través de la app BI Smartlink, frente a poco más de 12.000 en 2018. Un uso tan elevado exige una mayor necesidad de comprensión pública de estas apps y de la información que recogen, retienen y comparten.
Análisis técnico
El análisis técnico del estudio, el primero de su clase para este tipo de aplicaciones, identificó varias categorías de problemas con las 16 aplicaciones encuestadas. Entre ellos, problemas de privacidad relacionados con los permisos que solicitan (y a menudo exigen) estas aplicaciones, preocupaciones en torno a los tipos de bibliotecas y rastreadores de terceros que utilizan, a quién envían datos y cómo lo hacen, así como algunos problemas fundamentales en torno a la usabilidad y el mal funcionamiento de las aplicaciones.
Permisos
Cuando una aplicación quiere recoger datos de tu teléfono, por ejemplo, haciendo una foto con tu cámara o capturando tu ubicación GPS, primero debe solicitarte permiso para interactuar con esa parte de tu dispositivo. Por eso, saber qué permisos solicita una aplicación da una buena idea de los datos que puede recoger. Y aunque denegar solicitudes de permiso innecesarias es una buena forma de proteger tus datos personales, las personas bajo órdenes de EM a menudo no pueden permitirse ese lujo, y algunas aplicaciones de EM simplemente no funcionan hasta que se conceden todos los permisos.
Tal vez no sorprenda que casi todas las aplicaciones del estudio soliciten permisos como la localización por GPS, la cámara y el acceso al micrófono, que probablemente se utilicen para diversos controles con el supervisor de EM de la persona. Pero algunas aplicaciones solicitan permisos más inusuales. Dos de las aplicaciones estudiadas solicitan acceso a la lista de contactos del teléfono, lo que, según los autores, puede combinarse con el permiso de "lectura del estado del teléfono" para controlar con quién habla alguien y con qué frecuencia lo hace. Y otras tres solicitan permisos de "reconocimiento de actividad", que informan de si el usuario está en un vehículo, en una bicicleta, corriendo o parado.
Bibliotecas y rastreadores de terceros
Los desarrolladores de aplicaciones casi nunca escriben cada línea de código que va en su software, sino que dependen de las llamadas "bibliotecas" de software escritas por terceros. El hecho de que una aplicación incluya estas bibliotecas de terceros no es una señal de alarma en sí misma. Sin embargo, dado que algunas bibliotecas están escritas para recoger y cargar datos de seguimiento de un usuario, es posible correlacionar su existencia en una aplicación con la intención de rastrear, e incluso monetizar, los datos del usuario.
El estudio reveló que casi todas las aplicaciones utilizaban algún tipo de biblioteca de análisis de Google. Como la EFF ha argumentado anteriormente, Google Analytics puede no ser particularmente invasivo si sólo se utiliza en una sola aplicación, pero cuando se combina con su uso casi omnipresente en la web, proporciona a Google una visión panóptica del comportamiento en línea de los individuos. Peor aún, la aplicación Sprokit "parecía contener el código necesario para que Google AdMob y Facebook Ads SDK sirvieran anuncios". Si este es el caso, los desarrolladores de Sprokit están llevando a cabo una práctica atroz de monetización de su público cautivo.
Flujos de información
El estudio pretendía captar el tipo de tráfico de red que enviaban estas aplicaciones durante su funcionamiento normal, pero se vio limitado por no disponer de cuentas activas para ninguna de ellas (ya sea porque los investigadores no podían crear sus propias cuentas o no lo hicieron para evitar aceptar las condiciones de servicio). Aun así, al instalar un software que les permitía fisgonear las comunicaciones de las aplicaciones, pudieron sacar algunas conclusiones preocupantes sobre algunas de las aplicaciones estudiadas.
Casi la mitad de las aplicaciones hicieron peticiones a dominios web que podían asociarse de forma exclusiva con la aplicación. Esto es importante porque, aunque esas peticiones web están cifradas, el dominio al que se dirigen no lo está, lo que significa que quien controle la red en la que se encuentra un usuario (por ejemplo, cafeterías, aeropuertos, escuelas, empleadores, anfitriones de Airbnb, etc.) podría teóricamente saber si alguien está bajo EM. Una aplicación que ya hemos mencionado, Sprokit, era particularmente atroz en cuanto a la frecuencia con la que enviaba datos: cada cinco minutos, llamaba a casa al punto final de la red publicitaria de Facebook con numerosos puntos de datos recogidos de los sensores del teléfono y otros datos sensibles.
Vale la pena reiterar que, debido a las limitaciones del estudio, esto dista mucho de ser una imagen exhaustiva del comportamiento de cada aplicación de EM. Todavía hay una serie de importantes preguntas abiertas sobre qué datos envían y cómo lo hacen.
Errores y problemas técnicos de la aplicación
Como ocurre con cualquier software, las aplicaciones de EM son propensas a los errores. Pero, a diferencia de otras aplicaciones, si una persona sometida a EM tiene problemas con su aplicación, es probable que infrinja los términos de su orden judicial, lo que podría dar lugar a medidas disciplinarias o incluso al encarcelamiento, problemas a los que se han enfrentado de forma similar quienes han sido sometidos a monitores de tobillo.
Para estudiar cómo afectaban los fallos y otros problemas de las aplicaciones de EM a las personas que se veían obligadas a utilizarlas, los investigadores realizaron un análisis cualitativo de las reseñas de las aplicaciones en la tienda Google Play. Estas reseñas fueron, por un amplio margen, abrumadoramente negativas. Muchos usuarios informan de que no pueden hacer el check-in con la aplicación, a veces debido a fallos en el reconocimiento facial o del GPS, y otras veces debido a que no reciben notificaciones de un check-in. Un usuario describe este problema en su opinión: "He tenido problemas con los check-ins que no avisan a mi teléfono, lo que hace que mi agente de libertad condicional me llame y me amenace con presentar una orden de arresto porque me he perdido los check-ins, lo que es increíblemente frustrante y angustioso".
Políticas de privacidad
Como saben muchas personas que utilizan servicios en línea y aplicaciones móviles, antes de poder utilizar un servicio a menudo hay que aceptar una larga política de privacidad. Y tanto si la has leído como si no, tú y tus datos quedáis vinculados por sus términos si decides aceptarla. Sin embargo, las personas sometidas a EM no pueden opinar al respecto: las condiciones de su supervisión son las que han acordado con un fiscal o un tribunal, y a menudo esas condiciones les obligan a aceptar la política de privacidad de una aplicación de EM.
Y algunas de esas políticas incluyen algunos términos atroces. Por ejemplo, mientras que casi todas las políticas de privacidad de las aplicaciones contenían un lenguaje sobre el intercambio de datos con las fuerzas del orden para cumplir con una orden judicial, también indican las razones por las que compartirían esos datos sin una orden. Varias aplicaciones mencionan que los datos se utilizarán con fines de marketing. Una aplicación, BI SmartLINK, incluso solía tener condiciones que permitían a los desarrolladores de la aplicación compartir "prácticamente cualquier información recopilada a través de la aplicación, incluso más allá del alcance del plan de seguimiento". Después de que estas condiciones fueran denunciadas en una publicación de Just Futures Law y Mijente, la política de privacidad fue retirada.
Cuestiones jurídicas
El estudio también abordó el contexto jurídico en el que se plantean los problemas en torno a los ME. En última instancia, es probable que las impugnaciones legales de las aplicaciones de ME sean difíciles porque, aunque la piedra de toque de la prohibición de la Cuarta Enmienda contra los registros e incautaciones ilegales es la "razonabilidad", los tribunales han sostenido durante mucho tiempo que las personas en libertad condicional y en libertad vigilada tienen expectativas de privacidad reducidas en comparación con los intereses del gobierno en la prevención de la reincidencia y la reintegración de las personas en libertad condicional y en libertad vigilada en la comunidad.
Además, es probable que el gobierno pueda eludir los desafíos de la Cuarta Enmienda alegando que la persona dio su consentimiento a la aplicación EM. Pero, como hemos argumentado en otros contextos, los llamados "registros por consentimiento" son una ficción jurídica. Suelen producirse en contextos de gran coacción, como los controles de tráfico o los registros domiciliarios, y dejan poco margen para que la persona media se sienta cómoda diciendo que no. Del mismo modo, en este caso, la elección de someterse a una aplicación de EM no es en absoluto una elección, especialmente cuando se enfrenta al encarcelamiento como alternativa potencial.
Preguntas pendientes
Este estudio es el primer análisis exhaustivo del ecosistema de las aplicaciones de gestión de emergencias, y sienta unas bases cruciales para que el público entienda estas aplicaciones y sus daños. También plantea otras cuestiones a las que deben responder los desarrolladores de aplicaciones de EM y los organismos públicos que las contratan, entre ellas:
- Por qué las aplicaciones de EM solicitan permisos peligrosos que parecen no estar relacionados con las necesidades típicas de la supervisión electrónica, como el acceso a los contactos del teléfono o a la información precisa del estado del mismo
- Lo que hacen los desarrolladores de apps de ME que carecen de políticas de privacidad con los datos que recogen
- Qué protecciones tienen los menores de edad frente a la búsqueda sin orden judicial de sus datos personales por parte de las fuerzas de seguridad, o de los intermediarios de datos publicitarios que compran sus datos
- ¿Qué información adicional se podrá descubrir al poder establecer una cuenta activa con estas aplicaciones de EM
- Qué información se proporciona realmente sobre las capacidades técnicas de las aplicaciones de ME tanto a los organismos gubernamentales que contratan a los proveedores de aplicaciones de ME como a las personas que las utilizan
Las personas que se ven obligadas a lidiar con las aplicaciones EM merecen respuestas a estas preguntas, al igual que el público en general, ya que la adopción de la vigilancia electrónica crece en nuestros sistemas penales y civiles.