Un grupo internacional de investigadores ha desarrollado una herramienta algorítmica que utiliza Twitter para predecir automáticamente dónde vives, en cuestión de minutos, con una precisión superior al 90 por ciento. También puede adivinar dónde trabajas, dónde oras y otra información que preferirías mantener en privado, como por ejemplo, si has frecuentado un cierto club de striptease o si has ido a rehabilitación.
La herramienta, llamada LPAuditor (abreviatura de Location Privacy Auditor), explota lo que los investigadores llaman una “política invasiva” de Twitter desplegada después de que introdujera la capacidad de etiquetar tweets con una ubicación en 2009. Durante años, los usuarios que eligieron geoetiquetar tweets con cualquier ubicación, incluso algo tan amplio geográficamente como “New York City”, también dieron automáticamente sus coordenadas GPS precisas. Los usuarios no verían las coordenadas mostradas en Twitter. Ni tampoco sus seguidores. Pero la información GPS seguiría estando incluida en los metadatos del tweet y accesible a través de la API de Twitter.
Twitter no cambió esta política en todas sus aplicaciones hasta abril de 2015. Ahora, los usuarios deben optar por compartir su ubicación exacta y, según un portavoz de Twitter, un porcentaje muy pequeño de personas lo hacen. Pero los datos GPS que la gente compartió antes de la actualización siguen estando disponibles a través de la API hasta el día de hoy.
Es cierto que siempre ha dependido de los usuarios geoetiquetar sus tweets o no. Pero hay una gran diferencia entre elegir compartir que estás en París y elegir compartir exactamente dónde vives en París. Y sin embargo, durante años, independientemente del kilometraje cuadrado de las ubicaciones que los usuarios eligieron compartir, Twitter eligió compartir sus ubicaciones hasta las coordenadas GPS. El hecho de que estos detalles fueran explicados en la sección de ayuda de Twitter no serviría de mucho a los usuarios que no sabían que necesitaban ayuda en primer lugar.
En noviembre de 2016, mucho después de que Twitter cambiara su configuración, Jason Polakis e investigadores de la Fundación para la Investigación y la Tecnología de Creta comenzaron a extraer metadatos de Twitter de la API de la empresa. Se basaban en investigaciones anteriores que demostraban que era posible inferir información privada a partir de tweets geoetiquetados, pero querían ver si podían hacerlo a escala y con más precisión, utilizando la automatización.
Los expertos analizaron un conjunto de cerca de 15 millones de tweets etiquetados geográficamente de unos 87,000 usuarios. Algunos de los datos de ubicación adjuntos a esos tweets pueden provenir de usuarios que querían compartir sus ubicaciones exactas, como, por ejemplo, un museo o un centro de música. Pero también había muchos usuarios que no compartían nada más que una ciudad o un vecindario en general, sólo para compartir su ubicación GPS de todos modos.
Desde allí, LPAuditor se puso a trabajar asignando cada tweet a un punto físico en un mapa, y localizándolo por zona horaria. Eso generó grupos de tweets alrededor del mapa, algunos más ocupados que otros, indicando lugares donde un usuario determinado pasa mucho tiempo, o al menos, mucho tiempo twitteando.
Según Polakis, el hecho de que Twitter ya no conecte coordenadas GPS a todos los tweets etiquetados geográficamente no es suficiente, dado que los desarrolladores todavía tienen acceso a años de datos anteriores a 2015. Sí, parte de esa información puede que ahora esté obsoleta. La gente se muda. Cambian de trabajo. Pero incluso la información obsoleta puede ser útil para un atacante, y otra información sensible, como, por ejemplo, la sexualidad de una persona, parece poco probable que cambie. Este estudio demuestra que no sólo es posible inferir este tipo de información a partir de datos de localización, sino que una máquina puede hacerlo casi instantáneamente.
Por ahora, lo que la gente puede hacer es borrar sus datos de localización, y pensar dos veces antes de compartirlos en el futuro.
Con información de: Wired.