Es molesto que terceros vendan nuestros datos personales. Pero para ciertas poblaciones sensibles, como los miembros del servicio militar, la venta de esa información podría convertirse rápidamente en una amenaza a la seguridad nacional. Investigadores de la Universidad de Duke publicaron un estudio el lunes que rastrea qué medidas han implementado los intermediarios de datos para evitar que actores no identificados o potencialmente malignos compren datos personales sobre miembros del ejército. Resulta que la respuesta suele ser poca o ninguna, incluso cuando el comprador se hace pasar activamente por un agente extranjero.
Un estudio de Duke de 2021 realizado por el mismo investigador principal reveló que los intermediarios de datos anunciaban que tenían acceso a información sobre el personal militar estadounidense y que estaban más que felices de venderla. En este estudio más reciente, los investigadores utilizaron computadoras borradas, VPN, teléfonos desechables comprados con efectivo y otros medios de ofuscación de identidad para actuar encubiertos. Revisaron los sitios web de los intermediarios de datos para ver cuáles probablemente tuvieran datos disponibles sobre los miembros del servicio. Luego intentaron realizar esas compras, haciéndose pasar por dos entidades: datamarketresearch.org y dataanalytics.asia. Con poca o ninguna investigación, varios de los corredores transfirieron los datos solicitados no sólo a datamarketresearch, presuntamente con sede en Chicago, sino también al servidor del dominio .asia que estaba ubicado en Singapur. Los discos sólo cuestan entre 12 y 32 centavos por pieza.
La información confidencial incluía registros médicos e información financiera. Los datos de ubicación también estaban disponibles, aunque el equipo de Duke decidió no comprarlos, aunque no está claro si fue por razones financieras o éticas. “El acceso a estos datos podría ser utilizado por actores extranjeros y maliciosos para atacar al personal militar en servicio activo, a los veteranos y a sus familiares y conocidos para elaborar perfiles, chantajear, atacar con campañas de información y más”, advierte el informe. A nivel individual, esto también podría incluir robo de identidad o fraude.
Este enorme agujero en nuestro aparato de seguridad nacional se debe en gran parte a la ausencia de regulaciones federales integrales que rijan la privacidad de los datos individuales o muchas de las prácticas comerciales realizadas por los intermediarios de datos. Los senadores Elizabeth Warren, Bill Cassidy y Marco Rubio introdujeron la Ley de Protección de Datos de los Miembros del Servicio Militar en 2022 para otorgar poder a la Comisión Federal de Comercio para evitar que los intermediarios de datos vendan información del personal militar a naciones adversarias. Reintrodujeron el proyecto de ley en marzo de 2023 después de que se estancara. A pesar del apoyo bipartidista, todavía no ha pasado de la fase de introducción.