“Déjenme recordarles que el crédito es la sangre de los negocios, la sangre de los precios y los empleos.” -Presidente Herbert Hoover
Se nos ha dicho que nuestros registros de transacciones son “anonimizados”, eliminando nuestros nombres y otros datos personales antes de que las compañías de tarjetas de crédito compartan la información con organizaciones externas. Pero los investigadores del Instituto Tecnológico de Massachusetts han demostrado que los lugares y las fechas de sólo cuatro compras son suficientes para identificarlo correctamente con una precisión de más del 90 por ciento en una base de datos de 1,1 millones de personas con tres meses de información (incluso si los datos son anónimos). Los investigadores sólo necesitan tres compras para identificarlo si tienen información sobre el precio. En otras palabras, usted tiene poca privacidad independientemente de lo que le hayan dicho.
Explicación completa
Nuestras compañías de tarjetas de crédito pueden no entender hasta qué punto violan nuestra privacidad mientras nos dicen que no lo hacen. Esto es así incluso cuando nuestros registros de transacciones son “anónimos” al eliminar nuestros nombres y otros datos personales antes de que las compañías de tarjetas de crédito compartan la información con organizaciones externas.
El problema se deriva de los metadatos, un término técnico que significa datos que describen otros datos. Por ejemplo, si llama a alguien desde su teléfono móvil, los metadatos incluirían la hora, la fecha y la ubicación de la llamada. Con las computadoras que ahora son lo suficientemente potentes como para realizar rápidamente análisis estadísticos de grandes cantidades de datos, no es necesario tener los nombres o números de las personas involucradas en las llamadas. Con una cantidad sorprendentemente pequeña de metadatos, las computadoras pueden usar la información en bases de datos gigantescas para determinar quiénes son y a quiénes llamaron con una precisión asombrosa.
De hecho, hace unos dos años, investigadores del Instituto Tecnológico de Massachusetts (MIT) y de la Universidad Católica de Lovaina en Bélgica publicaron los resultados de un estudio que mostraba que sólo se necesitaban cuatro puntos de datos para identificar a un usuario de teléfono móvil con una precisión del 95 por ciento. Utilizaron una base de datos europea con 1,5 millones de usuarios de teléfonos móviles y 15 meses de datos anonimizados. También pudieron identificar alrededor del 50% de los usuarios de teléfonos móviles a partir de sólo dos puntos de datos.
En este caso, los puntos de datos se generaron mediante pings de los teléfonos móviles de los usuarios a torres celulares cercanas mientras estas personas viajaban o cuando enviaban o recibían mensajes de texto y llamadas.
Si avanzamos hasta hoy, la realidad es aún más aterradora. Utilizando una base de datos de alrededor de 1,1 millones de personas con tres meses de información, los investigadores del MIT han descubierto que necesitan los lugares y las fechas de sólo cuatro de sus compras con tarjeta de crédito para identificarle correctamente con una precisión de más del 90 por ciento (incluso si los datos son anónimos). Los investigadores sólo necesitan tres compras para identificarlo con una precisión de alrededor del 94 por ciento si tienen información de precios.
Pero no se detiene ahí. Si sólo tienen uno de los recibos de tu tarjeta de crédito, tu tweet sobre tu nuevo teléfono y una foto de Instagram de ti socializando con tus amigos -todos los puntos de datos con información de localización- pueden identificarte con un 94 por ciento de precisión en esa base de datos de un millón de personas. También pueden extraer los registros de tus otras transacciones con tarjeta de crédito, incluso si no hay un solo individuo en esa base de datos que se identifique con información personal como el nombre, la dirección o el número de tarjeta de crédito.
Los investigadores dieron este ejemplo en su estudio: “Digamos que buscamos a Scott en un conjunto de datos de tarjeta de crédito simplemente anónimo. Sabemos dos puntos sobre Scott: fue a la panadería el 23 de septiembre y al restaurante el 24 de septiembre. La búsqueda a través del conjunto de datos revela que hay una y sólo una persona en todo el conjunto de datos que fue a estos dos lugares en estos dos días… Scott ha sido re-identificado, y ahora sabemos todas sus otras transacciones, como el hecho de que fue a comprar zapatos y comestibles el 23 de septiembre, y cuánto gastó.”
Es aún más fácil identificar a las mujeres y a los individuos de altos ingresos, posiblemente porque tienen hábitos de compra distintivos.
La falta de privacidad con los datos anonimizados, combinada con su amplia disponibilidad en las bases de datos gubernamentales y comerciales, también plantea una mayor preocupación sobre cómo esta información puede ser utilizada en contra nuestra sin nuestro conocimiento o consentimiento con cosas como las solicitudes de préstamos, los acuerdos de seguros y las acciones de divorcio.
Más información
Noticias del MIT: ¿Qué tan difícil es “desanonimizar” los datos de un teléfono celular?
Noticias del MIT: Desafíos de la privacidad
CBS News: Las tarjetas de crédito ofrecen mucha menos privacidad de lo que crees.
El Guardián: Una guía del Guardián para tus metadatos