La pandilla de raperos que pudo espiar a todo Estados Unidos

Por Thomas Brewste En un día de junio del año pasado, un rapero flaco y con rastas de 29 años conocido como Tony Da Boss yacía en la cama en un apartamento de ladrillos rojos en una calle bordeada de árboles en Charlotte, Carolina del Norte. No era el tipo de lugar con el que asociarías una conspiración criminal de un millón de dólares. Pero Da Boss (nombre real, Damonte Withers) era un líder de la banda FreeBandz, un equipo amateur de veinteañeros que participaban en actividades mucho más nefastas que iban más allá de grabar música. Había señales de advertencia de que las cosas iban a ser reales. Las alertas en el iPhone de Da Boss advirtieron que sus cámaras de vigilancia de Google Nest con vistas dentro y fuera del apartamento habían detectado movimiento. Afuera, un reparto completo de personal del Servicio Secreto, el Servicio de Inspección Postal de los Estados Unidos y el departamento de policía local estaban preparados para intervenir. En el interior, encontraron pilas de marihuana y múltiples armas de fuego. Más intrigante aún, había paquetes de efectivo junto con impresoras de identificaciones falsas, 36 tarjetas de crédito en blanco y miles de impresiones que contenían datos personales de ciudadanos estadounidenses. Los investigadores detectaron las cámaras Nest y pronto harían la primer demanda pública oficial del gobierno federal para obtener la información de los clientes y las imágenes de vigilancia de la división de hogares inteligentes de Google. De enero a junio de 2018, siete miembros de la pandilla de Da Boss se declararon culpables de varios cargos de robo de identidad. En total, causaron alrededor de 1.2 mdd en daños, utilizando identidades robadas para comprar autos de lujo y iPhones, y arrendar apartamentos en Charlotte. De no ser por la forma en que robaron identidades,tanto ellos como sus crímenes habrían sido olvidados rápidamente como cualquier otro robo común. Los policías alegaron que Da Boss y sus compañeros de conspiración tuvieron acceso al Santo Grial para cualquier estafador de la era de Internet: una tecnología de vigilancia que la policía y los cobradores de deudas utilizan para rastrear a la mayoría de los 325 millones de habitantes de los Estados Unidos a través de sus números de Seguro Social, licencia, placas,historial de direcciones, nombres y fechas de nacimiento. La tecnología de monitoreo masivo, llamada TLO, es un producto del gigante de informes crediticios con sede en Chicago TransUnion, que el año pasado tuvo ingresos de casi 1,900 mdd. Un folleto para el servicio promete acceso a una cantidad sorprendente de datos personales extraídos de innumerables fuentes: más de 350 millones de números de Seguro Social de estadounidenses muertos y vivos, 225 millones de historiales de empleo y 4,000 millones de registros de direcciones. Eso sumado a miles de millones de registros de vehículos y registros de llamadas, da como resultado una de las bases comerciales de datos de vigilancia más grande que existe. Lo utilizan no solo los policías, sino también los cobradores de deudas y las empresas privadas que realizan verificaciones de antecedentes. Los investigadores privados lo usan para rastrear a los cónyuges infieles. Pero en las manos equivocadas puede usarse para robar la identidad de casi cualquier persona en Estados Unidos. Y Da Boss y su pandilla tuvieron acceso a él. Al escribir en apoyo de la orden judicial para usar las imágenes de la cámara Nest en su investigación, el investigador del Servicio Postal de los Estados Unidos, Randall Berkland, dijo que TLO permitía a los usuarios investigar prácticamente a cualquier persona en el país. Berkland lo sabría: había usado la herramienta ampliamente para investigar varios delitos. Y, agregó, “los usuarios tendrían acceso y recursos ilimitados para cometer robo de identidad y fraude”. “La oportunidad de uso indebido es enorme”, dice Cooper Quintin, un tecnólogo de la Electronic Frontier Foundation, que defiende los derechos civiles de Internet. “Incluso si se necesitara una orden judicial para acceder a esta base de datos, aún podrían ser robados por hackers, espías o empleados deshonestos y utilizarse con fines ilegales y dañinos”. Fundada en 2009, TLO fue una creación del pionero en minería de datos Hank Asher, quien murió en 2013. El nombre, una abreviatura de The Last One, fue el proyecto empresarial final de Asher, el tercero de un trío de empresas de minería de datos masiva, que incluyeron Database Technologies y Seisint. Database Technologies, cuyo producto principal, AutoTrack, fue utilizado por compañías de seguros y policías para cazar vehículos de personas, se fusionó con Choicepoint en 2000; Seisint, que hizo lo mismo que Database Technology a gran escala, se vendió a la base de datos LexisNexis por 775 mdd en 2004. En 2008, la empresa matriz de LexisNexis, Reed Elsevier, compró Choicepoint, por 4,100 mdd. Asher, un sabio voluminoso, barbudo y excéntrico que admitió haber traído cocaína a los Estados Unidos en la década de 1980 (nunca enfrentó cargos), fue un innovador en el campo de la vigilancia a través de la correlación de datos, mucho antes de que las compañías de artes oscuras como Palantir de Palo Alto, California se convirtieran en unicornios con valoraciones multimillonarias. “Fue, en mi humilde opinión, un genio de la tecnología, un genio de las matemáticas informáticas”, dice Martha Walters Barnett, ex directora de privacidad de TLO. “Fue uno de los primeros en reconocer … que los datos insignificantes y no relacionados, cuando se combinan de la manera correcta, podían convertirse en una herramienta poderosa”. Según un informe de 2004 en Vanity Fair, el software de Asher ayudó a identificar a los asociados de los terroristas del 11 de septiembre. Más tarde fue celebrado por Dick Cheney y Rudy Giuliani, aunque los activistas de la privacidad advirtieron que era una herramienta de vigilancia peligrosa. Creyendo que las preocupaciones de privacidad en torno a su trabajo eran exageradas, Asher continuó creando TLO. Aunque estaba diseñado para cazar pederastas, Asher tenía grandes ambiciones para el producto, que se estancó después de su muerte. Un año después, TransUnion compró TLO por 154 mdd. Hoy en día, TransUnion dice que TLO es capaz de “procesar billones de registros a velocidades de menos de segundo”. Puede descubrir rápidamente datos relevantes, como miembros de la familia de individuos y perfiles de redes sociales. Una de las características más importantes para la aplicación de la ley es que combina fotos de cámaras de vigilancia con un enorme número de matrículas para rastrear casi instantáneamente los vehículos sospechosos. Entre sus clientes gubernamentales más importantes se encuentran el Departamento de Justicia, el Servicio Secreto y la Marina de los Estados Unidos. Una licencia para un solo usuario cuesta menos de 1,500 dólares al mes. Barnett dice que ella y Asher trabajaron juntos para asegurarse de que no hubiera abuso con TLO. Se realizaron visitas in situ a los clientes, quienes se sometieron a un estricto proceso de investigación. Sólo a los que pasaron el examen se les dio un inicio de sesión, dice Walters. “Fuimos muy selectivos”. Cuando se trataba de hacer cumplir la ley, TLO era más confiado. Desde el principio, el software se puso a disposición de cualquier policía del país que lo deseara. Un portavoz de TransUnion dice que los mismos procesos de auditoría están vigentes hoy en día, que incluyen visitas al sitio para cada cliente y múltiples controles con las autoridades estatales para garantizar la autenticidad de los clientes. Pero en ocasiones, los delincuentes han encontrado formas de deslizarse por las grietas. Y en 2017, el gobierno alegó que un empleado deshonesto de una empresa de cobro de deudas abusó del acceso a la base de datos y trabajó con una pandilla de raperos para comenzar a robar las identidades de los estadounidenses. No está claro cuántas rutas de acceso tuvieron Da Boss y su tripulación en TLO. Pero tenían más de una. De acuerdo con los registros de la corte, Da Boss y varios miembros de su equipo (James Willingham, Deandre Howze y Alexsandera Mobley) tuvieron acceso directo a la información de TLO. Mobley estaba buscando nombres en TLO desde octubre de 2016, según indican sus acusaciones. Al menos a veces, el grupo de rap recibió ayuda de otro coconspirador acusado, Lakesiah Norman. Norman tuvo acceso directo a TLO a través de su trabajo de medio tiempo en una agencia anónima de cobro de deudas de Charlotte entre mayo y octubre de 2017. Eso es según un documento judicial que respalda su acuerdo de culpabilidad, firmado en mayo de 2018. Norman consultaría la base de datos, encontraría personas con buenas calificaciones crediticias que fueran blancos maduros para el robo de identidad y vendería su información, incluido el nombre, el número de Seguro Social y la fecha de nacimiento. Norman hizo esto con al menos 20 personas, cobrando apenas 100 dólares por los datos de cada víctima. El grupo de Da Boss también tuvo acceso de otras maneras. Un portavoz de TransUnion le dijo a Forbes que otros cuatro clientes autorizados de TLO tenían acceso a la base de datos por parte de empleados malintencionados para alimentar a FreeBandz Gang. El portavoz declinó dar más detalles. La ironía de que TLO fue intervenida durante meses por el tipo de ladrones que la tecnología de vigilancia debía atrapar no se ha perdido entre los críticos de TransUnion. “Se supone que todo su negocio es identificar a las personas”, dice Jay Stanley, un analista senior de políticas de la ACLU, “pero ni siquiera pueden validar a las personas que son sus clientes”. Una vez que robaron las identidades de los ciudadanos, los raperos siguieron gastando despreocupadamente, según el gobierno. El Departamento de Justicia dijo que los estafadores usaban identificaciones falsas para comprar y revender iPhones y iPads. Arrendaron departamentos de lujo y compraron autos caros. En un caso, dos de los coconspiradores tomaron un préstamo fraudulento de alrededor de 30,000 dólares y usaron los fondos para adquirir un Mercedes-Benz 2014, según un expediente judicial de Carolina del Norte que respalda el acuerdo de culpabilidad de Mobley. No está claro si sus cámaras Nest fueron compradas con fondos ilícitos. Pero la compra fracasó. Justo cuando los delincuentes utilizaron más el TLO, los policías usaron los Nests contra sus dueños. En junio del año pasado, el investigador del Servicio Postal Berkland obtuvo una orden que ordenaba a Google entregar todos los datos relacionados con esas cámaras. La compañía cumplió, enviando imágenes de vigilancia de vuelta, junto con los datos personales de sus propietarios. Es el primer caso conocido en los Estados Unidos en el que una agencia federal de aplicación de la ley ha solicitado información a un proveedor de Nest, y tiene implicaciones obvias para cualquier persona que haya comprado un dispositivo inteligente para el hogar que contenga una cámara o un micrófono. El Departamento de Justicia declinó hacer comentarios. Un portavoz de Nest dice que la compañía no hace comentarios sobre casos específicos, pero señala que ha recibido solicitudes de datos de los gobiernos anteriormente, lo que ha revelado en un informe de transparencia. Dentro de ese informe se encuentran la cantidad de solicitudes recibidas y el porcentaje de las solicitudes que dieron como resultado la transmisión de datos a las autoridades. El informe no desglosa las solicitudes por geografía, y Nest no proporcionó información sobre el número de pedidos del gobierno de los EE. UU. Los diversos miembros de la pandilla de Da Boss se declararon culpables en julio y esperan sentencia. Es el primer uso fraudulento públicamente conocido de TLO, pero ha ocurrido antes. TransUnion dice que si bien son raras las infracciones como la de los miembros de FreeBandz Gang, no fue la primera vez que los delincuentes obtuvieron acceso a sus bases de datos. TransUnion se negó a proporcionar detalles específicos sobre otros incidentes. Los ciudadanos promedios tienen poco recurso. No hay una manera fácil de eliminar su información de TLO. “Mientras exista tal base de datos”, dice Quintin de la EFF, “es una amenaza para la privacidad de todos los estadounidenses”.