Imagen de Jim Cooke

Las operaciones de Uber, en expansión constante, se realizan en base a dos grupos de información celosamente guardados: la que el gigante mundial del servicio de transporte sabe de ti y, por otro lado, aquel tipo de información que preferiría que nunca te enterases que poseen.

Ambas categor√≠as se han visto en juego en la Corte Superior de California en San Francisco, debido a que Ward Spangenberg, un exinvestigador forense de Uber, ha demandado a la compa√Ī√≠a por despido arbitrario. El caso, archivado en mayo del a√Īo pasado, ha expuesto ciertos secretos Uber. Esta demanda de Spangenberd lleg√≥ a tener una significativa cobertura medi√°tica, mayormente sensacionalista, debido a su alegato de que los empleados de la compa√Ī√≠a acced√≠an inapropiadamente a la base de datos para rastrear personas o espiar celebridades como Beyonc√©.

En medio de exhaustivas investigaciones frente a la posibilidad de potenciales violaciones a la privacidad, Uber desestim√≥ aquellas acusaciones manifestando que sus empleados tienen acceso √ļnicamente a datos necesarios para hace sus trabajos, y que todo el acceso a su data est√° protegido y es auditado constantemente.

La demanda, sin embargo, permiti√≥ vislumbrar los mecanismos ocultos detr√°s de la interacci√≥n diaria de Uber con sus clientes a trav√©s de su base de datos corporativa. En octubre del a√Īo pasado ‚ÄĒy antes de que Uber prohibiese legalmente el car√°cter p√ļblico de esta informaci√≥n‚ÄĒ, durante dos d√≠as fue posible ver en l√≠nea las presentaciones de Spangenberd, lo que inclu√≠a una hoja de c√°lculo con m√°s de 500 celdas con informaci√≥n que Uber rastrea de cada uno de sus clientes.

Advertisement

Un vistazo de la prueba A

El documento, presentado para respaldar la demanda de Spangenberg sobre el vasto repositorio de informaci√≥n al que los empleados de Uber pod√≠an acceder, parec√≠a extra√≠do directamente del sistema. Mostraba abultadas categor√≠as de nombres como ‚Äútiene-viaje-permitido-bajo-riesgo-etiqueta‚ÄĚ (has_ride_allowed_low_risk_tag), e incluso Spangenberg present√≥ como ejemplo la data que Uber ten√≠a almacenada sobre √©l.

La casi infinita cascada de informaci√≥n pone en evidencia el inmenso y granular esfuerzo de Uber por registrar toda su interacci√≥n con sus clientes: registra no solo cu√°ndo has creado tu cuenta, sino d√≥nde estuviste al hacerlo ‚ÄĒen el caso de Spangenberg, en una oficina en Battery Street en el centro de San Francisco‚ÄĒ, cu√°nto tardaste en solicitar tu primer servicio con Uber luego de crearla, cu√°nto tiempo lleva activa tu cuenta‚Ķ y as√≠ hasta el m√°s milim√©trico detalle.

Advertisement

Puedes buscar las etiquetas adjuntas a tu cuenta de Uber aqu√≠. Intenta algunas como ‚Äúgps‚ÄĚ o ‚Äúgreyball‚ÄĚ.



_date_start_end

_offset

_src

accept_language

account_age_in_days

account_age_in_seconds

account_credit_promotion_count

action_codes

action_reasons

action_reasons_for_bypass_rules

actions

La hoja de c√°lculo tambi√©n menciona un n√ļmero de programas que se ejecutan internamente en Uber para fines inescrutables. (Por cierto, si sabes de qu√© va cualquiera de ellos, ponte en contacto con nosotros). Entre los datos existen 10 campos diferentes cuyo nombre contiene la etiqueta ‚Äúgreyball‚ÄĚ, que coincide con el nombre de un programa inform√°tico utilizado en marzo de este a√Īo para ‚Äúenga√Īar a las autoridades del mundo‚ÄĚ, seg√ļn revel√≥ el New York Times. Una vez que una cuenta haya sido etiquetada con ‚Äúgreyball‚ÄĚ, es usada, seg√ļn el jefe de seguridad de Uber, el oficial Joe Sullivan, ‚Äúpara ocultar en la app la vista est√°ndar de la ciudad a determinados pasajeros, permitiendo a Uber mostrar una versi√≥n diferente‚ÄĚ de la app.

Advertisement

Uber argumenta que el ‚Äúgreyballing‚ÄĚ puede ser usado para prop√≥sitos inocuos como enviar publicidad a usuarios espec√≠ficos, pero en algunos lugares como Portland, Oregon, por un breve periodo durante 2014 Uber etiquet√≥ como ‚Äúgreyball‚ÄĚ las cuentas de los polic√≠as de la ciudad para impedir que atrapen a los conductores de UberX que estuviesen quebrantando las leyes locales por prestar ese servicio. El Departamento de Justicia actualmente est√° investigando este uso.

‚ÄúLos or√≠genes [del Greyball] pretend√≠an evitar el abuso, pero otros equipos han encontrado valor en ello‚ÄĚ, dijo la portavoz de Uber, Melanie Ensign.

Advertisement

Otros nombres en clave usados dentro en las 500 etiquetas para las cuentas de usuarios incluyen palabras como ‚ÄúGuardian‚ÄĚ, ‚ÄúSentinel score‚ÄĚ y ‚ÄúHoneypot‚ÄĚ. Uber, por su parte, rechaz√≥ explicar la naturaleza de estas etiquetas, pero Ensign dijo que el proyecto Guardian ‚Äúes usado para detectar falsificaci√≥n, como la descrita en esta historia publicada por Bloomberg el 2015‚ÄĚ. El art√≠culo detalla los desaf√≠os de Uber en China, en donde los conductores crearon falsos servicios para estafar a la compa√Ī√≠a.

Los abogados de Uber consiguieron que esta documentaci√≥n deje de ser p√ļblica, argumentando que conten√≠a ‚Äúinformaci√≥n confidencial, patentada y privada‚Ķ cuya sola existencia, contenido y forma son de extrema sensibilidad competitiva para la parte acusada, ya que demuestra qu√© data [Uber] considera suficientemente importante de capturar‚ÄĚ. Ellos agregaron que esta informaci√≥n ‚Äúse refiere a nombres en clave confidenciales y patentados del software, base de datos y sistemas desarrollados por Uber de manera interna‚ÄĚ.

La hoja de c√°lculo ciertamente afirma que Uber tiene acceso a mucha informaci√≥n privada. Es un recordatorio v√≠vido de la extrema asimetr√≠a que existe entre usuarios ‚ÄĒque est√°n interesados √ļnicamente en ser llevados del punto A al punto B‚ÄĒ y las m√°quinas que los rastrean. El sistema automatizado de Uber re√ļne progresivamente peque√Īos y aparentemente insignificantes detalles, material aburrid√≠simo que f√°cilmente podr√≠a caer en el olvido.

Advertisement

Al ser consultada sobre exhibici√≥n del manejo de datos de Uber, la portavoz de seguridad de la empresa, Melanie Ensign, explic√≥ que este es ‚Äúun cat√°logo de se√Īales usadas por nuestro sistema de aprendizaje autom√°tico para detectar comportamiento potencialmente fraudulento o cuentas comprometidas‚ÄĚ. A pesar del tama√Īo aparente de la base de datos, Ensign describi√≥ el material como uno basado en un peque√Īo conjunto de cosas que est√°n ‚Äúesbozadas en nuestros t√©rminos de contrato‚ÄĚ con el cliente.

‚ÄúTodas esas se√Īales son derivados de la direcci√≥n IP, informaci√≥n de pago, informaci√≥n del dispositivo, ubicaci√≥n, e-mail, n√ļmero de m√≥vil e historial de la cuenta‚ÄĚ, dijo Ensign.

Advertisement

Lo que resulta asombroso es que Uber pueda hacer tanto solo con siete celdas de información.

Por ejemplo, los usuarios dan a Uber acceso a su ubicaci√≥n e informaci√≥n de pago, luego esa informaci√≥n es desmenuzada por la compa√Ī√≠a de innumerables maneras. Esta guarda archivos con informaci√≥n como puntos cu√°les son los puntos GPS de los viajes que realizas con mayor frecuencia; cu√°nto has pagado por el servicio; qu√© m√©todo de pago utilizaste; cu√°nto has pagado la semana pasada; cu√°ndo fue la √ļltima vez que cancelaste un viaje; cu√°ntas veces has cancelado en los √ļltimos 5 minutos, 10 minutos, 30 minutos y 300 minutos; cu√°ntas veces has cambiado tu tarjeta de cr√©dito; qu√© direcci√≥n de e-mail utilizaste para registrarte o si alguna vez has cambiado tu direcci√≥n electr√≥nica.

Algunas de las etiquetas parecen emitir juicios dados a usuarios de Uber, como el nefasto ‚Äúsuspected_clique_rider‚ÄĚ (‚Äúpasajero_sospechoso_pandilla‚ÄĚ) y ‚Äúpotential_rider_driver_collusion‚ÄĚ (‚Äúpotencial_enfrentamiento_pasajero_conductor‚ÄĚ).

Advertisement

Un objetivo clave de toda esta vigilancia es identificar y reaccionar frente a usuarios at√≠picos como defraudadores, abusadores ‚ÄĒo, como el esc√°ndalo Greyball revel√≥, un gobierno regulador que trataba de observar c√≥mo trabaja Uber‚ÄĒ. No obstante, en el pasado, la compa√Ī√≠a se ha visto en problemas cuando ve como ‚Äúusuarios at√≠picos‚ÄĚ a aquellos que se interponen en su camino, incluso si tienen buenas razones para ello.

Adem√°s de los nombres en c√≥digo en el documento ‚ÄĒGuardian, Sentinel y Honeypot‚ÄĒ existen campos llamados ‚Äúin_fraud_geofence‚ÄĚ (‚Äúen_fraude_geovalla‚ÄĚ) y ‚Äúin_fraud_geofence_pickup‚ÄĚ (‚Äúrecoger_en_fraude_geovalla‚ÄĚ). El geovallado (geofencing en ingl√©s) es una t√©cnica para acordonar digitalmente un √°rea determinada. Ensign dice que estas etiquetas podr√≠an usarse para, por ejemplo, marcar a usuarios que intenten utilizar incorrectamente un c√≥digo de promoci√≥n. Por ejemplo, si hubiese un c√≥digo promocional para tomar un Uber a un evento deportivo, el geovallado podr√≠a ayudar a detectar a alguien intentando usar el mismo c√≥digo para un prop√≥sito distinto, explic√≥ Ensign.

Advertisement

Esto evoca dos reportes del New York Times acerca de Uber y el geovallado. El primero, publicado en marzo, sosten√≠a que Uber rastre√≥ qu√© cuentas acced√≠an desde edificios gubernamentales (lo que permit√≠a saber si el usuario formaba de una agencia gubernamental tratando de rastrear a Uber). El otro reporte es de abril, mes en que Uber geovall√≥ la sede de Apple para que la app funcionara de manera diferente para los empleados de Apple para evitar que los ellos descubran que Uber estaba ‚Äúespiando‚ÄĚ Iphones (a trav√©s de la t√©cnica conocida como ‚Äúfingerprinting‚ÄĚ).

Esa forma de espionaje permitió a Uber seguir rastreando a los usuarios incluso luego de que borrasen el contenido de sus móviles. Esta práctica constituía una violación a las reglas de privacidad que estipula Apple para los desarrolladores de apps. Desafortunadamente, Uber no pudo geovallar la dirección de casa de cada empleado de Apple, y aquellos que trabajaban fuera de Cupertino descubrieron estas prácticas, lo que llevó a Tim Cook, CEO de Apple, a dar una sonora reprimenda al CEO de Uber, Travis Kalanick, en 2015.

La hoja de cálculo ofrece información de primera mano sobre cómo el sistema de etiquetado de Uber puede ser usado no solo para prevención del fraude, sino para presentar diferentes versiones de la app a usuarios distintos en sitios diferentes.

Advertisement

Le preguntamos a Rob Graham, un consultor de seguridad en Errata Security, quien suele trabajar con extensas bases de datos, para revisar los documentos y especular sobre por qu√© Uber estaba tan preocupada por la exposici√≥n p√ļblica.

‚ÄúEstoy seguro de que esto beneficiar√° mucho a Lyft [competencia directa de Uber]. Ellos entender√°n el contexto de esta informaci√≥n‚ÄĚ, dijo por e-mail. ‚ÄúAsimismo, ayudar√° a sus adversarios, los haters de Uber en el mundo (yo soy un Uber lover), quienes podr√°n usar estos campos de informaci√≥n para descubrir exactamente c√≥mo el c√©lebre ‚ÄėGreyballing‚Äô funciona‚ÄĚ.

Advertisement

Cuando se le preguntó a Lyft si había visto o se había beneficiado del documento, un portavoz se negó a hacer comentarios al respecto.

Uber no es el √ļnico gigante de la tecnolog√≠a en usar sistemas de aprendizaje autom√°tico para intentar crear detallad√≠simos perfiles de sus usuarios y encontrar qu√© actividad y usuarios destacan como at√≠picos. Sin embargo, Uber tiene un historial de mal uso de su sistema de vigilancia. A√Īos atr√°s, emple√≥ su sistema de rastreo de pasajeros, llamado ‚ÄúGold View‚ÄĚ, como un truco de fiesta, y luego lo us√≥ para rastrear a un periodista que reportaba peri√≥dicamente sobre la compa√Ī√≠a. Us√≥ la herramienta antiabuso Greyball para subvertir a los reguladores gubernamentales. Actualmente, Uber ha sido demandado por los conductores debido a un programa llamado Hell, que puede rastrear sus movimientos a trav√©s de un hack de la app Lyft para averiguar qu√© conductores estaban trabajando para ambas compa√Ī√≠as.

Los programas codificados y cientos de etiquetas en la hoja de c√°lculo ofrecidos por Spangenberg sugieren que podr√≠a haber formas a√ļn desconocidas en que Uber est√© aprovechando de manera agresiva la informaci√≥n con la que cuenta. Si alguien familiarizado con estas etiquetas puede arrojar luces sobre insospechadas formas en que puedan estar siendo utilizadas, o tiene alguna preocupaci√≥n concreta, env√≠enos una nota.