Cuidado: tus datos de tarjetas de crédito no son tan anónimos

Los datos privados de las tarjetas de crédito no son tan anónimos como se prometió, según afirma un nuevo estudio. Los científicos mostraron que pueden identificar al usuario con una precisión de más de 90% simplemente al mirar cuatro compras que haya hecho, y sólo tres si el precio está incluido.

Y eso después de que las compañías han “anonimizado” los datos de las transacciones, diciendo que eliminaron nombres y otros detalles personales. El estudio del Instituto de Tecnología de Massachusetts (MIT, por sus siglas en inglés), publicado el jueves en la revista Science, examinó tres meses de historiales de tarjetas de crédito de 1,1 millón de personas.

“Estamos mostrando que la privacidad que nos han dicho que tenemos no es real”, dijo el coautor del estudio Alex “Sandy” Pentland, del MIT, en un correo electrónico. Las compañías rutinariamente eliminan identificadores personales de los datos de tarjetas de crédito cuando comparten la información con terceros, y dicen que por ello los datos están ahora más seguros, por estar “anonimizados”.

Pero el estudio mostró que anonimizado no es lo mismo que anónimo. Al examinar un mar de datos de un país desarrollado cuyo nombre no fue identificado, los autores de la investigación armaron la información disponible para ver cuán fácil era identificar a alguien.

Analizaron los datos de transacciones en 10.000 tiendas, con marcas de tiempo en cada pieza de información para calcular cuántas piezas de datos eran necesarias como promedio para encontrar a alguien, dijo el principal autor del estudio, Yves-Alexandre de Montjoye, también del MIT. Los expertos necesitaron solamente cuatro piezas de información, tres en caso de que incluyeran el precio.

Como ejemplo, los investigadores examinaron datos del 23 y el 24 de septiembre y sobre quién visitó una panadería un día y un restaurante al día siguiente. Al examinar los datos, encontraron que solamente podría haber una persona que encajara con esa cuenta y la llamaron Scott.

El estudio dice: “Y ahora sabemos todas sus otras transacciones, tales como el hecho de que él se fue a comprar zapatos y alimentos el 23 de septiembre, y cuánto gastó”. Es más fácil identificar a mujeres, pero el estudio no pudo explicar por qué, dijo de Montjoye. La investigación muestra que, aunque pensamos que tenemos privacidad cuando se recolecta nuestra información, es realmente una “ilusión”, dijo Eugene Spafford, director del Centro para Educación e Investigación en Garantía y Seguridad de la Información de la Universidad Purdue. Spafford, que no formó parte del estudio, dice que el mismo “hace que uno se pregunte cuáles deben ser nuestras expectativas de privacidad ahora”.

“No es sorprendente para aquellos que nos pasamos nuestro tiempo estudiando la privacidad”, dijo la experta Lorrie Faith Cranor, directora del Laboratorio CyLab sobre Privacidad Utilizable y Seguridad en la Universidad Carnegie Mellon. “Pero espero que será una sorpresa para mucha gente, incluidas compañías que pudieran estar compartiendo rutinariamente datos de transacciones anonimizadas, pensando que hacerlo es seguro”.

Empresas de tarjetas de crédito y funcionarios del sector declinaron comentar al respecto o no respondieron a mensajes para que lo hicieran. El uso de los llamados “meta datos” —información básica de transacciones— ha sido un prospecto lucrativo para compañías que buscan capitalizar el tesoro de información personal sobre sus consumidores. Las compras en tiendas, la navegación en internet y otra serie de “huellas” digitales pueden proveer a las compañías valiosos datos sobre una persona, que a su vez son usados en campañas de publicidad.