1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Por Qué Debería Optar Por No Compartir Datos Con Su Proveedor De Telefonía Móvil

Por Qué Debería Optar Por No Compartir Datos Con Su Proveedor De Telefonía Móvil

Una nueva brecha que involucra datos de nueve millones Servicios DE AT & T clientes es un recordatorio fresco de que su proveedor de telefonía móvil probablemente recopila y comparte una gran cantidad de información sobre dónde va y qué hace con su dispositivo móvil, a menos que y hasta que opte por no participar en esta recopilación de datos. Aquí hay una introducción sobre por qué es posible que desee hacer eso y cómo.

Imagen: Shutterstock

Gigante de las telecomunicaciones Servicios DE AT & T se reveló este mes que una violación en un proveedor de marketing expuso cierta información de cuenta para nueve millones de clientes. AT&T dijo que los datos expuestos no incluían información confidencial, como números de tarjetas de crédito o de Seguridad Social, o contraseñas de cuentas, sino que se limitaban a la "Información de Red Propietaria del Cliente" (CPNI), como el número de líneas en una cuenta.

Ciertas preguntas pueden estar viniendo a la mente en este momento ,como " ¿Qué diablos es CPNI?"Y ,' Si es tan 'propiedad del cliente', ¿por qué AT & T lo comparte con los especialistas en marketing?"También tal vez", ¿Qué puedo hacer al respecto?"Siga leyendo para obtener respuestas a las tres preguntas.

La divulgación de AT&T dijo que la información expuesta incluía el nombre del cliente, el número de cuenta móvil, el número de teléfono móvil y la dirección de correo electrónico. Además, un pequeño porcentaje de los registros de los clientes también expuso el nombre del plan de tarifas, los montos vencidos, los montos de pagos mensuales y los minutos utilizados.

CPNI se refiere a "metadatos" específicos del cliente sobre la cuenta y el uso de la cuenta, y puede incluir:

- Números de teléfono llamados
- Tiempo de llamadas
- Duración de las llamadas
- Coste y facturación de las llamadas
- Características del servicio
- Servicios premium, como asistencia de llamadas de directorio

Según un breve explicador de CPNI en TechTarget, CPNI es información privada y protegida que no se puede utilizar para publicidad o marketing directamente.

"La CPNI de un individuo se puede compartir con otros proveedores de telecomunicaciones por razones operativas de la red", escribió Techtarget's Gavin Wright. "Por lo tanto, cuando la persona se inscribe por primera vez en el servicio telefónico, el proveedor de telefonía comparte automáticamente esta información con las empresas asociadas.”

¿Su uso de Internet móvil está cubierto por las leyes de CPNI? Eso es menos claro, ya que las reglas de CPNI se establecieron antes de que los teléfonos móviles y el acceso inalámbrico a Internet fueran comunes. El manual de CPNI de TechTarget explica:

"Bajo la ley actual de los Estados Unidos, el uso de teléfonos celulares solo está protegido como CPNI cuando se usa como teléfono. Durante este tiempo, la compañía está actuando como un proveedor de telecomunicaciones que requiere reglas de CPNI. El uso de Internet, los sitios web visitados, el historial de búsqueda o las aplicaciones utilizadas no están protegidos por CPNI porque la compañía actúa como un proveedor de servicios de información que no está sujeto a estas leyes.”

Por lo tanto, los operadores pueden compartir y vender estos datos porque no tienen prohibido explícitamente hacerlo. Los tres principales operadores dicen que toman medidas para anonimizar los datos de los clientes que comparten, pero los investigadores han demostrado que no es terriblemente difícil para anonimizar datos de navegación web supuestamente anónimos.

"Tu teléfono y, en consecuencia, tu proveedor de telefonía móvil, saben mucho sobre ti", escribir Jack Morse por Mashable. "Los lugares a los que va, las aplicaciones que usa y los sitios web que visita potencialmente revelan todo tipo de información privada, por ejemplo, creencias religiosas, condiciones de salud, planes de viaje, nivel de ingresos y gustos específicos en pornografía. Esto debería molestarte.”

Afortunadamente, todos los operadores de EE. UU. deben ofrecer a los clientes formas de optar por no compartir datos sobre cómo usan sus dispositivos con los especialistas en marketing. A continuación, se muestran algunas de las prácticas específicas del operador y las opciones de exclusión voluntaria.

Servicios DE AT & T

La política de AT&T dice que comparte el dispositivo o "ID de anuncio", combinado con datos demográficos que incluyen rango de edad, género e información de código postal con terceros que incluyen explícitamente anunciantes, programadores y redes, redes de redes sociales, empresas de análisis, redes publicitarias y otras empresas similares que participan en la creación y entrega de anuncios.

AT & T dijo que los datos expuestos en 9 millones de clientes tenían varios años de antigüedad, y en su mayoría estaban relacionados con la elegibilidad de actualización de dispositivos. Esto puede parecer que los datos fueron a uno de sus socios que experimentó una violación,pero con toda probabilidad también fueron a cientos de socios de AT & T.

AT & T's Página de exclusión de CPNI dice que comparte datos de CPNI con varios de sus afiliados, que incluyen WarnerMedia, DirecTV y Cricket Inalámbrico. Hasta hace poco, AT & T también compartía datos de CPNI con Xandr, cuyo política de privacidad a su vez explica que comparte datos con cientos de otras empresas de publicidad. Microsoft compró Xandr a AT & T el año pasado.

T-MOBILE

De acuerdo con el Centro de Información de Privacidad Electrónica (ÉPICA), T-Mobile parece ser la única empresa de las tres grandes que extiende a todos los clientes los derechos conferidos por el Ley de Privacidad del Consumidor de California (CCPA).

EPIC dice que los datos de los clientes de T-Mobile vendidos a terceros usan otro identificador único llamado ID de publicidad móvil o "criada."T-Mobile afirma que los MAID no identifican directamente a los consumidores, pero según la CCPA, los MAID se consideran "información personal" que se puede conectar a direcciones IP, aplicaciones móviles instaladas o utilizadas con el dispositivo, cualquier información de visualización de video o contenido, y actividad y atributos del dispositivo.

Los clientes de T-Mobile pueden optar por no participar iniciando sesión en su cuenta y navegando a la página de perfil, luego a "Privacidad y notificaciones. Desde allí, desactiva las opciones "Usar mis datos para análisis e informes" y " Usar mis datos para hacer que los anuncios sean más relevantes para mí.”

VERIZON

La política de privacidad de Verizon dice que no vende información que identifique personalmente a los clientes (por ejemplo, nombre, número de teléfono o dirección de correo electrónico), pero sí permite que las compañías publicitarias de terceros recopilen información sobre la actividad en los sitios web de Verizon y en las aplicaciones de Verizon, a través de MAIDs, píxeles, balizas web y plugins de redes sociales.

Según Wired.com tutorial de, Los usuarios de Verizon pueden optar por no participar iniciando sesión en su cuenta de Verizon a través de un navegador web o la aplicación móvil My Verizon. Desde allí, selecciona la pestaña Cuenta y, a continuación, haz clic en Configuración de la cuenta y Configuración de privacidad en la web. Para la aplicación móvil, haga clic en el icono de engranaje en la esquina superior derecha y luego Administre la configuración de privacidad.

En la página de preferencias de privacidad, los usuarios web pueden elegir "No usar" en la sección Experiencia personalizada. En la aplicación My Verizon, cambia los controles deslizantes verdes a la izquierda.

EPIC señala que los tres principales operadores dicen que restablecer la identificación del dispositivo del consumidor y/o borrar las cookies en el navegador restablecerá de manera similar cualquier preferencia de exclusión voluntaria (es decir, el cliente deberá optar por no participar nuevamente), y que bloquear las cookies de forma predeterminada también puede bloquear la configuración de la cookie de exclusión voluntaria.

T-Mobile dice que su opción de exclusión es específica del dispositivo y/ o del navegador. "En la mayoría de los casos, su opción de exclusión voluntaria se aplicará solo al dispositivo o navegador específico en el que se realizó. Es posible que deba excluirse por separado de sus otros dispositivos y navegadores.”

Oferta de AT & T y Verizon aceptación programas que recopilan y comparten mucha más información, incluida la ubicación del dispositivo, los números de teléfono a los que llama y los sitios que visita con su conexión a Internet móvil y/o doméstica. AT & T llama a esto su Programa de Publicidad Relevante Mejorado; El de Verizon se llama Experiencia Personalizada Plus.

En 2021, múltiples medios de comunicación informar que algunos clientes de Verizon se inscribieron automáticamente en Custom Experience Plus, incluso después de que esos clientes ya habían optado por no participar en el mismo programa con su nombre anterior, "Verizon Selects.”

Si ninguna de las opciones de exclusión anteriores funciona para usted, como mínimo, debería poder optar por no compartir CPNI llamando a su proveedor o visitando una de sus tiendas.

EL CASO PARA OPTAR POR NO PARTICIPAR

¿Por qué debería optar por no compartir datos de CPNI? Para empezar, algunos de los operadores inalámbricos más grandes del país no tienen un gran historial en términos de protección de la información confidencial que les proporciona únicamente con el propósito de convertirse en cliente, y mucho menos la información que recopilan sobre su uso de sus servicios después de ese momento.

En enero de 2023, T-Mobile reveló que alguien robó datos de 37 millones de cuentas de clientes, incluido el nombre del cliente, la dirección de facturación, el correo electrónico, el número de teléfono, la fecha de nacimiento, el número de cuenta de T-Mobile y los detalles del plan. En agosto de 2021, T-Mobile reconocido que los piratas informáticos se hicieron con los nombres, fechas de nacimiento, números de Seguro Social e información de licencia de conducir/identificación de más de 40 millones de clientes actuales, anteriores o potenciales que solicitaron crédito con la compañía.

El verano pasado, un ciberdelincuente comenzó a vender los nombres, direcciones de correo electrónico, números de teléfono, números de seguro social y fechas de nacimiento de 23 millones de estadounidenses. Un análisis exhaustivo de los datos sugirió fuertemente que todo pertenecía a clientes de una compañía de AT&T u otra. AT & T no llegó a decir que los datos no eran suyos, pero dijo que los registros no parecían provenir de sus sistemas y que podrían estar vinculados a un incidente de datos anterior en otra compañía.

Sin embargo, con frecuencia los operadores pueden alertar a los consumidores sobre las infracciones de CPNI, probablemente no sea lo suficientemente frecuente. Actualmente, los operadores están obligados a informar una violación de la CPNI del consumidor solo en los casos "cuando una persona, sin autorización o excediendo la autorización, ha obtenido acceso, utilizado o divulgado intencionalmente la CPNI.”

Pero esa definición de violación fue elaborada hace eones, cuando la forma principal en que se expuso la CPNI fue a través de" pretextos", como cuando los empleados de la compañía telefónica son engañados para que regalen datos protegidos de los clientes.

En enero, los reguladores de la Comisión Federal de Comunicaciones de los Estados Unidos (FCC) propuesto modificar la definición de "violación" para incluir cosas como la divulgación involuntaria — como cuando las empresas exponen datos de CPNI en un servidor con poca seguridad en la nube. La FCC está aceptando comentarios públicos sobre el asunto hasta el 24 de marzo de 2023.

Si bien es cierto que la filtración de datos de CPNI no involucra información confidencial como el Seguro Social o los números de tarjetas de crédito, una cosa que el aviso de incumplimiento de AT&T no menciona es que los estafadores pueden abusar de los datos de CPNI, como saldos y pagos realizados, para hacer que los correos electrónicos y mensajes de texto fraudulentos cuando intentan hacerse pasar por AT & T y engañar a los clientes de AT & T.

El otro problema de permitir que las empresas compartan o vendan sus datos de CPNI es que los proveedores de servicios inalámbricos pueden cambiar sus políticas de privacidad en cualquier momento, y se supone que usted está de acuerdo con esos cambios siempre que siga usando sus servicios.

Por ejemplo, los datos de ubicación de su dispositivo inalámbrico son definitivamente CPNI, y sin embargo, hasta hace muy poco, todos los principales operadores vendían los datos de ubicación en tiempo real de sus clientes a terceros intermediarios de datos sin el consentimiento del cliente.

¿Cuál fue su castigo? En 2020, la FCC multas propuestas por un total de $208 millones contra todos los principales transportistas para vender los datos de ubicación en tiempo real de sus clientes. Si eso suena como mucho dinero, considere que todos los principales proveedores de servicios inalámbricos reportaron decenas de miles de millones de dólares en ingresos el año pasado (por ejemplo, los ingresos al consumidor de Verizon solo fueron de más de0 100 mil millones el año pasado).

Si los Estados Unidos tuvieran leyes federales de privacidad que fueran amigables para el consumidor y relevantes para la economía digital actual, este tipo de recopilación y uso compartido de datos siempre sería opcional por defecto. En un mundo así, la industria inalámbrica enormemente rentable probablemente se vería obligada a ofrecer incentivos financieros claros a los clientes que decidan compartir esta información.

Pero hasta que llegue ese día, comprenda que los operadores pueden cambiar sus políticas de recopilación y uso compartido de datos cuando les convenga. E independientemente de si realmente leyó algún aviso sobre cambios en sus políticas de privacidad, habrá aceptado esos cambios siempre que continúe usando su servicio.



>>Más