Protegiendo datos GPS mediante Geo-indistinguibilidad
Imagina que estás caminando por las concurridas calles de Roma, tratando de decidir qué monumento visitar a continuación. Hace unos años optaríamos por preguntar amablemente a los locales por sus recomendaciones y pasaríamos un buen rato intentando localizarlos. Hoy en día, es posible con un solo click buscar no sólo monumentos, sino también restaurantes, tiendas, etc. Podemos encontrar miles de aplicaciones que ofrecen ese tipo de servicios a partir del uso de la información geográfica de los usuarios. Este tipo de servicios también se conocen como Servicios basados en localización o LBS (Location-based services).
A pesar de que este tipo de sistemas suponen un gran avance y han aportan múltiples beneficios, también despiertan algunas preocupaciones en cuanto a la privacidad, como analizamos en el artículo Privacidad de usuarios: ¿es posible anonimizar nuestra ubicación por completo?. El proveedor del LBS puede enlazar a los usuarios con las localizaciones visitadas y, por tanto, es posible inferir información sensible. Por esta razón, es importante desarrollar mecanismos que protejan la privacidad del usuario, manteniendo al mismo tiempo la utilidad del servicio que se proporciona.
Geo-indistinguibilidad
Existen diversas técnicas para dotar de privacidad a los servicios de localización. En este artículo revisaremos la Geo-indistinguibilidad[1], una de las técnicas utilizadas para anonimizar la localización geográfica de un individuo.
Para ilustrar el concepto de Geo-indistinguibilidad, volvamos al ejemplo anterior, en el cual tratábamos de buscar un monumento cercano a nosotros en la ciudad de Roma. Si estuviésemos en la Basílica de Santa María la Mayor, podríamos enviar al LBS cualquier otra posición en un cierto radio, en lugar de enviar nuestra posición exacta. Podríamos decir que estamos, por ejemplo, en el Panteón.
Esto es, en lugar de revelar al LBS nuestra posición exacta x, sería posible añadir cierto ruido a la posición, obteniendo una nueva localización z en un radio r de x. Cualquier otro usuario localizado en cualquier otra posición x’ dentro de ese radio r tendría la misma probabilidad de enviar la misma localización aproximada z. Esto hace que x y x’ sean estadísticamente indistinguibles y, por tanto, se preserva la privacidad de los usuarios.
Matemáticamente, dadas dos localizaciones x y x’, y una localización ofuscada z, la geo-indistinguibilidad implica que:
Donde ϵ es el parámetro de privacidad. Cuanto mayor sea, menor será la privacidad obtenida.
¿Cuánta utilidad se debe sacrificar por la privacidad?
Una de las preguntas que surgen cuando se habla de geo-indistinguibilidad y técnicas de anonimización de localización geográfica en general es: ¿Cuánta utilidad estoy sacrificando a cambio de mi privacidad? Volviendo al ejemplo anterior, resulta obvio que si estamos en la posición x (la Basílica de Santa María la Mayor) y enviamos al LBS una posición anonimizada (el Panteón) perderemos algunos puntos de interés cercanos a la basílica. Además, la nueva localización podría no tener tan siquiera sentido (por ejemplo, en el mar o en la cima de una montaña). Se han propuesto algunas soluciones a este problema, como optar por un mecanismo de remapeo[2].
Representación de la pérdida de utilidad en favor de la privacidad. Enviar la nueva localización falsa z implica que perderemos ciertos puntos de interés cercanos (marcados con una cruz azul).
A pesar de ser sencilla y fácil de implementar, se ha demostrado que la Geo-indistinguibilidad puede no ser siempre la mejor opción, puesto que puede suponer una pérdida importante de utilidad. Por ejemplo, si deseamos obtener geo-indistinguibilidad con un ϵ∗ de 0.01 entre localizaciones en un área de 100m, tendríamos una pérdida media de utilidad de 20 kilómetros[3]. Por esta razón, es importante analizar el problema en profundidad y seleccionar la técnica de anonimización adecuada.
Gradiant está participando actualmente en el proyecto H2020 INFINITECH en virtud del acuerdo de subvención No 856632, desarrollando e investigando diferentes algoritmos de anonimización.
Referencias
[1] Andrés, E. Miguel et al. Geo-Indistinguishability: Differential Privacy for Location-Based Systems.
[2] Chatzikokolakis, K. et al. Efficient Utility Improvement for Location Privacy
[3] Oya, S. et al. Is Geo-Indistinguishability What You Are Looking for?
“This project has received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 856632”.
Autora: Sara El Kortbi Martínez, ingeniera-investigadora en Gradiant