Una reciente investigación(ventana nueva) de Le Monde muestra cómo los datos vinculados a la publicidad en los smartphones pueden exponer las identidades y los movimientos diarios de la policía, el ejército y el personal de inteligencia franceses (incluidos los miembros de unidades de élite).

Fundamentalmente, esto no fue el resultado de un hackeo o un error. Esta información altamente sensible se recolectó de conjuntos de datos de consumidores disponibles públicamente y ampliamente comercializados. Aplicaciones ordinarias con tecnología de seguimiento publicitario incrustada recopilaron su ubicación y la vendieron a agentes de datos.

Además de las obvias preocupaciones de seguridad nacional planteadas por esta investigación, muestra cuántos datos íntimos sobre nuestra vida diaria están fácilmente disponibles para los anunciantes a través de un ecosistema de anuncios de consumo que no tiene protecciones de privacidad ni supervisión.

Tus aplicaciones comparten silenciosamente a dónde vas

Este “hackeo” explota datos pasivos que tus dispositivos envían todo el tiempo. Así es como funciona:

La mayoría de los anuncios gratuitos ganan dinero con pequeños fragmentos de código proporcionados por redes publicitarias, conocidos como kits de desarrollo de software (SDK) de publicidad que recopilan datos cada vez que abres una aplicación o cargas un anuncio. Estos datos pueden incluir:

  • El ID de publicidad de tu teléfono (un rastreador único)
  • Tu dirección IP(ventana nueva)
  • Información de ubicación (discutiremos esto a continuación)
  • Qué aplicación estás usando
  • Cuándo la estás usando

Las aplicaciones comparten estos datos constantemente en segundo plano (incluso cuando no estás haciendo nada), normalmente enviándolos a los servidores del SDK, no a los del desarrollador de la aplicación. Desde aquí, se venden a agentes de datos que combinan información de miles de aplicaciones en un historial detallado de tu ubicación.

Estos datos no son anónimos

Tu dirección IP identifica de forma única tu teléfono y puede usarse para estimar aproximadamente tu ubicación, con una precisión de la distancia de una ciudad. Sin embargo, tu dirección IP es un peligro de privacidad ampliamente conocido y puede ocultarse fácilmente usando una VPN(ventana nueva). Más insidiosas son las tecnologías que afirman rastrearte “anónimamente”.

Información de ubicación

Tanto Android como iOS incluyen controles de privacidad granulares que te permiten denegar a las aplicaciones el acceso a tu ubicación (lo que significa principalmente acceso directo a tus datos GPS). Sin embargo, las aplicaciones pueden usar datos de otros puntos de datos en tu teléfono a los que pueden acceder para inferir tu ubicación con sorprendente precisión:

  • Redes WiFi cercanas (que están mapeadas en bases de datos globales)
  • Balizas Bluetooth (a menudo ubicadas en tiendas, eventos y sistemas de tránsito)
  • Sensores (incluidos patrones de movimiento y saltos de torres de telefonía)

ID de publicidad

El ID de publicidad de tu teléfono (AAID en Android, IDFA en iOS) es un identificador de dispositivo persistente y único que se creó específicamente para permitir el seguimiento entre aplicaciones. En teoría, no está vinculado a tu nombre, pero debido a que el SDK de publicidad tiene acceso a tus datos de ubicación:

  • Sabe dónde duermes
  • Sabe dónde trabajas
  • Puede rastrear el gimnasio, bar, tiendas y amigos que visitas, y combinar esto con otra información a la que tiene acceso (como tu presencia en redes sociales) para inferir tu identidad a partir de tus rutinas diarias.

Esto se llama desanonimización de patrones de movilidad(ventana nueva), y su capacidad para identificarte de forma única se ha demostrado repetidamente en investigaciones(ventana nueva). De hecho, esto es exactamente lo que hizo Le Monde.

Los agentes de datos compran estos datos a granel

Los proveedores de SDK de publicidad y las empresas de tecnología publicitaria venden o comparten esta telemetría con agentes de datos, quienes:

  • La agregan de millones de aplicaciones
  • Construyen historiales de movimiento a nivel de dispositivo
  • Revenden conjuntos de datos a anunciantes, fondos de cobertura, campañas políticas y cualquier otra persona dispuesta a pagar

Estos conjuntos de datos pueden incluir miles de millones de pings de ubicación precisos vinculados a ID de publicidad.

La investigación de Le Monde

Los periodistas de Le Monde simplemente compraron estos conjuntos de datos disponibles públicamente a agentes de datos y los usaron para buscar dispositivos que pasaban las noches en una dirección (probablemente el hogar del usuario) y visitaban regularmente una ubicación durante el día (probablemente el lugar de trabajo del usuario). Si estos lugares de trabajo eran instalaciones sensibles conocidas, como la sede de la DGSE (el equivalente francés de la CIA), una base militar o un sitio nuclear, era fácil inferir el rol del propietario en una organización gubernamental.

Luego pudieron cruzar sus patrones de movimiento con información disponible públicamente, como actividad en redes sociales, perfiles de LinkedIn y registros de propiedad, para determinar las identidades de los individuos. Usando esta técnica, Le Monde desanonimizó y rastreó los movimientos diarios íntimos de:

  • Oficiales de inteligencia de servicios franceses
  • Unidades policiales de élite y servicios de protección
  • Miembros de fuerzas de intervención como el GIGN
  • Personal militar estacionado en bases clave (incluidas instalaciones de disuasión nuclear)
  • Ejecutivos de la industria de defensa
  • Personal penitenciario
  • Empleados de plantas de energía nuclear

La investigación de Le Monde se hace eco de cerca de un informe de 2017 del Instituto para Analistas de Conflictos Unidos, que pudo localizar la ubicación y el personal de las bases militares de EE. UU.(ventana nueva) y puestos de espionaje en todo el mundo utilizando datos de ejercicio disponibles públicamente que los soldados habían cargado en la empresa de seguimiento de fitness Strava.

Por qué esto importa

Las implicaciones de seguridad nacional sobre cómo se pueden abusar de estos datos públicos son claras. Sin embargo, también muestra cuánto de nuestra vida digital cotidiana se monitoriza y monetiza silenciosamente. Los datos de seguimiento publicitario pueden revelar:

  • Dónde vives
  • Dónde trabajas
  • Tus rutinas y hábitos
  • Tus relaciones
  • Tus afiliaciones políticas o religiosas
  • Tus citas médicas
  • A todas partes a donde vas (hora por hora y con una precisión de pocos metros)

Con una vigilancia y un intercambio de datos tan generalizados impulsados por la publicidad, se vuelve inevitable que la información sensible acabe cayendo en manos de personas que quieren abusar de ella. Por ejemplo, los delincuentes podrían usarla para hacer que los ataques de ingeniería social sean más creíbles, o los acosadores podrían usarla para localizarte(ventana nueva). La publicidad basada en la vigilancia crea una amenaza directa para tu identidad, tus finanzas y tu seguridad física.

¿Qué puedes hacer al respecto?

No hay forma de detener todo tipo de seguimiento, pero puedes tomar las siguientes medidas para reducir la granularidad de los conjuntos de datos recopilados:

  • Desactiva los servicios de ubicación(ventana nueva) cuando no estén en uso y deniega a las aplicaciones los permisos de ubicación.
  • Usa una VPN(ventana nueva) para ocultar tu dirección IP real. Las funciones de filtrado DNS como NetShield Ad-blocker(ventana nueva) de Proton VPN también pueden ayudar a bloquear anuncios y scripts de rastreadores.
  • Elimina tu ID de publicidad en Android (AjustesGoogleTodos los serviciosAnunciosPrivacidad y seguridadAnunciosEliminar ID de publicidad). Los iPhones no ofrecen esta opción.
Captura de pantalla que muestra cómo eliminar tu ID de publicidad en Android

Si las unidades de seguridad de élite pueden quedar expuestas, cualquiera puede

La investigación de Le Monde muestra que los peligros de la publicidad generalizada y no regulada no son solo una preocupación teórica. Los individuos identificados en la investigación no habían hecho nada imprudente: simplemente estaban usando smartphones normales con aplicaciones normales. Como todos nosotros.

El problema es estructural. Las empresas de publicidad recopilan demasiados datos, los desarrolladores de aplicaciones incrustan herramientas de seguimiento que no entienden completamente o simplemente priorizan los beneficios sobre la preocupación por la seguridad de sus usuarios, los agentes de datos venden conjuntos de datos de ubicación a casi cualquiera y los reguladores son en gran medida ineficaces.

Cuando toda una industria se construye en torno a la vigilancia constante de la ubicación, ni siquiera los profesionales altamente capacitados pueden evitar ser rastreados. Y tú tampoco.