Nuestros datos personales son un bien valioso que alimenta la industria de la publicidad online, uno de los mecanismos de la nueva economía digital. Sin embargo, no somos nosotros quienes nos beneficiamos de este bien, sino las empresas de tecnología publicitaria, que obtienen grandes ganancias al vender nuestros datos, a menudo sin nuestro conocimiento ni consentimiento explícito y mucho menos alguna recompensa.

Este intercambio masivo, que vale medio billón de dólares, involucra a varios actores en diferentes etapas, se lleva a cabo de manera encubierta, a pesar de su escala gigantesca.

Ven a ver qué sucede bajo el radar.

Tus datos se subastan cada milisegundo

Casi todas las aplicaciones muestran anuncios, y aunque puedas tener la impresión de que son aleatorios, no es así. Es muy probable que estos anuncios estén dirigidos especialmente a ti y que otros usuarios de la misma aplicación estén teniendo una experiencia publicitaria completamente diferente. Ahora, intentaremos explicar en detalle cómo funciona el proceso de selección de anuncios.

Imagina que estás usando una aplicación con algunos espacios para anuncios (y esta es probablemente la realidad, ya que más de un tercio de los desarrolladores de aplicaciones dependen de los ingresos por publicidad para obtener ganancias). La aplicación quiere vender este espacio al mejor postor, así que envía una solicitud a la plataforma que conecta a los editores de aplicaciones y los anunciantes, como Google Ads, por ejemplo. Esta plataforma envía la solicitud a otra plataforma donde los espacios publicitarios se subastan en tiempo real. El intercambio de anuncios se transmite a muchas otras plataformas que representan a los anunciantes digitales, como Facebook Ads Manager, Google Display & Video 360. Analizan la información de tu dispositivo y tu comportamiento online, decidiendo cuánto están dispuestos a pagar por la oportunidad de mostrarte un anuncio. Este proceso se conoce como subasta en tiempo real (real-time bidding o RTB en inglés) y ocurre en milisegundos. El postor más alto gana y mostrará anuncios en tu pantalla.

Pero hay un detalle: tus datos no son vistos solo por el anunciante que ganó la subasta y te mostrará anuncios. Cuando los anunciantes compiten por espacios publicitarios en la aplicación, obtienen acceso a tus datos, que incluyen información sobre tu dispositivo, ubicación, uso de aplicaciones y más. Esto es posible porque no existen reglas o estándares claros sobre cómo deben protegerse los datos del flujo de subastas. Esto significa que los otros participantes en la subasta que no ganaron pueden usar tus datos para otras cosas. ¿Pero para qué exactamente? Lo descubrirás pronto.

Google y Facebook son los principales actores en el mercado RTB. Nuestros datos muestran que los servicios de Google Ads son responsables de más del 11% de todas las solicitudes iniciales de anuncios, mientras que Facebook Audience Network, que permite la subasta de espacio tanto en aplicaciones como en sitios web, es responsable de aproximadamente el 10%. Las solicitudes iniciales son aquellas enviadas por la aplicación para cargar un anuncio, lo que puede desencadenar solicitudes adicionales si tienen éxito. Applovin, líder en la subasta en tiempo real in-app, ocupa el tercer lugar con el 7% de todas las solicitudes de anuncios. Amazon Ad System e IronSource, una empresa con sede en Israel involucrada en el intercambio de anuncios, completan el top 5 con aproximadamente el 2.4% y el 1.3%, respectivamente.

Además de los anunciantes y editores, otro personaje esencial en el intercambio de datos es el "data broker", que también accede a los datos del flujo de subastas. Su objetivo no es enviarte anuncios, sino reunir estos datos en paquetes y enviarlos a sus propios clientes, incluidas agencias gubernamentales. Estas últimas utilizan estos datos "obtenidos comercialmente" como deseen, sin restricciones. Los principales usos incluyen vigilancia, aplicación de leyes de inmigración y policía.

Cómo una aplicación de la Generación Z filtró datos de ubicación al gobierno de EE. UU.

Una ilustración perfecta de esta tendencia es un informe reciente del Wall Street Journal que revela que un "data broker" de consumidores llamado Near Intelligence estaba vendiendo datos sensibles de usuarios, incluso de la Unión Europea, al gobierno de los Estados Unidos a través de "entidades de flujo continuo" "hasta principios de este año". Los datos recopilados por Near Intelligence terminaban en manos de la DCSA (Agencia de Defensa de Contrainteligencia y Seguridad), NSA (Agencia de Seguridad Nacional), NGA (Agencia Nacional de Inteligencia Geoespacial), USAF Cyber Ops (Operaciones Cibernéticas de la Fuerza Aérea de los Estados Unidos), del Departamento de Defensa y del JCOS (Estado Mayor Conjunto de los Estados Unidos).

El "data broker" integrado en el flujo de datos pasó por varios intercambios de anuncios y, a pesar de las acusaciones de que Near estaba violando los Términos de Servicio de los subastadores al revender los datos y utilizarlos para fines no relacionados con la publicidad, continuó en el negocio durante bastante tiempo.

Una de las aplicaciones que proporcionaba datos a Near Intelligence (y, por ende, al gobierno de EE. UU.) era Life360, una aplicación con sede en San Francisco que permite a amigos y familiares rastrear la ubicación unos de otros con consentimiento. La aplicación es especialmente popular entre la Generación Z y llegó a ser llamada "el mejor accesorio para el regreso a clases". La aplicación requiere varias autorizaciones para funcionar, como acceso a tu ubicación aproximada cuando la aplicación no está en uso y acceso a la ubicación precisa durante el uso. Cuantas más autorizaciones exige una aplicación, más datos pueden compartirse con los anunciantes asociados. Estos datos también se vuelven más y más valiosos para el gobierno.

A veces, cuando se cuestionan las prácticas de datos cuestionables de las aplicaciones, pueden afirmar haber cambiado sus prácticas. Pero, por lo general, todo sigue de la misma manera o hay solo pequeños ajustes.

Una investigación separada realizada por The Markup descubrió ya en diciembre de 2021 que Life360 estaba vendiendo datos de ubicación precisa a alrededor de doce socios de datos, y que este negocio era bastante lucrativo. En ese momento, Life360 dijo que dejaría de compartir datos con los "data brokers", pero reiteró que seguiría vendiendo información de ubicación precisa y datos de ubicación "agregados" a empresas de análisis. Además, aunque Life360 dijo que Near estaba violando sus términos de servicio al compartir datos con agencias gubernamentales, la empresa no parece haber tomado medidas para evitar que esto vuelva a ocurrir.

Más común de lo que piensas

La práctica de obtener datos sensibles de usuarios por parte del gobierno a través de medios oscuros (sin garantías o regulaciones legales) es común, especialmente en países donde las leyes de protección de datos no son muy sólidas. Esto es prácticamente en todas partes, con la posible excepción de la Unión Europea. Los "data brokers" forman parte de este negocio clandestino sin ningún escrúpulo, decididos a enfrentar cualquier riesgo a la reputación que pueda surgir.

Además del intercambio de anuncios, otra actividad común de obtención de datos entre los "data brokers" es obtener datos directamente de las aplicaciones. Algunas aplicaciones pueden compartir la ubicación precisa; otras, el tipo de dispositivo, nombre, número de teléfono... y cualquier otro dato en el que puedan poner las manos. Todos estos datos se vinculan a su identificador de publicidad móvil o, en otras palabras, a un ID único asignado a su dispositivo. Poco a poco, un "data broker" llega a conocer cada vez más sobre ti al obtener información de diferentes aplicaciones y otras fuentes en línea y fuera de línea, como perfiles de redes sociales y archivos públicos. Al final, el "data broker" logra crear un perfil capaz de identificarte.

Uno de los "data brokers" que se volvió conocido por la minería de datos de aplicaciones es SafeGraph, cuya historia cubrimos en detalle el año pasado. En resumen, SafeGraph obtuvo acceso a los datos de ubicación de aplicaciones que utilizan su SDK, un kit de desarrollo de software. Los SDK son fragmentos de código que los desarrolladores de aplicaciones utilizan para ahorrar tiempo y dinero. Ofrecen funcionalidades listas (como el seguimiento de ubicación) para que no sea necesario desarrollar el código desde cero. Los desarrolladores también pueden ser pagados por "data brokers" para compartir los datos de los usuarios a través de los SDK. Así que, si das permiso para que la aplicación acceda a tu ubicación, el SDK de la aplicación también tendrá acceso y lo enviará al "data broker".

De hecho, la práctica de compartir datos, o mejor dicho, vender datos, es tan generalizada que no faltan ejemplos. Aquí hay solo algunos:

• En mayo de 2022, un informe encontró que agencias gubernamentales de Estados Unidos, como el ICE, compraron miles de millones de puntos de datos de empresas privadas sin ninguna supervisión. Y cada vez que la práctica era cuestionada, el gobierno encontraba una manera de eludir las restricciones. Por ejemplo, después de que Oregón prohibiera compartir datos estatales con el ICE, el Departamento de Vehículos Motorizados de Oregón vendió registros de licencias de conducir a intermediarios de datos para que el ICE pudiera acceder a ellos.

• En marzo de 2021, Motherboard de Vice reveló que una unidad militar de Estados Unidos que realiza ataques con drones y reconocimiento compró datos de ubicación de aplicaciones comunes a través de una herramienta llamada Locate X, desarrollada por un "data broker" llamado Babel Street.

• En noviembre de 2020, se reveló que el ejército de Estados Unidos compró datos de ubicación de una aplicación de oración musulmana —uno de los casos más notables hasta el momento.

Ni siquiera un secreto más

Desde hace años, es un secreto a voces que, en casos en los que el gobierno no puede legalmente confiscar tus datos, puede usar un camino indirecto: comprarlos en el mercado de datos en línea. Esta práctica está tan bien documentada, que en algún momento incluso el gobierno de Estados Unidos dejó de pretender lo contrario. En marzo de este año, el director del FBI, Christopher Wray, reconoció por primera vez que el FBI compró información de geolocalización de teléfonos en Estados Unidos a empresas privadas. Sin embargo, afirmó que la agencia dejó de hacerlo en algún momento. Y depende de ti creer o no en sus palabras.

¿Qué puedes hacer para escapar de la vigilancia gubernamental a través de anuncios dirigidos?

Puede que te sientas impotente frente a esta máquina de minería y venta de datos, cuya maquinaria está diseñada para extraer tus datos con fines de lucro. Sin una legislación sólida que prohíba a las agencias gubernamentales obtener datos de empresas privadas sin supervisión, es probable que la práctica continúe. Primero, porque es mucho más fácil para el gobierno obtener datos de esta manera; segundo, porque es lucrativo.

Entonces, lo que puedes hacer de manera realista es reducir la cantidad de huellas que dejas en línea y oscurecer aquellas que inevitablemente dejarás. Aquí tienes algunas medidas que puedes tomar para proteger tus datos de la vigilancia:

• Desactiva o redefine tu identificador de publicidad. Tu ID de publicidad es un número único asignado a tu dispositivo y utilizado por intermediarios de datos para vincular información sobre ti desde diversas fuentes. Por lo tanto, si desactivas (lo cual no siempre es posible) o redefines tu ID de publicidad, la tarea de los intermediarios de datos de construir tu perfil no será imposible, pero sí más complicada.

• No otorgues permisos innecesarios a tus aplicaciones. Muchas aplicaciones solicitan permisos que realmente no necesitan, como acceso a tu ubicación, cámara, contactos, etc. Esto puede ser utilizado para recopilar y compartir tus datos con intermediarios de datos. Puedes verificar y modificar los permisos de tus aplicaciones en la configuración de tu dispositivo. Además, incluso si una aplicación realmente necesita ciertos permisos sensibles (como una aplicación de clima que necesita acceso a tu ubicación), sé cauteloso al otorgarlos. Antes de descargar una aplicación, investiga sus prácticas de privacidad, lee reseñas y verifica si hay noticias sobre sus comportamientos de compartir datos.

• Usa un bloqueador de anuncios. Nunca nos cansaremos de decirlo: ¡cada solicitud de anuncio, la solicitud de tu navegador para cargar un anuncio, también es una solicitud de seguimiento! Un bloqueador de anuncios no solo impedirá que se carguen los anuncios, sino que también evitará que los scripts rastreen tu comportamiento e intereses en línea. A principios de este año, estimamos que las solicitudes de seguimiento de anuncios representan aproximadamente el 19,6% del tráfico de Internet, y la mayoría de estas solicitudes son 'ocultas', es decir, dependen de las solicitudes iniciales de anuncios y otros dominios de anuncios que se cargan.

• Limita el uso de servicios gratuitos. Recuérdate: si no pagas por algo, no eres el cliente, eres el producto.