OkCupid utilizó fotos de 3 millones de usuarios para entrenar IA sin consentimiento

Cuando te registras en una app de citas, sabes que estás asumiendo un riesgo. Te expones a estafadores y a todo tipo de interacciones desagradables en un entorno bastante competitivo. Y con solo estar en estas apps, ya te vuelves más vulnerable a problemas de seguridad y privacidad: tus datos pueden ser recopilados y usados para descifrar tus contraseñas, tus cuentas pueden ser hackeadas, tus fotos pueden ser robadas y utilizadas para crear perfiles falsos… la lista sigue. Pero al final del día, esos son riesgos que decides asumir. Son parte del trato.

Lo que no parece ser parte del trato, sin embargo, es que una plataforma de citas comparta tu información sensible, fotos y datos de ubicación con alguna empresa de IA de la que nunca has oído hablar (y hacerlo sin tu consentimiento). Eso cruza una línea y constituye una violación de la confianza. Pero eso fue exactamente lo que hizo OkCupid, una app de citas propiedad de Match Group (que también es dueño de Tinder, Hinge y Plenty of Fish).

Y lo peor: cuando esto salió a la luz, el castigo que recibió fue poco más que un simple regaño.

Cuando los datos de los usuarios se ven como propiedad de la empresa

En un acuerdo propuesto al que llegaron OkCupid y su empresa matriz, Match Group, con la Comisión Federal de Comercio de EE. UU. (FTC) en marzo de este año, el gobierno alegó que la app estaba “engañando” a los usuarios al compartir su información personal —incluyendo fotos y datos de ubicación— con un tercero no relacionado. Esto se hizo sin el conocimiento ni el consentimiento de los usuarios, y en violación de las propias promesas de privacidad de OkCupid.

En el momento de la infracción, allá por 2014, la política de privacidad de OkCupid decía que podía compartir los datos de los usuarios con “proveedores de servicios”, socios comerciales o empresas afiliadas, o bien solo después de informar explícitamente a los usuarios y darles la opción de rechazarlo. Pero eso no fue lo que pasó. La FTC concluyó que OkCupid compartió información de potencialmente millones de usuarios, incluyendo hasta 3 millones de fotos, con una empresa de IA llamada Clarifai. Esta empresa no encajaba en ninguna de esas categorías —no era proveedor de servicios, ni socio, ni afiliada— y OkCupid nunca pidió el consentimiento de los usuarios, ni les dio la oportunidad de rechazarlo. En la práctica, esto dejó a millones de personas completamente sin saber que sus datos estaban siendo reutilizados tras bambalinas.

¿Cómo y por qué pasó esto? La explicación es bastante simple. Los fundadores de OkCupid tenían un interés directo en Clarifai, que después utilizó esas 3 millones de fotos y otros datos de usuarios para desarrollar herramientas de reconocimiento facial y procesamiento de imágenes. En otras palabras, habían invertido en la empresa y trataron a OkCupid como una fuente conveniente de datos. Como reportó Ars Technica, el CEO de Clarifai reconoció que los datos ayudaron a construir un sistema capaz de “identificar la edad, el sexo y la raza de los rostros detectados”, es decir, las fotos de los usuarios se convirtieron en material de entrenamiento para una herramienta que nunca aceptaron apoyar. La FTC señaló que, durante años, OkCupid intentó negar cualquier relación con la empresa de IA.

Sobre el papel, esto podría haberse interpretado como aceptable bajo políticas redactadas de forma ambigua. Pero en la práctica, OkCupid estaba tratando los datos de los usuarios como si simplemente le pertenecieran. Esto va en contra del espíritu de las promesas de privacidad que hizo. Porque lo que la política sugería —y lo que los usuarios razonablemente creían— era que sus datos solo se usarían de las formas explícitamente descritas. Y entrenar modelos de IA nunca fue parte de eso.

Para entender lo problemático de este comportamiento, piensa en un experimento sencillo: imagina que los fundadores no hubieran invertido en una empresa de IA, sino en algo como un corredor de seguros de autos o una aseguradora de salud, y luego le dieran a ese negocio completamente ajeno acceso a datos sensibles recopilados por OkCupid. Esos datos podrían usarse, por ejemplo, para inferir el estilo de vida de las personas, su orientación sexual o riesgos de salud, y luego influir en sus tarifas de seguro o elegibilidad —es decir, generar consecuencias negativas en el mundo real basadas en datos que los usuarios nunca compartieron conscientemente para ese propósito.

Un simple regaño

Podrías pensar que un manejo tan indebido de los datos de los usuarios conllevaría sanciones severas. Pero no fue así. Como parte del acuerdo, a OkCupid básicamente se le prohibió tergiversar sus prácticas de recopilación de datos y controles de privacidad en el futuro. Nada de multas elevadas —de hecho, ninguna multa— y ninguna consecuencia relevante a largo plazo más allá de la obligación de cumplir. En teoría, las personas afectadas aún podrían intentar demandar en la vía civil, pero eso es poco probable, especialmente porque Match no admitió ninguna irregularidad.

Fuente

Este tipo de castigo es difícil de tomar en serio. En la práctica, ni siquiera es una penalización —es solo una reafirmación de las reglas. Básicamente, es como decirle a alguien que no haga algo que ya no debería estar haciendo. Esto hace que todo parezca menos una acción de cumplimiento y más una promesa vacía. Y eso es difícil de aceptar viniendo de una empresa que ya ha demostrado que está dispuesta a estirar —o incluso ignorar— sus propias promesas cuando le conviene.

Compartir datos sin consentimiento: la regla, no la excepción

El caso de OkCupid es solo el ejemplo más reciente de este tipo de actitud posesiva hacia los datos de los usuarios. Pero, aunque algunos argumentan —incluido el propio Match Group— que los tiempos han cambiado y que estas prácticas permisivas quedaron atrás, eso no podría estar más lejos de la realidad. Los casos de empresas manejando mal los datos de los usuarios, a menudo compartiéndolos en silencio o incluso vendiéndolos sin un consentimiento claro, se han ido acumulando en los últimos años.

Tomemos el caso de Grindr. En los últimos años, la app enfrentó importantes sanciones en Europa después de descubrirse que compartía datos altamente sensibles —incluyendo orientación sexual, ubicación precisa e identificadores publicitarios— con cientos de socios publicitarios sin consentimiento válido, lo que llevó a una multa de 6.1 millones de dólares en Noruega y a acciones legales colectivas en curso en el Reino Unido por el supuesto intercambio de datos relacionados con el VIH con empresas de publicidad.

O otra app de citas, Raw, donde en 2025 una falla de seguridad expuso la ubicación exacta de los usuarios a nivel de calle, junto con datos personales como preferencias sexuales y fechas de nacimiento. Este tipo de exposición no solo crea riesgos en línea —también puede traducirse en vulnerabilidad en el mundo real. Añadiendo un matiz aún más distópico, el incidente ocurrió en un momento en que la empresa exploraba el desarrollo de un dispositivo wearable para monitorear señales fisiológicas de las parejas, lo que genera preocupaciones evidentes sobre vigilancia encima de prácticas de datos ya frágiles.

Y no son solo apps de citas. Entre 2024 y 2025, General Motors y su unidad OnStar fueron descubiertas recopilando silenciosamente datos detallados sobre el comportamiento al conducir. Esto incluía información sobre frenado, velocidad y ubicación, que luego fue vendida a brokers de datos y utilizada por aseguradoras para aumentar primas —en algunos casos, de forma drástica. Nuevamente, hubo consecuencias financieras reales para los usuarios. La FTC finalmente prohibió la práctica durante cinco años tras una investigación.

Patrones similares también han aparecido en otros ámbitos —desde plataformas de networking como LinkedIn hasta brokers de datos e incluso software de seguridad. En todos estos casos —y hay muchos más por descubrir— los datos de los usuarios fueron reutilizados, compartidos o vendidos en silencio sin que las personas realmente lo supieran. Si algo muestran estos casos, es que la idea de que las promesas de privacidad son poco más que palabras vacías sigue muy vigente.

Lo que esto realmente significa para los usuarios

Es fácil ver estos casos como violaciones abstractas o cuestiones regulatorias, pero las consecuencias están lejos de serlo. Cuando este tipo de datos se comparte, se filtra o se reutiliza, puede exponer información profundamente personal: desde orientación sexual y estado de salud hasta historiales de ubicación precisa —a menudo a partes que los usuarios ni siquiera sabían que existían.

Esto puede llevar desde manipulación dirigida y perfilado hasta riesgos reales como acoso, discriminación o sanciones financieras, como vimos con los datos de seguros. Y una vez que esos datos están ahí fuera, no hay forma real de recuperarlos o controlar cómo se usarán después. Y a medida que más sistemas dependen de este tipo de recopilación de datos, los riesgos solo aumentan.

Esto se vuelve especialmente evidente con prácticas más recientes como la verificación de edad, que está creciendo en todo el mundo y a menudo requiere que los usuarios entreguen información altamente sensible, como escaneos faciales o identificaciones oficiales.

Cuanto mayores son los riesgos, mayor es el problema

Así que, aunque los riesgos y las preocupaciones no son nuevos, la situación se está volviendo cada vez más delicada. Tomemos empresas como la británica Yoti, que recientemente fue señalada por recopilar y almacenar datos biométricos sin consentimiento válido —o Discord, que introdujo verificación de edad basada en identificación y luego enfrentó problemas cuando esos datos se expusieron en una filtración. En ambos casos, a los usuarios se les pidió proporcionar datos altamente sensibles, solo para que fueran mal gestionados o expuestos.

En general, el mundo se está moviendo hacia una mayor recopilación de datos en nombre de la conveniencia. Estamos rodeados de tecnologías basadas en esta misma premisa —desde sistemas de vigilancia doméstica como Ring hasta redes de monitoreo urbano como Flock, que utilizan cámaras con IA para registrar matrículas y detalles de vehículos en bases de datos consultables.

Pero, aunque estas innovaciones se presentan como un beneficio para la seguridad, todas forman parte del mismo problema subyacente. Se espera que confíes en que estos sistemas no serán hackeados y, al mismo tiempo, que las empresas no harán mal uso de tus datos. Pero ya hemos visto que ambas cosas ocurren —a menudo sin que los usuarios siquiera se enteren. Incluso cuando las políticas suenan tranquilizadoras, siempre hay personas dentro de las organizaciones con acceso, y basta un mal uso o una sola “manzana podrida”.

Por eso, prácticas como la recopilación masiva de datos, el rastreo de comportamiento o el monitoreo constante —ya sea que se presenten como seguridad, personalización o innovación— cada vez se sienten menos como funciones y más como riesgos. Porque cuando algo sale mal, son los usuarios quienes enfrentan las consecuencias, no las empresas que recopilan los datos. Se espera que confiemos en que las empresas harán lo correcto y que alguien las detendrá cuando no lo hagan (si tenemos suerte). Tal vez siempre ha sido así. Pero mientras no haya consecuencias reales —como mostró el caso de OkCupid— hay muy pocos incentivos para que hagan las cosas de manera diferente la próxima vez.