¿Cómo sabe el móvil tantos detalles íntimos? Así es como miles de ‘apps’ abusan de la misteriosa localización en interiores

En 2023, un ingeniero fue a un parque de atracciones con su familia. Llevaban un cochecito y uno de los dos padres se quedaba a vigilarlo mientras los demás subían a alguna atracción. Cuando bajaban, la aplicación del parque detectaba que alguien había estado esperando, recibía una notificación y le dejaba entrar por la vía rápida, sin colas. Esta anécdota es solo un pequeño ejemplo del uso preciso de la geolocalización con bluetooth y wifi de nuestros móviles.

Pero como todas las tecnologías que averiguan datos personales, pueden ser abusadas. De anécdotas similares surgió una investigación dirigida por autores españoles, que se presenta en la prestigiosa conferencia de privacidad Pets en Washington (EE UU) que empieza el próximo 14 de julio, sobre cómo algunas apps explotan los permisos de bluetooth y el wifi para rastrear nuestra localización en interiores o de usuarios que no permiten el GPS para ese fin. Técnicamente, no es ningún secreto que las antenas pueden saber qué móviles pasan cerca. La novedad de esta investigación es el ecosistema oscuro de quiénes extraen esa información escondidos en miles de apps para colocarnos anuncios, perfilarnos o simplemente saber dónde estamos en todo momento.

“Hay un montón de usos misteriosos”, dice Juan Tapiador, coautor del artículo y catedrático de la Universidad Carlos III. “Esto lo puedes aplicar a cualquier anécdota, como la chica que fue la clínica abortiva y luego se encontró un anuncio que la puso nerviosa o el tipo que viajó a un sitio de forma clandestina y luego le salió un anuncio que le descuadró. El caso más extremo es si vas a un supermercado o a una tienda de licores o a coger un libro y luego tienes un anuncio relacionado”, añade. A menudo en casos así solemos decir que el móvil nos escucha. Pero no hace falta. Con esta información y cómo se comparte pueden hacerse muchas conexiones sobre hábitos. Es razonable que para un ciudadano normal resulte sospechoso recibir publicidad muy fina, de algún detalle íntimo y que no sabe de dónde viene.

Hay bases de datos públicas con las coordenadas GPS de balizas bluetooth o antenas wifi. Con esa información, si detectan un móvil, es obvio que su propietario ha pasado por ese lugar. No es nada muy complejo. Pero esa información debería estar disponible solo para las apps que tienen permiso de sus usuarios, no para desconocidas empresas de marketing que perfilan a millones de ciudadanos. “El 86% de las 9.976 apps [analizadas] que usan balizas recopilan mucha información personal identificable (como nombre o ID del dispositivo), además de sus coordenadas GPS, redes wifi cercanas y resultados de escaneos bluetooth”, dice el artículo científico.

La localización dice mucho de nuestros gustos y hábitos. La precisión de esta información en interiores permite saber si compramos leche de avena o de vaca en el súper, si nos gusta detenernos en escaparates de tiendas de ropa barata o si miramos más true crime o ciencia ficción en las estanterías de una librería. Si alguien ha recibido una oferta del Burger King al entrar en uno de sus restaurantes, ahora ya sabe por qué. Pero el uso comercial de esta información va mucho más allá. Una cosa es permitir a Burger King que nos haga una oferta cuando nos descargamos su aplicación y otra es que en miles de apps haya pedazos de código que captan esta información y la mandan a desconocidas empresas de marketing que trafican con datos.

Además del uso inesperado para publicidad imprevista, hay otros usos potencialmente más delicados. “Realmente el problema más grave es que se te puede utilizar para identificar tus movimientos y con quién estás”, dice Narseo Vallina, coautor del trabajo, investigador del instituto Imdea Networks y cofundador de la empresa de privacidad Appcensus. La localización no solo sirve para saber dónde va alguien, sino que puede servir para saber si entra en mezquitas, saunas o incluso la velocidad de un coche o la localización de un inmigrante sin papeles. Estos mercaderes de datos pueden acabar vendiendo información no solo con objetivos comerciales, sino también por ejemplo de quién estuvo en la isla de Jeffrey Epstein.

Herramientas prefabricadas

Las apps no suelen programarse de cero. Se usan los llamados SDK (“kit de desarrollo de software”, por sus siglas en inglés), que son una especie de herramientas prefabricadas que se cogen tal cual y ahorran mucho trabajo de programación. Los SDK hacen funciones que la app necesita, y otras que son más ocultas. “Esto es un ecosistema de SDK que nadie ha estudiado”, dice Vallina. “Muchos estudios previos de datos de abuso de bluetooth y wifi eran a nivel teórico. Pero no había un estudio empírico de qué tipo de SDK implementan esto y empezamos a buscar SDK que se anunciaban como localización y que también daban servicio de bluetooth y wifi”, añade.

Si se especula sobre las opciones de este sistema, las hipótesis son inimaginables: “Te instalas una aplicación de citas, que te permite el acceso al wifi. Luego te conectas al punto de acceso wifi de algún local y a la vez tu aplicación de citas escanea bluetooth cercanos. Así ya saben quién es tu cita y dónde estás”, explica Vallina. El problema no es que lo sepa tu app de citas, a quien le has dado permiso, sino una tercera app que tenga un SDK colocado.

“Detectamos 52 kits de desarrollo (SDKs) con funciones para escanear redes wifi y señales bluetooth, que se usan en casi 10.000 apps que a su vez en total se calcula que se han instalado [históricamente] en unos 55.000 millones de dispositivos”, dice la investigación. Salen también un puñado de apps españolas, sobre todo en las categorías de estilo de vida o deportes, pero está muy extendido: hay bancos, clubes de fútbol, hoteles, centros académicos o medios.

“En un metro puede haber una baliza bluetooth cuyo propósito es el conteo de pasajeros. Pero nada evita que una SDK en una app haga lo que nosotros decimos, es decir, que sepa exactamente que tú estás en el metro”, dice Tapiador. “Esto significa que luego puedes reidentificar a esa persona y puedes asociar que quien pasó por aquí, luego pasó por allí”, añade. El reto imposible de estas investigaciones es averiguar exactamente dónde acaban esos datos y qué uso se hace: una cosa es saber qué datos saca un SDK y otra muy distinta es cómo los procesan luego. “Están asociados con el Android Advertising ID, que es un valor que te identifica a ti y a tu dispositivo, lo que sugiere que están utilizándolo para rastrear al usuario, y pueden mandarte un email, una alerta o lo agregan en un servidor para crear un perfil tuyo con esa información”, dice Vallina.

Este método está ideado para obtener algo tan valioso como la localización del usuario ahorrándose todo el proceso que supone obtener su consentimiento. “Si le preguntases a una empresa que se nutre de rastrear, qué es lo que más te interesa de una persona y solo pudiera elegir una cosa, probablemente diría la localización”, explica Tapiador. “No es sorprendente que tecnológicamente gran parte del esfuerzo del rastreo esté orientado a obtener la localización. Esta forma de emplear balizas no es más que la enésima derivada en cómo obtener una localización con algo que nadie había mirado antes”.