El Gobierno usa publicidad personalizada para rastrear tu ubicación. Este es el plan de acción.

English

Todos hemos tenido la inquietante experiencia de ver un anuncio en Internet que revela lo mucho que los anunciantes saben sobre nuestras vidas. Tienes razón en sentirte preocupado. Según han confirmado nuevas informaciones, el gobierno ha estado utilizando esos mismos sistemas de publicidad online para rastrear la ubicación de las personas sin necesidad de una orden judicial.

Durante años, la industria de la publicidad en Internet ha estado recopilando nuestros datos, incluidos los de ubicación, para mostrarnos «anuncios más relevantes». Al mismo tiempo, sabemos que las agencias federales de seguridad pública han estado comprando nuestros datos de ubicación a sospechosos corredores de datos de los que la mayoría de la gente nunca ha oído hablar.

Ahora, un nuevo informe nos ofrece pruebas directas de que la Oficina de Aduanas y Protección Fronteriza (CBP) ha usado datos de ubicación extraídos del ecosistema de la publicidad en Internet para rastrear teléfonos. En un documento descubierto por 404 Media, la CBP admite lo que llevamos años diciendo: los sistemas técnicos que alimentan esos anuncios personalizados tan inquietantes también permiten a las agencias federales rastrear tu ubicación.

El documento reconoce que un programa de la agencia para utilizar «datos de ubicación de marketing disponibles comercialmente» con fines de vigilancia se basaba en el proceso utilizado para seleccionar los anuncios personalizados que se te muestran en casi todos los sitios web y aplicaciones que visitas. En esta entrada del blog, te explicaremos en qué consiste este proceso, cómo puede utilizarse y se está utilizando para la vigilancia estatal, y qué se puede hacer al respecto —tanto por parte de los individuos como de los legisladores y de las empresas tecnológicas que permiten estos abusos.

La vigilancia publicitaria permite la vigilancia gubernamental

La industria de la publicidad en línea ha construido una enorme máquina de vigilancia, y el gobierno puede apropiarse de ella para espiarnos.

A falta de leyes de privacidad sólidas, la publicidad basada en la vigilancia se ha convertido en la norma en Internet. Las empresas rastrean nuestra actividad en línea y fuera de línea, y luego la comparten con empresas de tecnología publicitaria y corredores de datos para ayudar a orientar los anuncios. Las fuerzas del orden aprovechan este sistema publicitario para comprar información sobre nosotros para la que normalmente necesitarían una orden judicial, como los datos de ubicación. Recurren a la industria de los corredores de datos, que mueve miles de millones de dólares, para comprar datos de ubicación recopilados de los teléfonos inteligentes de las personas.

Sabemos desde hace años que los corredores de datos de localización forman parte del enorme arsenal de vigilancia de las fuerzas del orden federales, incluidas agencias de control de inmigración como la CBP y el Servicio de Inmigración y Control de Aduanas (ICE). El ICE, la CBP y el FBI han comprado datos de localización al corredor de datos Venntell y los han utilizado para identificar a inmigrantes que posteriormente fueron detenidos. El año pasado, el ICE compró una herramienta de espionaje llamada Webloc que recopila las ubicaciones de millones de teléfonos y facilita la búsqueda de teléfonos dentro de áreas geográficas específicas durante un periodo de tiempo. Webloc también les permite filtrar los datos de ubicación mediante los identificadores publicitarios únicos que Apple y Google asignan a nuestros teléfonos.

Pero un documento obtenido recientemente por 404 Media revela que es la primera vez que la CBP reconoce que los datos de localización que compra proceden en parte del sistema que impulsa casi todos los anuncios que ves en línea: las subastas en tiempo real (RTB). Tal y como lo explica la CBP, «los datos de localización procedentes de RTB se registran cuando se muestra un anuncio».

Aunque este documento trata sobre un uso piloto de estos datos entre 2019 y 2021, la CBP y otras agencias federales han seguido comprando y utilizando datos de ubicación obtenidos comercialmente. El ICE ha adquirido herramientas de rastreo de ubicación desde entonces y recientemente solicitó información sobre herramientas de «Ad Tech» que podría utilizar para sus investigaciones.

El documento de la CBP reconoce dos fuentes de datos de ubicación en las que se basa: los kits de desarrollo de software (SDK) y el RTB, dos métodos de seguimiento de la ubicación sobre los que la EFF ya ha escrito anteriormente.

Las aplicaciones de tiempo, navegación, citas, fitness y «seguridad familiar» suelen solicitar permisos de ubicación para habilitar funciones clave. Pero una vez que una aplicación tiene acceso a tu ubicación, podría compartirla con los corredores de datos directamente a través de los SDK o indirectamente (y a menudo sin que los desarrolladores de la aplicación lo sepan) a través de RTB. Los corredores de datos pueden recopilar datos de ubicación de los SDK que pagan a los desarrolladores para que los incluyan en sus aplicaciones. Cuando se basan en RTB, los corredores de datos no necesitan ninguna relación directa con las aplicaciones y los sitios web de los que recopilan datos de ubicación. El RTB lo facilitan las empresas de publicidad que ya están conectadas a la mayoría de los sitios web y aplicaciones.

APOYA EL TRABAJO DE EFF CON TU DONACIÓN

Tus donaciones permiten a la EFF hacer aún más.

Cómo funciona la subasta en tiempo real

RTB es el proceso mediante el cual la mayoría de los sitios web y aplicaciones subastan su espacio publicitario. Por desgracia, las subastas de milisegundos de duración que determinan qué anuncios ves también exponen tu información, incluidos los datos de ubicación, a miles de empresas al día. A grandes rasgos, así es como funciona el RTB:

En el momento en que visitas un sitio web o una aplicación con espacio publicitario, este solicita a una empresa de tecnología publicitaria que determine qué anuncios mostrarte.
Esta empresa de tecnología publicitaria agrupa toda la información que puede recopilar sobre ti en una «solicitud de puja» y la envía a miles de anunciantes potenciales.
La solicitud de puja puede contener información como tu identificador publicitario único, tus coordenadas GPS, tu dirección IP, detalles del dispositivo, intereses inferidos, información demográfica y la aplicación o el sitio web que estás visitando. La información de las solicitudes de puja se denomina «datos de bidstream» y suele incluir identificadores que pueden vincularse a personas reales.
Los anunciantes utilizan la información personal de cada solicitud de puja, junto con los perfiles de datos que han creado sobre ti a lo largo del tiempo, para decidir si pujan por el espacio publicitario.
El mejor postor consigue mostrarte un anuncio, pero los anunciantes (o las empresas de tecnología publicitaria que los representan) pueden recopilar tus datos de flujo de pujas independientemente de si pujan o no por el espacio publicitario.

Una vulnerabilidad clave de las subastas en tiempo real es que, aunque solo un anunciante gana la subasta, todos los participantes reciben datos sobre la persona que vería su anuncio. Como resultado, cualquiera que se haga pasar por un comprador de anuncios puede acceder a un flujo de datos confidenciales sobre miles de millones de personas al día. Los corredores de datos han aprovechado esta vulnerabilidad para recopilar datos a una escala asombrosa. Por ejemplo, la FTC descubrió que el corredor de datos de ubicación Mobilewalla recopiló datos de más de mil millones de personas, de los cuales se estima que el 60 % procedía de subastas RTB. Los datos filtrados de otro corredor de datos de ubicación, Gravy Analytics, hacían referencia a miles de aplicaciones, entre ellas aplicaciones de Microsoft, Candy Crush, Tinder, Grindr, MyFitnessPal, aplicaciones para el seguimiento del embarazo y aplicaciones de temática religiosa. Cuando se les preguntó al respecto, varios de los desarrolladores de estas aplicaciones dijeron que nunca habían oído hablar de Gravy Analytics.

Como dice Venntel, uno de los corredores de datos de ubicación que ha vendido a ICE, «los datos de flujos de pujas disponibles comercialmente procedentes del ecosistema publicitario han sido durante mucho tiempo una de las fuentes más completas de datos de ubicación y dispositivos en tiempo real disponibles». Pero los daños a la privacidad del RTB no son solo una cuestión de uso indebido por parte de corredores de datos individuales. Las subastas de RTB difunden los datos de una persona normal a miles de empresas, cientos de veces al día, sin ningún control sobre cómo se acaba explotando esta información. Una vez que tu información se difunde a través de RTB, es casi imposible saber quién la recibe o controlar cómo se utiliza.

Qué puedes hacer para protegerte

Las revelaciones sobre la explotación de estos datos de ubicación por parte del gobierno muestran lo peligroso que se ha vuelto el seguimiento online, pero no estamos indefensos. Aquí tienes dos pasos básicos que puedes seguir para proteger mejor tus datos de ubicación:

Desactiva tu ID de publicidad móvil (consulta las instrucciones para iPhone/Android). Apple y Google asignan ID de publicidad únicos a cada uno de sus teléfonos. Los corredores de datos de ubicación utilizan estos ID de publicidad para unir la información que recopilan sobre ti desde diferentes aplicaciones.
Revisa las aplicaciones a las que has concedido permisos de ubicación. Las aplicaciones que tienen acceso a tu ubicación podrían compartirla con otras empresas, así que asegúrate de conceder permiso de ubicación solo a aquellas aplicaciones que realmente lo necesiten para funcionar. Si no puedes desactivar completamente el acceso a la ubicación de una aplicación, limítalo a cuando tengas la aplicación abierta o a una ubicación aproximada en lugar de una precisa.

Para más consejos, echa un vistazo a la guía de la EFF sobre cómo protegerte del seguimiento de ubicación basado en dispositivos móviles. Ten en cuenta que el plan de seguridad más adecuado para ti variará según la situación. Por ejemplo, es posible que quieras tomar medidas más estrictas para proteger tus datos de ubicación cuando viajes a un lugar delicado, como una manifestación.

Lo que deben hacer las empresas tecnológicas y los legisladores

Los legisladores y las empresas tecnológicas deben actuar para que las personas no tengan que asumir la carga de defender sus datos cada vez que usan Internet.

Las empresas de tecnología publicitaria deben asumir su papel en la vigilancia gubernamental sin orden judicial, entre otros perjuicios a la privacidad. Los sistemas que crearon para la publicidad dirigida se utilizan activamente para rastrear la ubicación de las personas. La mejor manera de evitar que los anuncios en línea alimenten la vigilancia es dejar de dirigir anuncios basados en perfiles de comportamiento detallados. Los anuncios pueden seguir dirigiéndose de forma contextual —basándose en el contenido que ven las personas— sin recopilar ni exponer su información personal sensible. A falta de pasar a la publicidad contextual, las empresas tecnológicas pueden limitar el uso de sus sistemas para el rastreo de ubicación por parte del gobierno:

Dejando de usar datos de ubicación precisos para la publicidad dirigida. Las empresas de tecnología publicitaria que facilitan las subastas de anuncios pueden y deben eliminar los datos de ubicación precisos de las solicitudes de puja. Los anuncios se pueden dirigir basándose en la ubicación aproximada de las personas, como la ciudad en la que se encuentran, sin dar a los corredores de datos las coordenadas GPS exactas de las personas. Los datos de ubicación precisos pueden revelar dónde trabajamos, dónde vivimos, con quién nos reunimos, dónde nos manifestamos, dónde practicamos nuestra religión y mucho más. Difundirlos a miles de empresas al día a través de RTB es peligroso.
Eliminar los identificadores publicitarios de los dispositivos o, como mínimo, desactivarlos por defecto. Los identificadores publicitarios se han convertido en un eje central de la economía de los corredores de datos y son utilizados activamente por las fuerzas del orden para rastrear la ubicación de las personas. Los identificadores publicitarios se añadieron a los teléfonos en 2012 para permitir que las empresas te rastrearan, y eliminarlos no es una idea descabellada. Cuando Apple obligó a las aplicaciones a solicitar acceso a los identificadores publicitarios de los usuarios a partir de 2021 (si tienes un iPhone, probablemente hayas visto las ventanas emergentes de «Pedir a la aplicación que no te rastree»), el 96 % de los usuarios estadounidenses optaron por no participar, lo que básicamente desactivó los identificadores publicitarios en la mayoría de los dispositivos iOS. Un estudio reveló que los usuarios de iPhone eran menos propensos a ser víctimas de fraude financiero después de que Apple implementara este cambio. Google debería seguir el ejemplo de Apple y desactivar los identificadores publicitarios por defecto.

Los legisladores también deben dar un paso al frente para proteger la privacidad de sus electores. Necesitamos leyes federales de privacidad sólidas para impedir que las empresas nos espíen y vendan nuestra información personal. La EFF aboga por una legislación sobre privacidad de datos con fuerza y por la prohibición de la publicidad dirigida basada en perfiles de comportamiento online, ya que esto crea un incentivo económico para que las empresas rastreen todos nuestros movimientos.

Los legisladores también pueden y deben cerrar la «laguna legal de los corredores de datos» en la Cuarta Enmienda. En lugar de obtener una orden judicial firmada por un juez, las fuerzas del orden pueden simplemente comprar datos de ubicación a corredores privados para averiguar dónde has estado. El año pasado, Montana se convirtió en el primer estado de EE. UU. en aprobar una ley que impide al gobierno comprar datos sensibles para los que, de otro modo, necesitaría una orden judicial. Y en 2024, la ley «La Cuarta Enmienda no está en venta», del senador Ron Wyden y respaldada por la EFF, fue aprobada por la Cámara de Representantes antes de fracasar en el Senado. Otros deberían seguir su ejemplo para poner fin a esta elusión de las protecciones constitucionales.

La publicidad basada en el comportamiento online no solo da miedo, sino que es peligrosa. No está bien que nuestra información personal se recopile en silencio, la compren corredores de datos en la sombra y se venda a cualquiera que quiera invadir nuestra privacidad. Esta última revelación sobre la vigilancia gubernamental sin orden judicial debería servir como una alarmante llamada de atención sobre lo peligrosa que se ha vuelto la publicidad basada en el comportamiento online.

APOYA EL TRABAJO DE EFF CON TU DONACIÓN

Tus donaciones permiten a la EFF hacer aún más.

Related Issues

Online Behavioral Tracking

Location Data Brokers

Locational Privacy

Related Updates

Deeplinks Blog by Lena Cohen | January 29, 2026

El Acuerdo con Google Podría Traer Nuevos Controles de Privacidad para las Pujas en Tiempo Real

La EFF lleva mucho tiempo advirtiendo sobre los peligros del sistema de «subasta en tiempo real» (RTB) que impulsa casi todos los anuncios que ves en Internet. El acuerdo propuesto para una demanda colectiva contra Google por su sistema RTB es un paso en la dirección correcta para dar a...

Deeplinks Blog by Lena Cohen | September 4, 2025

Desde bibliotecas a escuelas: ¿Por qué las organizaciones deberían instalar Privacy Badger?

En una era de vigilancia online generalizada, las organizaciones tienen un papel importante que desempeñar en la protección de la privacidad de sus comunidades. Las escuelas, bibliotecas y otras organizaciones pueden convertir la navegación privada en la norma mediante la implementación de Privacy Badger en sus ordenadores.

Deeplinks Blog by Lena Cohen, Rory Mir | June 20, 2025

Protégete del último ataque a la privacidad de Meta

The best way to stop this cycle of invasive tracking techniques and patchwork fixes is to ban online behavioral advertising. This would end the practice of targeting ads based on your online activity, removing the primary incentive for companies to track and share your personal data. We need strong federal...

Deeplinks Blog by Lena Cohen | March 27, 2025

El seguimiento en línea está se descontrola: Privacy Badger puede ayudarte a contraatacar

Every time you browse the web, you're being tracked. That’s why EFF created Privacy Badger, a free, open source browser extension used by millions to fight corporate surveillance and take back control of their data.

Deeplinks Blog by Lena Cohen | January 17, 2025

¿Enfadado con Meta? No dejes que recopilen y rentabilicen tus datos personales

If you’re fed up with Meta right now, you’re not alone. Meta tracks you across millions of websites and apps and its business model relies on your data. If you want to limit Meta’s ability to collect and profit from your personal data, here’s what you need to know.

Deeplinks Blog by David Greene | January 17, 2025

EFF Statement on U.S. Supreme Court's Decision to Uphold TikTok Ban

Shutting down a communications platform or forcing its reorganization based on concerns of foreign propaganda and anti-national manipulation is an eminently anti-democratic tactic, one that the US has previously condemned globally.

Deeplinks Blog by Lena Cohen | January 6, 2025

Los anuncios basados en comportamiento en línea alimentan la industria de la vigilancia: así funcionan

Each time you see a targeted ad, your personal information is exposed to thousands of advertisers and data brokers through a process called “real-time bidding” (RTB). This process does more than deliver ads—it fuels government surveillance, poses national security risks, and gives data brokers easy access to your online activity...

Deeplinks Blog by David Greene | December 18, 2024

EFF Statement on U.S. Supreme Court's Decision to Consider TikTok Ban

The TikTok ban itself and the DC Circuit's approval of it should be of great concern even to those who find TikTok undesirable or scary. Shutting down communications platforms or forcing their reorganization based on concerns of foreign propaganda and anti-national manipulation is an eminently anti-democratic tactic, one that the...

Deeplinks Blog by Christian Romero | October 31, 2024

"¿Me está escuchando mi teléfono?"

La respuesta corta es no, ¡probablemente no! Pero, en el nuevo sitio de la EFF, Digital Rights Bytes, profundizamos en esta cuestión y en muchas otras.Tanto si acabas de empezar a cuestionarte algunos de los efectos de la tecnología en tu vida como si eres el tecnomago designado de...

Deeplinks Blog by Guest Author, Erica Portnoy | October 1, 2024

How to Stop Advertisers From Tracking Your Teen Across the Internet

When children turn 13, they age out of the data protections provided by the Children’s Online Privacy Protection Act (COPPA). Then, they become targets for data collection from data brokers that collect their information from social media apps, shopping history, location tracking services, and more.