En 2023, un ingeniero fue a un parque de atracciones con su familia. Llevaban un cochecito y uno de los dos padres se quedaba a vigilarlo mientras los demás subían a alguna atracción. Cuando bajaban, la aplicación del parque detectaba que alguien había estado esperando, recibía una notificación y le dejaba entrar por la vía rápida, sin colas. Esta anécdota es solo un pequeño ejemplo del uso preciso de la geolocalización con bluetooth y wifi de nuestros móviles.
Además del uso inesperado para publicidad imprevista, hay otros usos potencialmente más delicados. “Realmente el problema más grave es que se te puede utilizar para identificar tus movimientos y con quién estás”, dice Narseo Vallina, coautor del trabajo, investigador del instituto Imdea Networks y cofundador de la empresa de privacidad Appcensus. La localización no solo sirve para saber dónde va alguien, sino que puede servir para saber si entra en mezquitas, saunas o incluso la velocidad de un coche o la localización de un inmigrante sin papeles. Estos mercaderes de datos pueden acabar vendiendo información no solo con objetivos comerciales, sino también por ejemplo de quién estuvo en la isla de Jeffrey Epstein.
Herramientas prefabricadas
Las apps no suelen programarse de cero. Se usan los llamados SDK (“kit de desarrollo de software”, por sus siglas en inglés), que son una especie de herramientas prefabricadas que se cogen tal cual y ahorran mucho trabajo de programación. Los SDK hacen funciones que la app necesita, y otras que son más ocultas. “Esto es un ecosistema de SDK que nadie ha estudiado”, dice Vallina. “Muchos estudios previos de datos de abuso de bluetooth y wifi eran a nivel teórico. Pero no había un estudio empírico de qué tipo de SDK implementan esto y empezamos a buscar SDK que se anunciaban como localización y que también daban servicio de bluetooth y wifi”, añade.
Si se especula sobre las opciones de este sistema, las hipótesis son inimaginables: “Te instalas una aplicación de citas, que te permite el acceso al wifi. Luego te conectas al punto de acceso wifi de algún local y a la vez tu aplicación de citas escanea bluetooth cercanos. Así ya saben quién es tu cita y dónde estás”, explica Vallina. El problema no es que lo sepa tu app de citas, a quien le has dado permiso, sino una tercera app que tenga un SDK colocado.
“Detectamos 52 kits de desarrollo (SDKs) con funciones para escanear redes wifi y señales bluetooth, que se usan en casi 10.000 apps que a su vez en total se calcula que se han instalado [históricamente] en unos 55.000 millones de dispositivos”, dice la investigación. Salen también un puñado de apps españolas, sobre todo en las categorías de estilo de vida o deportes, pero está muy extendido: hay bancos, clubes de fútbol, hoteles, centros académicos o medios.
“En un metro puede haber una baliza bluetooth cuyo propósito es el conteo de pasajeros. Pero nada evita que una SDK en una app haga lo que nosotros decimos, es decir, que sepa exactamente que tú estás en el metro”, dice Tapiador. “Esto significa que luego puedes reidentificar a esa persona y puedes asociar que quien pasó por aquí, luego pasó por allí”, añade. El reto imposible de estas investigaciones es averiguar exactamente dónde acaban esos datos y qué uso se hace: una cosa es saber qué datos saca un SDK y otra muy distinta es cómo los procesan luego. “Están asociados con el Android Advertising ID, que es un valor que te identifica a ti y a tu dispositivo, lo que sugiere que están utilizándolo para rastrear al usuario, y pueden mandarte un email, una alerta o lo agregan en un servidor para crear un perfil tuyo con esa información”, dice Vallina.
Este método está ideado para obtener algo tan valioso como la localización del usuario ahorrándose todo el proceso que supone obtener su consentimiento. “Si le preguntases a una empresa que se nutre de rastrear, qué es lo que más te interesa de una persona y solo pudiera elegir una cosa, probablemente diría la localización”, explica Tapiador. “No es sorprendente que tecnológicamente gran parte del esfuerzo del rastreo esté orientado a obtener la localización. Esta forma de emplear balizas no es más que la enésima derivada en cómo obtener una localización con algo que nadie había mirado antes”.