El mercado de tu ubicación y la de tu dispositivo es enorme y va en aumento. Esos datos son recogidos por tu proveedor de red, por las aplicaciones de tus dispositivos inteligentes y por los sitios web con los que te relacionas. Es el santo grial del marketing y la pesadilla de la seguridad informática.

Las empresas que producen algoritmos de seguimiento de la ubicación y la magia tecnológica están montadas en el cohete del marketing hiperpersonalizado, que sigue expandiéndose a una velocidad impresionante. En el otoño de 2021, Grandview Research estimó que solo el mercado estadounidense era de aproximadamente 14.000 millones de dólares y esperaba que se expandiera a una tasa de crecimiento anual compuesta (CAGR) del 15,6% desde 2022 hasta 2030.

Con proyecciones de crecimiento de esta magnitud, el segmento se considera sin duda un sector dulce en el que participar. Es otro ejemplo de que la robusta y vanguardista infraestructura que soportan los departamentos de TI y seguridad presenta nuevos retos con regularidad.

Peligros de compartir datos de localización

El largo rastro de datos que dejan sus empleados cuando se agregan puede proporcionar a los competidores un medio abierto para deducir los esfuerzos de investigación y desarrollo de su empresa, identificar instancias públicas de sus secretos comerciales y la catalogación de la ubicación de sus empleados y activos corporativos. Pueden ser tan inocuos como quién asiste a la convención de clientes de la empresa, hasta quién está trabajando en el último widget que cortará el pan de forma diferente, o el patrón de compromiso y movimiento de los ejecutivos antes o durante las crisis. Todo lo anterior se espera en el mundo de la inteligencia competitiva.

Otro reto que los ingenieros y los que apoyan estas aplicaciones y algoritmos pueden no haber tenido en cuenta cómo la información puede ser utilizada en contra de los individuos en lugar de para el beneficio del individuo. Sin embargo, ese es el tema en el contexto del caso Roe contra Wade ante el Tribunal Supremo de los Estados Unidos y las diversas leyes antiabortistas que se han aprobado en algunos de los estados de los Estados Unidos.

De hecho, el artículo de la revista Vice “Data Broker Is Selling Location Data of People Who Visit Abortion Clinics“ señalaba cómo “cuesta algo más de 160 dólares conseguir una semana de datos sobre la procedencia de las personas que visitaron Planned Parenthood, y a dónde fueron después”. El artículo continúa con la identificación de la entidad que vende los datos, SafeGraph: “SafeGraph obtiene en última instancia los datos de localización de las aplicaciones ordinarias instaladas en los teléfonos de las personas. A menudo los desarrolladores de aplicaciones instalan en sus aplicaciones un código, llamado kit de desarrollo de software (SDK), que envía los datos de localización de los usuarios a las empresas a cambio de que el desarrollador reciba un pago”. Aunque Safeguard no quiso hacer comentarios directamente a Vice, el director general publicó un desmentido a través de un tuit.

La directora de investigación del Proyecto de Supervisión de la Tecnología de Vigilancia, Eleni Manis, comentó cómo el informe de la organización sobre el uso de la tecnología para rastrear a las mujeres “establece los pasos que los estados, los proveedores de abortos y las empresas tecnológicas deben tomar para mejorar la protección de la privacidad de las personas embarazadas, al tiempo que describe los pasos que las personas embarazadas pueden tomar para protegerse de la vigilancia digital”.

The Markup hizo una inmersión profunda en la industria y localizó 47 empresas diferentes involucradas en el sector de la localización de datos en septiembre de 2021. Su artículo destacaba cómo los datos de una aplicación de oración musulmana se vendían a contratistas militares. Un medio de comunicación católico utilizó los datos para rastrear a un sacerdote gay que frecuentaba bares gay. Otra empresa de datos vendió datos al gobierno de Estados Unidos para utilizarlos en apoyo de la vigilancia de la inmigración. Por otra parte, las redes sociales se llenaron de advertencias de que las aplicaciones que utilizan las mujeres para hacer un seguimiento de sus periodos menstruales estaban siendo recolectadas para identificar a aquellas que pudieran estar embarazadas por entidades antiabortistas y por las fuerzas del orden en algunos estados.

SDK para añadir el seguimiento de la ubicación a otras aplicaciones

El dato más interesante que se extrae del artículo de Markup es la claridad de su explicación sobre cómo los distintos agregadores de datos crean SDK que están disponibles para la concesión de licencias, a menudo sin costo alguno, para su integración en la aplicación de una entidad. De este modo, los desarrolladores de la aplicación disponen de la funcionalidad proporcionada por el SDK y la empresa que ha desarrollado el SDK está recogiendo los datos para su uso.

Creciente presión para regular el uso de los datos de localización

La recogida y el uso de datos para identificar a las mujeres embarazadas que pueden ejercer sus opciones sanitarias, que parece un grotesco capítulo de Black Mirror, fue la gota proverbial que colmó el vaso del interés del Congreso. Una carta dirigida a la presidenta de la Federal Trade Commission (FTC), Lina Khan, firmada por 16 senadores, pedía a la FTC que investigara este sector tan poco regulado. ¿Qué medidas está tomando la FTC para garantizar a los individuos el derecho a revisar y eliminar su información online, tal y como ya se está regulando en Europa, y ayudarles en caso de que sus datos sean vendidos o si son víctimas de una violación? Sus preguntas:

¿Cómo planea la FTC mitigar los daños que suponen las aplicaciones de telefonía móvil que se desarrollan para recoger y vender datos de localización? ¿Cómo educa la FTC a los individuos sobre cómo identificar las aplicaciones que recogen y venden sus datos de localización?

¿Qué está haciendo la FTC para coordinarse con el Departamento de Justicia, los estados y las localidades, los proveedores de atención sanitaria y las partes interesadas privadas para evitar que los corredores de datos y otros tengan acceso a la información personal de las mujeres y a sus decisiones en materia de atención sanitaria?

de las mujeres y a sus decisiones en materia de atención sanitaria? ¿Necesita la FTC recursos adicionales para proteger mejor a las mujeres de que los corredores de datos compren y difundan sus datos personales de localización?

Aunque en la carta se solicita a la FTC que proporcione respuestas, las preguntas también deberían servir para orientar a todas las empresas que se dedican a desarrollar ofertas comerciales o a crear SDK para que otros los incorporen, en cuanto al enfoque de quienes crean las leyes del país. En Europa y en España la regulación de la protección de datos frena, y mucho, la posibilidad de realizar estas prácticas por parte de las empresas e instituciones, aunque eso no nos asegura que en el fondo ocurra.

-Christopher Burgess, CSO España