Así sea muy difícil entender la magnitud del fenómeno, se ha vuelto común decir que los datos y, en particular los datos personales, son el nuevo oro o el nuevo petróleo digital. También se dice que las multinacionales del mundo digital ganan mucho dinero con nuestros datos personales y que cuando un servicio digital es grátis es porque, probablemente, el verdadero producto somos nosotras y nosotros.
El año pasado, en colaboración con la ONG Privacy International, financiadora del estudio, nuestro laboratorio de seguridad digital (K+Lab) se propuso medir qué impacto tiene el uso de aplicaciones móviles en la privacidad de las y los usuarios. Para ello, analizamos 12 aplicaciones relacionadas con temas de salud, finanzas y juegos ¿Cuáles técnicas de rastreo se usan, cuáles datos personales se recogen y a dónde van estos datos que son obtenidos a través del uso de apps? Eso fue lo que intentamos responder en este informe, pero primero un poco de contexto.
Big data y Big plata
Si miramos la bolsa de valores del NASDAQ, donde se ubican las principales multinacionales del mundo digital junto a otras de diferentes industrias, es posible medir la cantidad de dinero que representan las empresas tecnológicas:
Podemos ver por ejemplo que la empresa META (ex Facebook) representa más de un billón de dólares y que Google/Alphabet1 vale más de cuatro billones de dólares. ¿De dónde sale todo ese dinero si, en su inmensa mayoría, los servicios que le proveen a las personas son gratuitos? Usar Facebook, Instagram, WhatsApp, el motor de búsqueda Google, YouTube, Gmail, Google Analytics, etc no nos cuesta nada… aparentemente. La respuesta a la anterior pregunta está en los datos. Estas empresas generan millones de millones de dólares a través de la venta de datos, generalmente con fines publicitarios.
Las ganancias que generan estas empresas son tan grandes que cuesta dimensionar su magnitud. Para aterrizar esas cifras gigantescas, proponemos hacer uso de un ejemplo más cercano para las y los colombianos: Ecopetrol, una empresa que no produce petróleo digital, sino petróleo físico. Es la primera empresa de petróleo de Colombia y la segunda de América Latina; al 5 de mayo del 2024 tiene un valor de capitalización de casi 24 mil millones de dólares, lo que equivale a 0.6% de Google. En otras palabras, Google vale 166 veces más que Ecopetrol. De esta magnitud es el dinero que mueven las empresas que comercializan nuestros datos.
Las cifras gigantescas pueden parecer alejadas del uso diario que hacemos de diferentes aplicaciones pero permiten entender cuán grandes son los negocios que se realizan a partir de nuestros datos personales.
De la bolsa de valores mundial, al bolsillo de las personas usuarias.
Esta investigación la realizamos desde la perspectiva de las personas usuarias, revisamos 12 aplicaciones en su funcionamiento real; creamos perfiles y las usamos como lo haría cualquier persona. De esta manera pudimos examinar la parte visible -funcionalidades, usos, interfases- pero también la invisible, la de los ductos por los que se mueven los datos personales con fines lucrativos.
Para lograrlo, analizamos los rastreadores presentes en el código fuente de las aplicaciones. Nos concentramos en examinar detalladamente todos los datos que salían y entraban de ellas, descifrando el tráfico que generaban. Realizamos este análisis tanto a través de emulaciones de teléfonos, haciendo uso del entorno de análisis desarrollado por Privacy International, el Data Interception Environment, como en teléfonos reales (Android e iPhone), empleando herramientas como OWASP ZAP. La metodología utilizada la detallamos en el informe.
De la publicidad online sobre temas sensibles hasta el “session replay”
Lo primero que hallamos en la investigación es la existencia de aplicaciones diseñadas exclusivamente para rastrear. Encontramos aplicaciones gratuitas para el público pero que funcionan mediante un modelo económico basado en la recolección de datos personales que luego son vendidos, de cierta forma, a empresas de publicidad y marketing digital.
Aunque esto no fue nuevo para nosotras, nos sorprendió la amplitud del rastreo y el hecho de que pudimos observarlo, incluso, en aplicaciones que manejan datos personales sensibles e íntimos como información relacionada con salud, sexualidad y menstruación o embarazo ( AMMA Pregnancy y Baby Tracker). Pero no solo eso, también identificamos casos en los que esos datos se asocian a otros datos personales cómo el nombre, apellido, correo, cédula y hasta a la ubicación precisa de la persona.
En estos análisis, también buscamos y encontramos el uso de distintas técnicas de rastreo cómo el uso de los identificadores de publicidad del teléfono, las cookies, el fingerprinting o otras menos conocidas cómo los “E-Tag”.
Por otro lado, logramos identificar que la integración de servicios gratuitos de terceros en aplicaciones que no necesariamente son hechas para rastrear tiene grandes impactos en la privacidad de las personas usuarias. El caso más frecuente es el uso de servicios de analíticas de datos (como Google/Firebase Analytics). En el artículo mostramos cómo los servidores de las empresas que las proveen pueden capturar datos personales de los formularios de registro, las compras y hasta permitir una “grabación” milimétrica de lo que hace la persona usuaria con servicios cómo el “session replay”.
La investigación también nos llevó a descubrir aplicaciones que, aunque ya no operan, siguen enviando datos a terceros. Un ejemplo es MinSalud Digital (heredera de la desaparecida CoronApp), que fue desactivada hace algún tiempo pero aún transmite información a empresas de análisis y publicidad. El simple hecho de tenerla instalada en el celular y tener el dispositivo encendido permite la extracción de datos.
Al final del artículo, quisimos concienciar y capacitar a las personas usuarias y desarrolladoras, quienes a menudo no son completamente conscientes de los impactos del uso de ciertas aplicaciones en la privacidad. Para lograrlo, proporcionamos tres series de recomendaciones para diferentes actores. Esperamos que este trabajo pueda tener impactos positivos en la privacidad y la intimidad, y que investigaciones similares puedan replicarse.ç
Accede al informe en formato PDF:
- Sólo sumando dos de sus tres ramas: Aphabet A (GOOG) y Alphabet C (GOOGL). ↩︎
Acompáñanos en @Karisma en X, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Datos y AdTech: ¿a dónde van los ductos del petróleo digital?
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co.