La publicidad se ha convertido en una parte integral de Internet y de las aplicaciones móviles. Al visitar sitios o usar servicios gratuitos, los usuarios se encuentran constantemente con banners, ventanas emergentes y diversas ofertas orientadas. Los mecanismos de segmentación publicitaria ayudan a las empresas a determinar con precisión a quién mostrar un anuncio, en función de numerosos criterios: geolocalización, intereses, datos demográficos y otros factores. A pesar de la comodidad y el valor comercial, estos mecanismos pueden transformarse en una herramienta de vigilancia en manos privadas.
El término ADINT (inteligencia publicitaria) se refiere al uso potencialmente peligroso de la publicidad dirigida, cuando un atacante compra impresiones publicitarias no tanto para promocionar un producto o marca como para obtener información confidencial sobre una persona concreta o un grupo. La idea clave de la ADINT es que si las redes publicitarias poseen datos personales (por ejemplo, sobre ubicación, dispositivo, aplicaciones, etc.), prácticamente cualquier interesado puede pagar por anuncios. Esto significa que la posibilidad de acceder a esos datos a través de informes de impresiones o mecanismos de segmentación puede volverse potencialmente accesible.
En este artículo analizaremos qué es la ADINT, cuál es el coste de ese tipo de ataque para los atacantes, qué fases de implementación utilizan, quién puede beneficiarse de esta práctica y cómo minimizar los riesgos de vigilancia mediante la publicidad dirigida.
¿Qué es la ADINT?
ADINT es un método para obtener información confidencial basado en la compra de publicidad y el análisis de cómo y dónde se muestra a los usuarios. La sigla se inspira en términos usados por servicios de inteligencia: SIGINT (intercepción de señales), HUMINT (inteligencia humana) y métodos similares de recopilación de datos. Por «inteligencia» aquí se entiende que el ecosistema publicitario en sí mismo dispone de gran cantidad de información sobre los usuarios, y un atacante puede acceder a ella pagando por anuncios y configurando correctamente la segmentación.
La característica de la ADINT es que no se trata de la participación de grandes corporaciones o estructuras estatales. Cualquier persona con un presupuesto mínimo y competencias básicas puede convertirse en anunciante y utilizar redes que agregan datos. La mayoría de las plataformas publicitarias se diseñaron para aumentar la conversión y la comodidad de los anunciantes, y las cuestiones de seguridad y privacidad del usuario no siempre se anteponen. Los informes de la red publicitaria, los datos sobre la ubicación y las métricas demográficas de los usuarios pueden convertirse de herramientas de marketing en un medio completo de vigilancia.
¿Cómo funciona la ADINT?
Para entender cómo un atacante puede convertir la publicidad en una herramienta de vigilancia, veamos la estructura típica de las plataformas publicitarias:
- Anunciante. Puede ser cualquier persona, empresa u organización dispuesta a pagar por impresiones de banners. En el contexto de ADINT, es el atacante.
- DSP (plataforma del lado de la demanda). Plataforma donde los anunciantes definen las condiciones y parámetros de la campaña: demografía, intereses, puntos geográficos, tipo de dispositivo y mucho más.
- SSP (plataforma del lado de la oferta). Plataforma que colabora con los propietarios de sitios y aplicaciones para vender espacios publicitarios.
- Editor. Propietario del sitio o de la aplicación donde se integran los bloques publicitarios.
- Usuario. Persona que ve el sitio o usa la aplicación y visualiza la publicidad.
En una campaña publicitaria estándar, el anunciante busca mostrar anuncios a una audiencia concreta según sus intereses, rasgos demográficos o geolocalización. Pero en el caso de la ADINT, el objetivo principal no es vender un producto, sino obtener datos detallados sobre una persona o grupo. Por ejemplo, un atacante puede orientar la publicidad con el siguiente nivel de precisión:
- Direcciones de correo electrónico o números de teléfono concretos (segmentación por datos personales identificables, PII), si la DSP lo permite;
- Cookies únicas o identificadores móviles del dispositivo (identificadores móviles, MAID);
- Geolocalización con precisión hasta edificios o calles;
- Listas de intereses (por ejemplo, usuarios de aplicaciones religiosas o aplicaciones de citas);
- Sitios o secciones específicas donde debe mostrarse el anuncio;
- Palabras clave concretas en búsquedas.
Tras configurar la segmentación, el sistema publicitario empezará a mostrar banners a la posible víctima o a personas con las características buscadas por el atacante. En los informes de la plataforma, el anunciante suele ver:
- Cuántas veces se mostró el anuncio y en qué aplicaciones o dominios;
- Qué dispositivos y sistemas operativos se usaron;
- La ubicación aproximada o exacta (según la plataforma) de los usuarios al mostrarse el anuncio;
- Posibles datos adicionales, por ejemplo sexo, grupos de edad, intereses, etcétera.
Si la analítica de la plataforma es lo bastante detallada (y a menudo lo es), el atacante puede:
- Observar dónde se encuentra una persona en tiempo real, si esta abre una aplicación o visita un sitio con un SDK publicitario o código publicitario;
- Entender qué recursos o servicios usa la víctima —desde aplicaciones religiosas hasta mensajería;
- Relacionar distintos dispositivos de una misma persona (por ejemplo, teléfono y tableta), si la red publicitaria admite identificadores multiplataforma;
- Calcular la dirección de casa o del trabajo analizando sesiones repetidas con publicidad.
Coste del ataque y recursos necesarios
Uno de los hallazgos más preocupantes en las investigaciones sobre ADINT es la relativa economía de estas operaciones. Así, en uno de los artículos científicos sobre ADINT se presenta un ejemplo en el que el coste del experimento rondó los 1000 dólares. Es un gasto bastante asequible para una persona física, y más aún para organizaciones y grupos con mayores presupuestos.
La parte formal de los gastos incluye:
- Depósito mínimo. Algunas plataformas DSP exigen ingresar una cantidad básica en la cuenta del anunciante. Puede variar desde unos cientos hasta varios miles de dólares.
- Puja por impresión (bid). Normalmente las plataformas funcionan por subasta, donde el anunciante indica cuánto está dispuesto a pagar por mil impresiones (CPM) o por clic (CPC). Sin embargo, en la práctica, gracias a mecanismos de segundo precio, se paga menos que la puja máxima.
- Tiempo y conocimientos. Técnicamente, el atacante debe entender cómo funciona el sistema y saber interpretar los resultados de los informes. No obstante, no siempre se requiere una experiencia profunda en ciberseguridad: basta con una alfabetización informática básica.
Todo ello hace que la ADINT sea potencialmente accesible incluso para personas con ingresos medios. Con un presupuesto mayor, las capacidades de vigilancia aumentan notablemente —por la adquisición de herramientas adicionales dentro de las plataformas publicitarias y la compra de datos de usuarios más precisos a brokers especializados.
¿Quién puede usar la ADINT?
Aunque la amenaza típica se imagina como «un hacker se convierte en anunciante», esta práctica puede ser aplicada por diversas categorías de personas y grupos:
- Perseguidores privados. Los llamados acosadores, que vigilan a exparejas, colegas o conocidos. Les basta crear una campaña dirigida al dispositivo de la víctima (a través del MAID) y recibir periódicamente informes sobre sus desplazamientos.
- Grupos ideológicos. Organizaciones radicales pueden identificar personas por rasgos religiosos, políticos o sociales. Usando la segmentación por intereses o ubicaciones (por ejemplo, lugares de reunión), pueden perfilar a los asistentes.
- Sindicatos criminales. Cibercriminales, ladrones y estafadores pueden analizar posibles víctimas para conocer su nivel de ingresos, hábitos y rutina diaria, con el fin de planear un hackeo o un allanamiento.
- Competidores corporativos o espías. Una empresa puede rastrear a empleados clave de un competidor, descubrir qué recursos en línea visitan y obtener así información interna valiosa.
- Paparazzi y periodistas. Para indagar en la vida privada de figuras públicas, pueden combinar varios métodos de segmentación y obtener datos sobre la geolocalización actual e intereses de celebridades.
¿Cómo protegerse frente a la ADINT?
Las medidas contra la ADINT pueden considerarse en dos planos: acciones al alcance del usuario común y medidas que deben adoptar las propias redes publicitarias y los reguladores.
Seguridad personal
- Usar aplicaciones sin publicidad. El modelo de suscripción o las compras dentro de la aplicación permiten evitar la integración de SDK publicitarios. Cuantos menos bloques publicitarios, menor probabilidad de convertirse en objetivo de ADINT.
- Restablecer regularmente los identificadores móviles (MAID). En Android y iOS es posible «restablecer» el identificador publicitario en ajustes. Esto dificulta la vigilancia, aunque no siempre protege por completo, ya que un atacante podría vincular datos antiguos y nuevos tras sesiones repetidas.
- Desactivar permisos de ubicación para aplicaciones que no requieren geolocalización para su función principal. Esto reducirá la precisión del targeting.
- Tener cuidado con las redes Wi‑Fi. En puntos de acceso públicos es más fácil interceptar tráfico no protegido y extraer el MAID. El cifrado y el uso de una VPN pueden disminuir el riesgo de filtración.
Protección a nivel de plataformas publicitarias
- Imponer límites al alcance mínimo de la audiencia. Algunas plataformas (por ejemplo, Facebook) ya establecen un límite de 20 personas para que no sea posible atacar a una víctima concreta. Sin embargo, tales restricciones a menudo se evitan ampliando artificialmente la lista.
- Aumentar la transparencia y auditar el código de anuncios. Si la plataforma vigila mejor el JavaScript dentro de los anuncios, revisa segmentaciones sospechosas y coopera con los reguladores, será más difícil actuar a los atacantes.
- Regulación legislativa. A nivel estatal pueden establecerse requisitos para que las redes publicitarias detecten y bloqueen campañas sospechosas.
Un enfoque combinado —usuarios conscientes de los riesgos que adoptan precauciones y plataformas que endurecen políticas y mejoran algoritmos de detección de actividad anómala— será el más eficaz.
Conclusión
Las tecnologías de segmentación evolucionan rápidamente y, con ellas, aumenta el riesgo de que la publicidad se use para fines distintos. ADINT (inteligencia publicitaria) ofrece a atacantes y a otros actores una herramienta prácticamente lista para usar, que permite identificar y vigilar a usuarios con un coste relativamente bajo. Los datos de ubicación, la información sobre qué aplicaciones se ejecutan, qué sitios se visitan e incluso características demográficas pueden ser accesibles para quien esté dispuesto a comprar impresiones publicitarias con una buena configuración.
El coste de estos ataques suele ser asumible para una persona promedio, por lo que la amenaza se vuelve masiva. Los usos de la ADINT van más allá de la vigilancia básica y pueden abarcar espionaje corporativo, persecuciones políticas, extorsión y otros escenarios ilícitos.
El factor de riesgo principal sigue siendo el principio global del mercado de publicidad en Internet: cuanto más información sobre el usuario se recopila, mayor es la efectividad de las impresiones. Sin medidas adicionales de protección y regulación, esta característica conduce a que los anunciantes externos obtengan acceso indirecto a conjuntos de datos de usuarios.
Para contrarrestar la ADINT se necesita un enfoque integral por parte de los usuarios, los desarrolladores de plataformas publicitarias y los legisladores. Mientras el problema no esté resuelto por completo, cada persona debería prestar más atención a los ajustes de privacidad en sus dispositivos y ser consciente de que tras banners aparentemente inofensivos puede ocultarse un sistema entero de vigilancia.
