La nueva "guerra fría" llega a los smartphones: ahora se pueden comprar datos de geolocalización de instalaciones de la OTAN y del Parlamento Europeo.

Millones de teléfonos móviles en los países de la Unión Europea dejan cada día huellas digitales que se pueden comprar en el mercado abierto. Las coordenadas de desplazamientos, los lugares de residencia, los centros de trabajo, las visitas a gimnasios, hospitales o incluso locales de carácter íntimo: todo ello está disponible en bases de datos comerciales creadas supuestamente para la segmentación publicitaria. Una investigación de periodistas de Bayerischer Rundfunk, L'Echo, Le Monde y BNR, publicada en el marco del proyecto Databroker Files, mostró que el comercio de esos datos amenaza no solo la vida privada de los ciudadanos, sino también la seguridad de Europa.

Los autores del estudio descubrieron que incluso empleados de alto nivel de la Comisión Europea, incluidos funcionarios de divisiones subordinadas a Ursula von der Leyen, se convirtieron involuntariamente en objeto de vigilancia. En su poder aparecieron coordenadas exactas de viviendas y oficinas, así como rutas detalladas de desplazamientos por Bruselas. Los datos provinieron de paquetes vendidos abiertamente, ofrecidos por corredores como «muestra de prueba» antes de la compra de una suscripción. En total, en dos nuevos conjuntos analizados por los periodistas había alrededor de 278 millones de registros sobre los movimientos de usuarios en Bélgica.

A pesar de las promesas del Reglamento General de Protección de Datos (GDPR), aprobado en 2015, la investigación mostró que la autonomía personal de los europeos en el mundo digital no está garantizada. Las aplicaciones móviles continúan recopilando coordenadas de los usuarios y transmitiéndolas a redes publicitarias y, después, a corredores que revenden la información a terceros. Entre los compradores potenciales no están solo los departamentos de marketing, sino también servicios de inteligencia de gobiernos extranjeros.

En el contexto de reportes sobre espionaje, drones intrusos y ciberataques, el uso de bases comerciales de coordenadas aparece como un nuevo canal de vigilancia comparable a métodos de la era de la Guerra Fría. La Comisión Europea reconoció su preocupación por la venta de datos de geolocalización de ciudadanos y funcionarios del bloque y emitió nuevas recomendaciones al personal sobre la configuración de la publicidad en dispositivos oficiales y personales. Los centros nacionales de respuesta, los equipos de respuesta ante incidentes informáticos (CSIRT), también recibieron avisos sobre los riesgos.

Los periodistas hallaron más de 2 000 geotags vinculados a 264 dispositivos en el edificio de la Comisión Europea, y alrededor de 5 800 marcas con 756 dispositivos en el Parlamento Europeo. Los datos incluían centenares de teléfonos de empleados en áreas sensibles: desde misiones diplomáticas hasta el Consejo de la UE y el Servicio Europeo de Acción Exterior (EEAS). Los investigadores reconstruyeron sin dificultad las direcciones privadas de al menos cinco empleados, incluidos diplomáticos de alto rango. La precisión de las coordenadas permitió identificar sus domicilios por los rótulos en las puertas y contrastarlos con información de fuentes abiertas, lo que demuestra que los datos geográficos no son anónimos.

Solo en el recinto de la sede de la OTAN en Bruselas se encontraron 9 600 puntos registrados por 543 dispositivos. Portavoces de la alianza reconocieron el riesgo relacionado con la recogida de datos por parte de empresas externas, pero no detallaron las medidas tomadas. En Bélgica, las autoridades militares prometieron endurecer las normas sobre el uso de teléfonos personales, sin embargo incluso las aplicaciones aparentemente inofensivas pueden enviar coordenadas a servidores externos.

Según datos del Centro de Comunicación Estratégica (Stratcom CoE) de la OTAN, hace ya varios años los especialistas advertían que conjuntos de datos de este tipo podían revelar los movimientos de los ejércitos y la localización de infraestructuras clave. El investigador Korbinian Ruckerbauer, del centro alemán Interface, señala que los servicios de seguridad europeos aún no han comprendido la magnitud de la amenaza ni discuten el problema públicamente. Su colega Torsten Wetzling califica la situación de «extremadamente preocupante», especialmente en el contexto de los intentos continuos de actores maliciosos por hallar vulnerabilidades en la arquitectura defensiva de Europa.

La raíz del problema son las aplicaciones móviles, en las que los usuarios aceptan compartir la geolocalización para mostrar anuncios. Los desarrolladores integran código de seguimiento de terceros, y la información recogida llega a decenas de servidores de empresas participantes en las subastas por espacios publicitarios. Más tarde, los corredores revenden esos datos, creando la ilusión de vastos conjuntos: algunos incluso los hinchan artificialmente añadiendo identificadores ficticios. A pesar de las inexactitudes, incluso esos registros permiten rastrear a personas concretas e instituciones. Entre la infraestructura implicada en el comercio de datos figura la plataforma berlinesa Datarade.

Pocas de las personas incluidas en las bases aceptaron compartir sus impresiones. Una representante de la organización EDRi reconoció que la conciencia de la propia «transparencia» sin consentimiento resulta aterradora y pone en cuestión el derecho a la vida privada. Un periodista de L'Echo confirmó que los datos indicaron con precisión su lugar de residencia y de ocio, aunque él procura reducir deliberadamente su huella digital.

En teoría, el negocio de los corredores contraviene el Reglamento General de Protección de Datos: el consentimiento para el tratamiento de datos personales debe ser informado y voluntario, y el uso de la información está estrictamente limitado al fin declarado. No obstante, la mayoría de los usuarios, al aceptar las condiciones durante la instalación de una app, no saben adónde acaban sus datos. Se vulneran otros principios, como la prohibición de usar información que revele opiniones políticas, orientación sexual o visitas a lugares de culto.

Los órganos de supervisión europeos actúan solo tras denuncias ciudadanas, y pocas personas saben a quién dirigirse. Por ello la actividad de los servicios se reduce a comprobaciones superficiales de los banners de cookies, mientras que toda la infraestructura oculta queda sin control. A los reguladores también les faltan recursos y especialistas técnicos. Ya se han iniciado investigaciones puntuales en Alemania, pero las autoridades locales reconocen que sin cambios legislativos el problema no se resolverá.

El proyecto de reglamento ePrivacy, que podría haber limitado la vigilancia ya en 2018, se eliminó definitivamente de la agenda en la primavera de 2025. Bajo la presión de la industria publicitaria y de los medios, el texto quedó bloqueado y, en lugar del «derecho a no ser rastreado», a los ciudadanos se les dejó ventanas de consentimiento confusas.

Se depositan esperanzas en la futura Digital Fairness Act; sin embargo, según legisladores del Parlamento Europeo, no es probable que se adopten medidas contundentes: actualmente la prioridad en Bruselas es «reducir la burocracia». Mientras tanto, representantes del PPE, S&D y de Los Verdes piden prohibir de forma tajante el comercio de geolocalizaciones, registrar a todos los corredores de datos y clasificar la vigilancia masiva como una amenaza para la seguridad nacional.

Europa, que aspira a la soberanía digital, descubrió inesperadamente que el ecosistema publicitario privado puede entregar al adversario un mapa de sus propias vulnerabilidades.