Candy Crush, Tinder y MyFitnessPal: la lista de apps que espían tu ubicación sin que lo notes
Muchos de los datos de localización asociados a los nombres de estas aplicaciones no tienen fecha, pero hay indicios de que datan de 2024. Una de las aplicaciones que aparece es Call of Duty: Mobile, concretamente su versión Season 5, que se lanzó en mayo de 2024.
Por su parte, la filial Venntel recopila datos para después venderlos a dependencias de gobierno; entre sus clientes figuran el Servicio de Inmigración y Control de Aduanas (ICE, por sus siglas en inglés), la Oficina de Aduanas y Protección de Fronteras (CBP), el Servicio de Impuestos Internos (IRS), el FBI y la Administración de Control de Drogas (DEA). También ha proporcionado los datos subyacentes para Locate X, otra herramienta de vigilancia adquirida por el gobierno de EE UU.
La reacciones empresariales no se hicieron esperar
Gravy ya había sido expuesta por la recopilación de geolocalizaciones sin el expreso consentimiento de los usuarios, no obstante, las nuevas filtraciones muestran por primera vez cuántas aplicaciones forman parte de una “cadena de suministro de datos”. La mayoría de los creadores y empresas incluidas en el listado no respondieron a la petición de comentarios. Flightradar24 redactó en un correo electrónico que nunca había oído hablar de Gravy, pero que sí muestra anuncios, de esta forma “la app se mantiene libre”.
Por su parte, Tinder expresó que se toma la seguridad muy en serio: “No tenemos ninguna relación con Gravy Analytics y no tenemos pruebas de que estos datos se obtuvieran de nuestra app“. En el correo recibido, no da respuesta a las preguntas sobre los anuncios dentro de la plataforma. Muslim Pro, una de las aplicaciones de oración musulmana, redactó en un correo que no estaba al tanto de la compañía de analíticas: “Sí mostramos anuncios a través de redes publicitarias para apoyar la versión gratuita, pero no autorizamos la recopilación de datos espaciales de nuestros usuarios”. Esto no significa que un miembro del ecosistema publicitario no pueda extraer esos datos.
Un portavoz de Grindr comentó a 404 Media que nunca han trabajado o proporcionado datos a Gravy Analytics: “No compartimos datos con compiladores o intermediarios de datos y no hemos compartido la geolocalización con socios publicitarios durante muchos años. La transparencia es el núcleo de nuestro programa de privacidad, por lo tanto, los terceros y proveedores de servicios con los que trabajamos se enumeran en nuestro sitio web”. Anteriormente se descubrió que Grindr había permitido a intermediarios de datos obtener los datos de localización de sus usuarios.
Es importante que los datos parezcan obtenerse mediante subastas en tiempo real, porque eso determina quién es responsable: los miembros deshonestos de la industria publicitaria o las gigantes tecnológicas que facilitan esa industria; cómo puede protegerse los usuarios y el hecho de que los editores de aplicaciones masivas pueden incluso no ser conscientes de que se están recopilando los datos y, por tanto, no saber cómo impedirlo. Un desarrollador tiene pleno conocimiento de si implementó un código para compilar información espacial, pero puede que no sepa que alguna empresa, en algún lugar recóndito, está escuchando silenciosamente el proceso de publicidad y desviando datos a su conveniencia.
Un error en el cifrado de datos de Cariad, la empresa de software perteneciente al Grupo Volkswagen, puso en peligro la seguridad de políticos, empresarios y policías.
Gravy no fue la única indiscreta
Las empresas de vigilancia pueden obtener datos RTB adquiriendo empresas de tecnología publicitaria y haciéndose pasar por posibles anunciantes. La empresa de datos de localización dirigida por espías no necesita publicar un anuncio con éxito, es capaz de recopilar datos sobre dispositivos con solo estar conectada a ese sector. En este caso, los datos de localización también pueden incluir la dirección IP de un usuario, que luego se geolocaliza para obtener su ubicación aproximada.
En enero pasado, 404 Media informó sobre una empresa de vigilancia israelí llamada Patternz, que obtenía grandes cantidades de datos de localización a través del proceso RTB. En un video de entrenamiento, la compañía mostró algunas de las apps populares de las que obtenía datos de localización: 9GAG, Kik, la aplicación deportiva FUTBIN, plataformas de identificación de llamadas como CallApp y Truecaller, y varios juegos de palabras, sudokus y solitarios. Todas estas aplicaciones están también en los datos de Gravy. Esto sugiere que Gravy, o cual sea el sitio de donde obtuvo esos datos, también los adquirió de la interacción con el sistema de publicidad y no del código de localización integrado en las apps.
