El territorio sin ley de vigilancia global creado por los datos de publicidad móvil
(krebsonsecurity.com)- La demanda bajo Daniel’s Law en New Jersey revela que los datos publicitarios de apps y sitios web se agrupan en servicios comerciales, permitiendo que clientes privados también usen el rastreo de movimientos personales, algo que antes se consideraba vigilancia propia de agencias estatales
- LocateX de Babel Street permite dibujar un polígono alrededor de un lugar específico en un mapa y ver, con varios días de retraso, el historial de movimientos de los dispositivos móviles que entraron o salieron de esa zona; además, puede rastrear dispositivos individuales mediante MAID
- Un investigador contratado por Atlas Data Privacy pudo, con solo una cuenta de prueba gratuita de dos semanas, rastrear la ubicación de objetivos sensibles como policías de New Jersey, posibles jurados de tribunales y visitantes o empleados de clínicas de aborto
- Los datos de ubicación se dispersan a través de permisos de apps, solicitudes de puja publicitaria y redes de pujas en tiempo real; Atlas estima que por 10.000 a 50.000 dólares al año se puede acceder a decenas de miles de millones o cientos de miles de millones de puntos de datos
- Tanto Android como iOS permiten limitar el ID publicitario y los permisos de ubicación, pero si se rastrean dispositivos de familiares o colegas, también puede inferirse la ubicación de personas cercanas
La demanda de Daniel’s Law y Babel Street LocateX
- Atlas Data Privacy Corp., con sede en Delaware, es una empresa que ayuda a eliminar información personal de brokers de datos de consumidores y servicios online de búsqueda de personas
- En 2024, Atlas presentó demandas contra 151 brokers de datos de consumidores en nombre de un grupo de clientes que incluía a más de 20.000 agentes de las fuerzas del orden de New Jersey
- El punto en disputa es si los brokers de datos violaron reiteradamente Daniel’s Law
- Daniel’s Law es una ley de New Jersey que permite a miembros de las fuerzas del orden y del gobierno estatal, jueces y sus familias eliminar por completo su información de brokers de datos comerciales
- La ley fue aprobada en 2020 tras un ataque dirigido contra una jueza federal en el que murió su hijo, Daniel Anderl
- La semana pasada, Atlas presentó una demanda basada en Daniel’s Law contra la empresa tecnológica Babel Street, constituida en Reston, Virginia
- El producto principal de Babel Street permite dibujar un polígono digital alrededor de casi cualquier ubicación en el mapa mundial y luego mostrar un registro por franjas horarias, con varios días de retraso, de los dispositivos móviles que entraron y salieron de esa zona
Cómo rastrea LocateX
- LocateX de Babel Street puede rastrear usuarios móviles individuales mediante el Mobile Advertising ID(MAID), un identificador alfanumérico único integrado en dispositivos Google Android y Apple
- Esta función aprovecha datos de ubicación e información identificatoria recopilados por múltiples sitios web y apps
- Esa información puede enviarse a decenas o cientos de redes publicitarias que intentan mostrar anuncios a un usuario específico
- Un investigador privado contratado por Atlas recibió una oferta de prueba gratuita de Babel Street y, según la empresa, con ella pudo identificar la dirección de la casa y los desplazamientos cotidianos de la familia de un policía de New Jersey que ya había sufrido acoso y amenazas de muerte
- El investigador confirmó que Babel Street integra servicios de búsqueda de personas en su plataforma, lo que facilita a sus clientes acotar la búsqueda de un dispositivo específico
- Aunque un representante de ventas de Babel Street dijo que el servicio solo se ofrece a gobiernos o “contratistas gubernamentales”, Atlas afirma que cuando el investigador dijo que estaba evaluando posibles trabajos futuros con contratos gubernamentales, el representante respondió “con eso basta” y que “en realidad no lo verifican”
Casos que podrían derivar en vigilancia sin orden judicial
- El investigador de Atlas dijo que durante el período de prueba de Babel Street pudo encontrar información de visitantes de lugares de alto riesgo como mezquitas, sinagogas, tribunales y clínicas de aborto
- Un video muestra el proceso de aislar dispositivos móviles ubicados en un estacionamiento reservado para jurados de un tribunal de New Jersey y luego rastrear durante varios días el teléfono de una persona que parecía ser jurado hasta su domicilio
- LocateX permite dibujar un polígono digital alrededor de la casa o el trabajo de un objetivo para filtrar solo los dispositivos que pasan diariamente por esa dirección
- Una de las funciones propias de Babel Street, night mode, facilita identificar con precisión de unos pocos metros dónde permanece una persona cada noche
- Los términos de LocateX indican que el producto no puede usarse como base para ningún proceso legal de ningún país, incluidas órdenes judiciales, citaciones u otras acciones legales o administrativas
- Scott Maloney, policía de Rahway, New Jersey, dijo que para rastrear a alguien en una investigación penal se necesita una orden de un juez, y que le resulta muy inquietante que un broker de datos rastree y venda información de su familia sin consentimiento
El caso del matrimonio Maloney y los datos de ubicación de apps
- Los demandantes de Atlas Scott Maloney y Justyna Maloney son policías de Rahway, NJ, y viven con sus dos hijos
- En abril de 2023, después de que Justyna respondiera a un reporte común sobre un hombre que filmaba a personas afuera de la Motor Vehicle Commission, se difundió un video editado selectivamente y se publicaron online la dirección de la casa del matrimonio y su número telefónico no listado
- La demanda afirma que después recibieron exigencias de dinero, amenazas de muerte diciendo que “pagarían con sangre” y videos de amenazas con armas en los que se decía que les cortarían la cabeza a sus familiares
- Semanas más tarde, un vecino avisó a la policía tras ver a personas sospechosas con pasamontañas estacionadas cerca de la casa, y cámaras de seguridad de viviendas cercanas mostraron a esas personas merodeando alrededor de la casa de los Maloney
- Los policías que respondieron arrestaron a dos hombres armados por posesión ilegal de armas de fuego
- El investigador de Atlas no pudo identificar de forma concluyente el iPhone de Scott en Babel Street, pero dijo que sí encontró el dispositivo de Justyna
- Babel Street tenía casi 100.000 hits relacionados con el teléfono de Justyna durante varios meses, lo que permitió reconstruir sus desplazamientos cotidianos y encuentros con otras personas
- La única app que usaba datos de ubicación en el iPhone de Justyna era la app de la tienda departamental Macy’s
- Macy’s respondió que su app tiene una función opt-in para una experiencia de compra mejorada basada en ubicación, que no almacena la información de ubicación de los clientes y que comparte datos de ubicación con un número limitado de socios, pero que no tiene relación con Babel Street
- Aunque el dispositivo de una persona específica no se identifique directamente, si se identifica el dispositivo de un familiar, también puede inferirse fácilmente la ubicación de otras personas
Datos de pujas publicitarias y el ecosistema MAID
- MAID fue diseñado originalmente como un identificador único para distinguir clientes móviles sin información personal identificable como números de teléfono o correos electrónicos
- Hoy existe una industria de empresas de marketing y publicidad que crea grandes listas “enriquecidas” con MAID, información histórica y datos personales
- El investigador de Atlas verificó si podía encontrar registros MAID enriquecidos de clientes de fuerzas del orden de New Jersey, y dijo que encontró varios brokers de datos publicitarios dispuestos a venderlos
- Algunos vendedores solo ofrecían campos limitados, como nombre, MAID y dirección de correo electrónico
- Otros brokers vendían registros más detallados, incluidos perfiles de redes sociales, coordenadas GPS precisas y categorías de consumidores inferidas
- Las fuentes de datos MAID pueden incluir apps como AccuWeather, GasBuddy, Grindr y MyFitnessPal, que pueden recopilar MAID y ubicación para venderlos a brokers
- Solo visitar desde un smartphone una página web con anuncios puede hacer que se compartan el perfil MAID y los datos de ubicación
- Durante los milisegundos previos a que cargue un anuncio, el sitio web envía una bid request a un exchange publicitario, que puede incluir la ubicación exacta del usuario
- El estándar público actual está documentado en OpenRTB
- El riesgo central es que los datos de bidstream se envían simultáneamente en texto plano a cientos de actores de todo el mundo, lo que en la práctica los deja al alcance de casi cualquiera
Dataset alemán y estudio sobre visitantes de la SEC
- El medio alemán netzpolitik.org compró a comienzos de 2024 un dataset de bidstream con más de 3.600 millones de puntos de datos y lo compartió con BR24
- Ambos medios concluyeron que, incluso solo con datos obtenidos mediante una prueba gratuita, podían construir perfiles de movimiento de millones de personas en toda Alemania
- Un estudio cubierto por Politico mostró que investigadores de universidades de New Hampshire, Kentucky y St. Louis usaron datos de publicidad móvil para vincular visitas de investigadores de la SEC con ventas de acciones de insiders antes de que se hicieran públicas las investigaciones
- Esos investigadores dijeron que no rastrearon del mismo modo a reguladores de otras agencias, pero que en la práctica cualquiera podría hacerlo
- Justin Sherman, del Georgetown Law Center for Privacy and Technology, evaluó que el caso muestra las consecuencias de permitir que empresas recolecten libremente datos de ubicación de estadounidenses y los vendan al precio que quieran
Preocupaciones sobre rastreo de ubicación relacionado con el aborto
- La decisión Dobbs de la Corte Suprema de EE. UU. en 2022 eliminó el derecho federal al aborto, y desde entonces 14 estados aplican prohibiciones estrictas del aborto
- En mayo de 2023, The Wall Street Journal informó que una organización antiaborto de Wisconsin usó datos de ubicación precisos para enviar anuncios a mujeres sospechadas de estar buscando abortos
- Actualmente hay muy pocos mecanismos que impidan a grupos antiaborto comprar datos de bidstream o alquilar acceso a plataformas como Babel Street para geocercar clínicas de aborto y revelar dispositivos móviles que entran y salen de esos lugares
- El investigador de Atlas dijo que pudo geocercar una clínica de aborto, identificar a una persona que parecía ser empleada y seguir su domicilio y su ruta diaria de ida y vuelta al trabajo
- También dijo que con Babel Street identificó y rastreó a una persona que viajó desde su casa en Alabama hasta una clínica en Tallahassee, Florida, donde el aborto es legal, y regresó unas horas después
- Eva Galperin, de la EFF, dijo estar extremadamente preocupada por la vigilancia masiva dirigida a personas que cruzan fronteras estatales para abortar
Diferencias entre Android y iPhone
- Atlas estima que, por lo general, con 10.000 a 50.000 dólares al año los brokers pueden ofrecer acceso a decenas de miles de millones de puntos de datos que cubren poblaciones de Estados Unidos y muchas regiones del mundo
- El dataset obtenido por Atlas incluía muchos registros MAID antiguos y, con base en ellos, la empresa estima que puede ubicarse aproximadamente el 80% de los dispositivos Android y cerca del 25% de los teléfonos Apple
- Google llama al MAID Android Advertising ID(AAID), mientras que Apple lo llama Identifier for Advertisers(IDFA)
- En abril de 2021, Apple introdujo App Tracking Transparency(ATT) en iOS 14.5, que exige que las apps obtengan consentimiento explícito antes de rastrear usuarios mediante IDFA u otros identificadores
- La llegada de ATT tuvo un gran impacto en el mercado publicitario, y Facebook dijo que esta función de privacidad del iPhone reduciría sus ingresos de 2022 en alrededor de 10.000 millones de dólares
- El Departamento de Justicia de EE. UU. estima que el exchange publicitario AdX de Google controla el 47% del mercado estadounidense y el 56% del mercado global
- Android representa más del 72% del mercado mundial de sistemas operativos móviles, mientras que en Estados Unidos los usuarios de iPhone rondan el 55%
Postura de Google y Apple
- Google afirmó que no envía solicitudes de puja en tiempo real a Babel Street y que no comparte datos de ubicación precisos en las solicitudes de puja
- Según sus políticas, prohíbe expresamente la venta de datos de pujas en tiempo real o su uso para fines distintos a la publicidad
- Google explicó que el MAID se genera aleatoriamente, no incluye direcciones IP, coordenadas GPS ni otros datos de ubicación, y que su sistema publicitario no comparte datos de ubicación exactos de nadie
- Android ofrece controles para gestionar el acceso de las apps a la ubicación del dispositivo y para restablecer o eliminar el ID publicitario
- Apple afirmó que Location Services no viene activado por defecto en el dispositivo, y que el usuario debe activar los servicios de ubicación y otorgar permisos a cada app o sitio web para que se usen datos de ubicación
- Los usuarios de Apple pueden desactivar los servicios de ubicación en cualquier momento y también cambiar los permisos de acceso a la ubicación por app
- Las opciones incluyen ubicación precisa, ubicación aproximada y acceso único a la ubicación
- Zach Edwards, de SilentPush, dijo que mientras Apple y Google no desactiven de forma permanente el sistema de IDs publicitarios móviles y reconozcan que esta tecnología sostuvo el ecosistema global de brokers de datos, los riesgos de privacidad seguirán existiendo
Respuestas legales a nivel estatal y cuestiones constitucionales
- Según Bloomberg Law, entre 2019 y 2023 las amenazas contra jueces federales se duplicaron con creces
- A medida que crecen la retórica política hostil y las teorías conspirativas contra funcionarios públicos, varios estados impulsan leyes similares a Daniel’s Law
- Un policía retirado de West Virginia presentó una demanda colectiva contra el servicio de búsqueda de personas Whitepages por presunta violación de una ley estatal similar a Daniel’s Law aprobada en 2021
- Maryland aprobó en mayo de 2024 la Judge Andrew F. Wilkinson Judicial Security Act
- La ley lleva el nombre de Andrew F. Wilkinson, juez de un tribunal de circuito de condado asesinado
- Permite a miembros actuales y anteriores del poder judicial de Maryland solicitar que no se divulgue su información personal
- La información personal puede incluir domicilio, número de teléfono, correo electrónico, Social Security number o ID fiscal federal, números de cuentas bancarias y tarjetas, identificadores de vehículos, registros de nacimiento y matrimonio, nombres de hijos, escuelas y guarderías, lugares de culto, y lugares de trabajo de cónyuges, hijos y dependientes
- Troutman Pepper escribió que en 2024, 37 estados estaban considerando o habían adoptado leyes de privacidad similares para proteger a miembros del poder judicial y, en algunos estados, a funcionarios gubernamentales relacionados con las fuerzas del orden
- Atlas afirma que LexisNexis, en respuesta a solicitudes para eliminar datos de clientes de fuerzas del orden de New Jersey, congeló el crédito de unas 18.500 personas y las reportó falsamente como víctimas de robo de identidad
- La industria de brokers de datos trasladó al menos 70 casos de las demandas de Atlas a tribunales federales y sostiene que la ley de New Jersey es demasiado amplia y viola la Primera Enmienda
- Se espera que el juez a cargo del caso resuelva las solicitudes de desestimación en las próximas semanas; independientemente del resultado, es muy probable que la decisión sea apelada hasta la Corte Suprema de EE. UU.
- Expertos en derecho de medios temen que, si Daniel’s Law se adopta en otros estados, limite la capacidad de la prensa para fiscalizar a funcionarios públicos y pueda someter a sanciones penales a medios que informen sobre registros públicos y gubernamentales que alimentan la industria de búsqueda de personas
Ausencia del Congreso y regulación de brokers de datos
- El senador Ron Wyden dijo que la actual crisis de privacidad surgió porque el Congreso no logró regular a los brokers de datos y porque el Poder Ejecutivo sigue oponiéndose a legislación bipartidista que limitaría la venta de datos a agencias de aplicación de la ley
- Wyden advirtió que los datos de ubicación pueden usarse para identificar y exponer a estadounidenses LGBT, o para rastrear a personas que cruzan fronteras estatales para recibir atención de salud reproductiva
- Wyden también criticó que los brokers de datos vendan los secretos más íntimos de los estadounidenses por unos pocos dólares y los expongan a daños graves
- Wyden considera que Google también tiene responsabilidad por no haber eliminado, como hizo Apple, la capacidad de las empresas para rastrear teléfonos
- Justin Sherman dijo que los brokers de datos y la industria de publicidad móvil hablan de anonimización, restricciones de acceso y límites de las inferencias posibles con datos de ubicación, pero que en la práctica pueden inferirse víctimas de abuso, estados de salud, creencias religiosas, jurados, agentes de la ley que visitan casas de sospechosos, personal de inteligencia y sus contactos
Cambios de configuración que pueden hacer los usuarios
- Expertos en privacidad consideran que desactivar o eliminar el MAID del dispositivo no afecta el funcionamiento del teléfono y puede reducir considerablemente la publicidad dirigida en ese dispositivo
- En Android, desde la app Settings se puede ir a Location > App Permissions para ver qué apps tienen permisos de ubicación
- “Allowed all the time” es el permiso más amplio
- Luego vienen “Allowed only while in use”, “Ask every time” y “Not allowed”
- Los usuarios de Android pueden ir a Settings > Privacy > Ads y tocar Delete advertising ID para eliminar de forma permanente el ID publicitario
- Según la EFF, esto impide que cualquier app del teléfono acceda al ID publicitario en el futuro
- En iOS, por defecto, las apps deben pedir permiso antes de acceder al IDFA del dispositivo
- Al instalar una app nueva, si aparece el mensaje solicitando permiso de rastreo, se puede elegir “Ask App Not to Track”
- Si se desactiva el interruptor “Allow apps to request to track”, las apps no podrán solicitar rastreo
- El propio sistema de publicidad dirigida de Apple es independiente del rastreo de terceros basado en IDFA
- Hay que desactivar Personalized Ads en Settings > Privacy > Apple Advertising
- Quienes hacen de soporte técnico básico para familiares o amigos deberían desactivar el rastreo también en los dispositivos de las personas cercanas y deshabilitar apps que mantengan el uso compartido de ubicación activo las 24 horas
- Aunque un dispositivo propio no sea rastreado directamente mediante datos publicitarios, si se rastrea el dispositivo de alguien cercano, también puede inferirse la propia ubicación
1 comentarios
Opiniones de Hacker News
Se puede debatir si la policía debería poder acceder a estos datos, y qué regulaciones deberían existir sobre la forma y los motivos de acceso.
No hay una única respuesta correcta, porque las expectativas culturales sobre privacidad y seguridad varían, pero no se puede decir que esté bien el estado actual de cero regulación.
Que cualquiera pueda pagar y recopilar datos de ubicación de altísima resolución de otras personas es realmente absurdo.
La promocionaban como una forma de encontrar a alguien para ir contigo cuando conseguías boletos gratis para un partido de béisbol en el centro, pero fracasó por completo porque a la gente le daba miedo que el dispositivo supiera su ubicación.
Nextel también lanzó una app empresarial de rastreo para empresas de reparto, que permitía monitorear la ubicación de los vehículos y los tiempos de parada; una empresa canceló la implementación por la resistencia de los empleados, y en otra, después de instalarla, los empleados presentaron demandas por invasión a la privacidad y la retiraron en cuestión de meses.
Antes no queríamos este tipo de cosas, así que se siente raro que ahora hayamos pasado a entregarle sin más toda nuestra información personal a empresas privadas.
La primera vez que me encontré con el concepto de que los datos del celular se venden a terceros fue cuando fui a República Checa en 2003.
Apenas crucé la frontera desde Austria, empezaron a llegar SMS de spam a mi teléfono estadounidense: primero un mensaje de bienvenida del operador local, unos minutos después información de roaming de T-Mobile, y luego anuncios de hoteles, restaurantes y casinos.
Si eso ya pasaba antes de los “smartphones”, no sorprende que ahora sea mucho peor.
No hubo más spam, pero fue la primera vez que pensé que el problema técnico de recibir señales de varios países cerca de una frontera debía de ser un desafío bastante “interesante”.
El modo “nocturno” de Babel Street facilita averiguar, con precisión de unos pocos metros, dónde suele dormir una persona todas las noches.
Hay muy pocas razones por las que alguien, especialmente una agencia de aplicación de la ley, necesite esta función de estimación de ubicación nocturna, y las razones que se me ocurren se sienten bastante oscuras.
Porque si saben que el sospechoso está dormido, la probabilidad de que la policía reciba disparos disminuye mucho.
Sin embargo, esta información no está directamente relacionada con probar el caso; solo es relevante tácticamente, no estratégicamente.
Por eso me pregunto si se necesita algún mecanismo más allá de la Cuarta Enmienda.
Viéndolo de forma ingenua, si es información que no puede usarse como prueba para demostrar el caso, entonces las fuerzas del orden no deberían poder acceder a ella, y probablemente nadie debería hacerlo.
Basta con usar y configurar Pi-Hole.
Configuración de Pi-Hole: https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
Video para quienes prefieren YouTube: https://www.youtube.com/watch?v=eCA24qJBG8Q
Incluso usando una VPN así, las interfaces de red celular de Android e iOS siguen manteniendo rutas alternativas integradas.
Si además sumas Pi-Hole, la configuración de la LAN y DoH, se vuelve más complejo.
Como dicen Krebs y las personas que cita, ya es hora de que Apple y Google eliminen por completo el MAID.
Aun así, no downvoteen el comentario padre; hay que usar bloqueadores de anuncios confiables en todos los lugares posibles.
Hablé con alguien que trabajó en publicidad de Google, y afirmó rotundamente que ahí no se usa este tipo de rastreo.
Pero incluso dentro de empresas así, supongo que intentarán ocultar el nivel de rastreo que realizan.
Para frenarlo, hay que hacer que las empresas sean responsables por lo que ocurra debido a los datos que recopilaron.
Ya sea que se hayan vendido, robado o transferido, si los datos que una empresa recopiló se usan de forma indebida, esa empresa recolectora debería pagar el costo.
A las grandes empresas y a las organizaciones gubernamentales les encantan los datos.
Industrias como la tecnológica y la financiera, y la forma de gobierno planificada para el futuro, es decir, la tecnocracia, también se construyen sobre ellos.
Al final, la recopilación de datos ya forma parte del plan; lo único que queda es si el individuo puede enterarse de ello.
Cuando uno ve en varios escándalos cuánta gente lo sabía desde el principio, y con qué frecuencia los abusos y delitos se encubren o se aprovechan en vez de denunciarse u oponerse, la maldad parece de lo más común.
“Lo único necesario para que el mal triunfe es que las personas buenas no hagan nada”.
Al final, una empresa es un grupo de personas, así que quizá hagan falta incentivos más fuertes para que la gente no deje que la “empresa” haga cosas antisociales.
Al menos debería ser así para los ejecutivos.
Puede que sea la empresa la que lo oculta, o puede que las personas se mientan a sí mismas.
Son lo bastante inteligentes como para darse cuenta, pero a partir de cierto punto eso se convierte en ignorancia deliberada.
Con el tiempo, creo que será cada vez más claro que la única solución es criminalizar la mera posesión de estos datos y crear un procedimiento para reclamar daños legales cuando se descubran.
Existe el precedente de la industria discográfica, donde compartir música con copyright conlleva daños automáticos sin calcular el perjuicio real.
Ese procedimiento ya tiene mecanismos razonables para distinguir entre uso intencional y uso accidental.
Entonces surgirá una industria que busque pruebas bajo un esquema de honorarios de éxito.
Era Xoogler (2011~2018)
En algún momento propuse una idea para facilitar que el usuario le “mintiera” a una app, por ejemplo dándole datos de ubicación falsos cuando la app pidiera la ubicación.
Eso habría permitido preservar una verdadera opción del cliente respecto del anonimato.
La reacción a esa idea me enseñó mucho sobre los incentivos.
Si no estás atado por algo como un NDA, ojalá lo cuentes.
La publicidad, al final, es un virus que infecta todos los ecosistemas.
Porque ayuda a las empresas pequeñas a competir con grandes corporaciones conocidas.
Pero nadie necesita semejante cantidad de datos.
Lo que los anunciantes necesitan es algo como mostrar anuncios de zapatos cuando un usuario busca zapatos en Google.
Esa publicidad contextual es buena publicidad y a veces también es útil para el usuario.
Que la publicidad en la web y las apps se use con fines maliciosos es parecido a que el efectivo, o casi cualquier cosa, también pueda usarse con fines maliciosos.
La regulación es un intento de reducir esos daños, pero al final no es más que un mecanismo para lidiar indirectamente con la malicia humana.
Si llamáramos a este nivel demente de rastreo minucioso por sus consecuencias reales, sería acoso y debería ser un delito.
Si el espíritu de la época moderna está dominado por una brecha de falta de escrúpulos, entonces los datos personales de quienes trabajan en la industria de la “publicidad” y el rastreo, y lo que ellos espiaron con tecnologías de vigilancia, también deberían estar en una base de datos pública.
Si Google Glass tiene un gran uso posible, podría ser vigilar a los vigilantes.
Me da curiosidad cómo funciona esto en iOS después de que Apple eliminó el IDFA.
El ID de publicidad de una app específica (MAID) parece relevante solo para esa app, así que no parece servir para perfilar, y tampoco sé bien cómo podría una app acceder a otros identificadores en iOS.
La dirección MAC de Wi‑Fi también está aleatorizada.
Si además se desactivó el acceso de las apps a la ubicación y también el ID de publicidad global, las búsquedas descritas en el artículo parecen difíciles.
¿El “25% de los teléfonos Apple” que aparece en el artículo se refiere a dispositivos heredados que usan versiones antiguas de iOS previas a la eliminación del IDFA?
Este informe, más bien, parece respaldar lo que Apple ha venido afirmando sobre el efecto de esa decisión.