Rastreo de ubicación a través de anuncios dentro de apps: todo el mundo sabe dónde estoy

• Se encontró evidencia de que más de 2,000 apps detectadas en App Store y Google Play recopilaron información de ubicación sin consentimiento del usuario
• El autor de este texto compró directamente esa información de ubicación para probar si podía rastrearse a sí mismo
• En conclusión, confirmó que las direcciones IP y los datos de ubicación se filtran por todas partes, y que a través de protocolos publicitarios (por ejemplo, OpenRTB) circula una enorme cantidad de información de usuarios
• Sin embargo, para comprar realmente los datos se requieren costos de decenas a cientos de miles de dólares, y los datos de usuarios europeos son especialmente más caros
• Aun así, volvió a confirmar que es posible comprarlos desde cualquier lugar

Punto de partida

• Restableció de fábrica un iPhone 11 de prueba y lo configuró con un nuevo Apple ID
• Para analizar el tráfico de red, instaló Charles Proxy y certificados SSL para descifrar solicitudes HTTPS
• Como app de ejemplo eligió ejecutar un juego sencillo llamado “Stack”, y enseguida se generaron numerosas solicitudes de publicidad y analítica en intervalos muy cortos

Una gran cantidad de solicitudes

• Apenas un minuto después de ejecutar la app, confirmó una cantidad enorme de solicitudes de red
• Cada solicitud incluía distintos datos, como ubicación, dirección IP, identificador publicitario y detalles del dispositivo
• Al revisarlas una por una, quedó en evidencia que incluso sin consentimiento del usuario se enviaba información sensible a múltiples lugares

Unity [ads]

• Si la app tiene integrado el SDK de Unity Ads, envía a los servidores de Unity varios datos, como la ubicación y la dirección IP
• Se recopilan identificadores como ifv (ID For Vendor), además de ubicación al conectarse por Wi‑Fi (longitud y latitud) y marcas de tiempo
• Como Unity se conecta con empresas DSP como Moloco Ads, esta información también termina llegando a terceros durante el proceso de puja publicitaria

¿Por qué aparece Facebook?

• Aunque no tenía instalada ninguna app relacionada con Meta o Facebook, durante la comunicación de anuncios dentro de la app se enviaban a Facebook la dirección IP y la marca de tiempo
• Si Facebook identifica cuentas que usan la misma IP por otras vías, hay una alta probabilidad de que pueda combinar esa información con el historial de uso de los servicios de Meta por parte del usuario
• Esto no se informa adecuadamente al usuario de antemano y, en la práctica, tampoco existe un proceso real de consentimiento

¿Para qué hace falta el brillo de pantalla?

• Unity Ads solicita información sobre el estado del dispositivo, como brillo de pantalla, estado de batería, capacidad de memoria y si hay unos audífonos conectados
• Existe preocupación de que esta información pueda usarse indebidamente para publicidad personalizada y propuestas de precios dinámicos
• Como en el rumor de que Uber ajusta las tarifas según el estado de la batería, técnicamente esa posibilidad existe

Entendiendo los IDs

• ifv (ID for Vendor) es un identificador asignado por desarrollador de apps
• advertisingTrackingId (IDFA) es un identificador que permite rastrear al mismo usuario a través de varias apps
• Si se configura el rechazo al rastreo, el IDFA se emite con formato “0000…”, pero la IP y muchos otros IDs siguen enviándose, por lo que en la práctica el rastreo por vías alternativas sigue siendo posible

Diferencia según se permita o no el rastreo

• Ya sea que el rastreo publicitario se configure como “permitir” o “rechazar”, la ubicación, la IP y la información del navegador siguen enviándose
• Lo único que deja de exponerse es el IDFA, pero hay suficientes otros elementos de identificación como para distinguir al mismo usuario
• Plataformas como Facebook tienen la capacidad de identificar indirectamente a los usuarios a través de la IP

¿Cómo fluye la información?

• Los datos se transfieren en el orden: app → Unity [ads] → Molocoads → anunciante (como Bwin)
• Un SSP (Supply-Side Platform) como Unity recopila los datos desde el SDK dentro de la app, y un DSP (Demand-Side Platform) como Molocoads realiza la puja publicitaria con base en ellos
• En el proceso de intermediación de datos, además de los anunciantes, muchos brokers pueden obtener información de ubicación y del dispositivo

Brokers de datos

• En mercados como Datarade o Databricks se comercia información de ubicación de usuarios basada en MAID (ID publicitario)
• Empresas como Redmob incluso venden datos de ubicación en tiempo real (actualizados en menos de 5 segundos)
• AGR Marketing Solutions y otras venden datos que vinculan MAID con PII real (información de identificación personal), incluyendo nombre, dirección y número de teléfono

Rastrearse a sí mismo directamente

• Se instala una app para que la información de ubicación se recopile de forma cotidiana
• Los anunciantes o brokers obtienen datos de IP + ubicación + ID publicitario
• Después se compra un dataset de MAID <> PII para combinar la información real de identidad con el propio IDFA o IP
• Como resultado, el propio usuario puede comprar y combinar sus datos de ubicación para rastrearse a sí mismo

Cierre

• El comercio de datos dentro del ecosistema publicitario global puede parecer legal si se mira cada etapa por separado, pero visto en conjunto constituye una grave invasión de la privacidad
• Este problema volvió a ponerse bajo los reflectores recientemente por incidentes de filtración a gran escala como el de Gravy Analytics
• Incluso si se configura el rechazo al rastreo publicitario, no se garantiza una protección completa
• Queda clara la limitación de que para los usuarios es difícil saber a dónde va su información y cómo circula cuando usan una app