Geolocalización y privacidad

Geolocalización: ¿a qué precio regalamos nuestra privacidad?

Sébastien Viou, Director de Ciberseguridad y Gestión de Productos de Stormshield

Recientes filtraciones masiva de datos -entre ellos información de localización- de millones de dispositivos, ponen en cuestión los límites éticos y legales del negocio de los datos. España no es ajena a este fenómeno. ¿Estamos preparados para lo que viene?

En un mundo de alta interconexión, cada movimiento deja un rastro. La promesa de servicios personalizados y aplicaciones gratuitas se fundamenta en un intercambio desigual, pues los usuarios proporcionan información, a menudo sin saberlo, y terceros la monetizan sin ejercer control efectivo. En este punto, se nos vienen a la cabeza casos como el de la vulnerabilidad de seguridad en Gravy Analytics, un broker de datos estadounidense especializado en la comercialización de información de localización, que ponen en evidencia una vez más que “lo gratis” no existe.

En este suceso se filtraron millones de datos de smartphones, recopilados de entre más de 12.000 aplicaciones móviles. Las rutas eran tan exactas que permitían la reconstrucción de la movilidad de los ciudadanos afectados, visitas a bases militares, o incluso entradas a lugares de gran sensibilidad como el Kremlin, el Vaticano o la Casa Blanca. Un arsenal de inteligencia a disposición de cualquier individuo con habilidades técnicas y intenciones malintencionadas.

España tampoco escapa

Nuestro país no se ha mantenido al margen de esta realidad. A principios de año, una investigación reveló cómo aplicaciones de juegos, citas y salud estaban transmitiendo ubicaciones detalladas de usuarios españoles a redes publicitarias sin el consentimiento explícito requerido. Estos datos, presuntamente anonimizados, pueden cruzarse fácilmente con información pública o redes sociales, permitiendo la identificación de individuos específicos y la monitorización de sus movimientos diarios.

Además del espionaje o la extorsión, estas filtraciones representan un riesgo tangible para colectivos vulnerables como las víctimas de violencia de género, activistas o periodistas, por citar algunos ejemplos. ¿Qué sucede si la localización de una víctima protegida acaba en manos incorrectas debido a una app instalada sin verificar los permisos pertinentes?

A esto se suman técnicas cada vez más sofisticadas, pero de ejecución sencilla. Con herramientas como Seeker o campañas de suplantación de identidad mediante ingeniería social, basta con un solo clic para que el atacante obtenga coordenadas GPS, velocidad de desplazamiento, altitud y datos del sistema operativo del dispositivo. ¡Esto no es ciencia ficción, sino la realidad de 2025!

¿Legal o ético? Dos niveles de responsabilidad

Desde el punto de vista normativo, muchas de estas prácticas están amparadas por cláusulas ambiguas o poco claras en las condiciones de uso. Aquí nos encontramos con el eterno debate de si “es gratis, el producto eres tú”. El acceso a estos datos de ubicación debe estar autorizado en las condiciones generales de uso del software en el momento de la instalación. Pero lo “legal” no siempre es sinónimo de “justo” ni “transparente”. Por ejemplo, ¿cuántos usuarios saben que al instalar una app de linterna pueden estar compartiendo su geolocalización en tiempo real con empresas en otro continente? Dudo que, en caso afirmativo, muchos estuvieran de acuerdo en compartir sus datos.

A esta falta de concienciación se suma una laxitud técnica preocupante. En el caso de Gravy, todo apunta a que la filtración fue posible por el uso indebido de una clave de acceso a la nube de Amazon. Un error básico que cuestiona seriamente el compromiso de la industria con la seguridad.

La geolocalización es un dato extremadamente sensible. El conocimiento de la ubicación, lugar de residencia, lugar de trabajo o rutas que sigue un usuario puede representar desde una infracción de la intimidad hasta una amenaza para la seguridad nacional. ¿Qué pasa si esa información que se ha filtrado se cruza con nombres de individuos? Representa un peligro real para las personas y sus organizaciones. Y si las fuentes incluyen fuerzas militares, es fácil imaginar las consecuencias catastróficas: no solo para la seguridad nacional, sino también para la estabilidad geopolítica. Y si esta base de datos se hiciera más accesible, las consecuencias podrían incluir también casos aislados contra individuos (guerras de bandas, espionaje, acoso, etc.).

Por tanto, es imperativo que las compañías asuman una doble obligación: cumplir con el RGPD y, adicionalmente, adoptar un enfoque ético proactivo. Además, es imprescindible restringir los permisos de las apps al mínimo requerido, cifrar los datos en tránsito y en reposo, establecer auditorías regulares y mantener la transparencia con los usuarios. Paralelamente, los gobiernos deben aplicar una regulación más rigurosa en relación al comercio de datos de localización y exigir responsabilidades explícitas a las plataformas que los gestionan.

La cuestión ya no radica en si volverá a suceder, sino cuándo y con qué repercusiones. En este innovador tablero de juego digital, cada dato importa. Y cada omisión, también.