Una investigación de Wired ha destapado una alarmante brecha de seguridad en Gravy Analytics, una empresa líder en la industria de datos de ...
Una investigación de Wired ha destapado una alarmante brecha de seguridad en Gravy Analytics, una empresa líder en la industria de datos de localización, que ha puesto en riesgo la privacidad de millones de usuarios al recolectar y vender información de geolocalización proveniente de miles de aplicaciones populares como Candy Crush, Tinder, MyFitnessPal, rastreadores de embarazo, aplicaciones de oración religiosa y varias VPN. Publicado el 18 de julio, el artículo revela que esta recolección masiva ocurre a través del ecosistema publicitario en tiempo real (RTB, por sus siglas en inglés), un sistema que opera sin que ni los usuarios ni, en muchos casos, los desarrolladores de las aplicaciones sean plenamente conscientes de la magnitud de los datos compartidos. La gravedad del caso se agrava al confirmarse que Gravy Analytics ha vendido esta información, incluida a agencias gubernamentales de Estados Unidos, como el Departamento de Defensa y la Oficina de Aduanas y Protección Fronteriza, desatando un debate global sobre la ética de los datos y la vigilancia.
La brecha expuso que Gravy Analytics, con sede en Texas, ha acumulado datos de localización de más de 1,000 aplicaciones a través de su red de socios publicitarios, que incluyen gigantes como Google y Amazon. Estas aplicaciones, descargadas por cientos de millones de usuarios en todo el mundo, envían información detallada sobre los movimientos de los usuarios —como sus hogares, lugares de trabajo, centros médicos y sitios de culto— sin un consentimiento explícito en muchos casos. El sistema RTB permite que los datos se transmitan en fracciones de segundo durante las subastas publicitarias, dejando un rastro digital que Gravy ha explotado para crear perfiles de comportamiento. Wired señala que incluso aplicaciones diseñadas para proteger la privacidad, como ciertas VPN, estaban involucradas, lo que sugiere que las salvaguardas de datos pueden ser insuficientes o manipuladas por terceros.
Entre las aplicaciones afectadas, Candy Crush, con más de 500 millones de descargas, y Tinder, con 75 millones de usuarios mensuales, destacan por su popularidad, pero la lista también incluye herramientas sensibles como Flo Health, un rastreador de ciclos menstruales, y apps de oración como Hallow, que recolectan datos en contextos íntimos. Gravy Analytics defendió su práctica como parte de un "servicio legal de datos agregados" para marketing y seguridad nacional, afirmando que anonimizan la información antes de venderla. Sin embargo, expertos en ciberseguridad citados por Wired sostienen que la reidentificación es posible con técnicas avanzadas, lo que convierte a los usuarios en objetivos potenciales de vigilancia masiva. La venta a agencias gubernamentales, confirmada por documentos filtrados, ha levantado sospechas de uso en programas de inteligencia, incluyendo rastreo de ciudadanos estadounidenses sin autorización judicial.
La reacción pública ha sido inmediata, con usuarios expresando furia en redes sociales bajo hashtags como #DataPrivacyFail y #StopGravy. Organizaciones como la Electronic Frontier Foundation (EFF) han calificado el caso como "una violación sistémica de la privacidad", exigiendo regulaciones más estrictas para el ecosistema publicitario. En Europa, donde el Reglamento General de Protección de Datos (RGPD) es aplicable, la Autoridad de Protección de Datos de Irlanda ha anunciado una investigación preliminar, dado que muchas de las apps tienen sede en Dublín. Los desarrolladores, como King (Candy Crush) y Match Group (Tinder), han emitido declaraciones negando conocimiento directo de la recolección, señalando que dependen de terceros como Gravy, lo que ha intensificado las críticas hacia la falta de control en la cadena de datos.
El impacto podría ser global, afectando a usuarios en España y otros países de la UE, donde la confianza en las apps ya estaba mermada tras escándalos como Cambridge Analytica. Expertos advierten que los datos vendidos podrían haber sido utilizados para perfiles electorales o vigilancia durante eventos como las elecciones de 2024 en EE. UU. Gravy Analytics ha suspendido temporalmente sus operaciones de RTB mientras enfrenta auditorías, pero el daño reputacional y legal parece inevitable, con posibles multas millonarias bajo el RGPD. Este caso pone en jaque la seguridad digital en un mundo hiperconectado, dejando a los usuarios preguntándose cuánta información personal sigue expuesta sin su conocimiento.
.png "Google-Translate-Spanish to English")
.jpg)
COMMENTS