Cuando instalamos una app en el móvil, solemos aceptar permisos sin prestar demasiada atención. Pero incluso si denegamos el acceso al GPS, muchas aplicaciones siguen sabiendo dónde estamos. ¿Cómo? Utilizan sensores inalámbricos —como el escaneo de redes WiFi o dispositivos Bluetooth cercanos— para deducir nuestra ubicación con una precisión sorprendente. Y lo hacen de forma constante, silenciosa y legal... o casi.
Un estudio dirigido por investigadores de IMDEA Networks y la Universidad Carlos III de Madrid ha desvelado por primera vez el alcance real de esta práctica. Analizando casi 10.000 aplicaciones de Android, descubrieron que más del 85% de las que integran ciertos kits de desarrollo de software (los llamados SDK) recopilan datos sensibles sin que el usuario sea consciente: desde coordenadas geográficas hasta direcciones MAC, correos electrónicos y datos de redes WiFi o Bluetooth.
Tecnología útil… pero peligrosa
La tecnología Bluetooth Low Energy (BLE) y los escaneos de redes WiFi tienen múltiples usos legítimos: conectar auriculares, encontrar dispositivos perdidos o mejorar la experiencia en grandes superficies. Pero también son herramientas poderosas para rastrear movimientos y crear perfiles de comportamiento.
Los SDK, que son fragmentos de código creados por empresas externas que los desarrolladores integran en sus apps, a menudo combinan funciones de analítica, publicidad y geolocalización. El estudio identificó 52 SDKs con estas capacidades, que están presentes en más de 9.900 apps, muchas de ellas con miles de millones de descargas acumuladas.
Algunas de estas herramientas, como AltBeacon, Kochava o Adobe Experience Platform, no sólo permiten detectar señales inalámbricas en tiempo real, sino que también vinculan esos datos con identificadores personales como el AAID (el identificador publicitario de Android) o incluso direcciones de correo electrónico, permitiendo un rastreo persistente del usuario.
El puente invisible entre tus datos
Uno de los hallazgos más preocupantes del informe es el fenómeno conocido como “ID bridging”, o puenteo de identificadores. Esto ocurre cuando un SDK enlaza datos de identificadores persistentes (como la dirección MAC del dispositivo) con identificadores que en teoría deberían poder restablecerse (como el AAID).
Este cruce de información permite reconstruir perfiles individuales aunque el usuario intente proteger su privacidad reseteando sus identificadores. Según el estudio, al menos el 19% de los SDKs analizados usan esta técnica, contraviniendo las políticas de Google Play, que prohíben expresamente esta práctica sin una divulgación clara y transparente.
Vulnerabilidades, lagunas legales y falta de control
A pesar de que Android ha ido endureciendo su sistema de permisos con cada versión, muchas aplicaciones aprovechan lagunas del sistema o versiones antiguas del sistema operativo para saltarse las restricciones. El problema es que más del 40% de los dispositivos Android siguen usando versiones antiguas, lo que deja abierta la puerta a estos abusos.
Además, el sistema de permisos actual no distingue entre lo que solicita la app en sí y lo que solicitan los SDKs de terceros que contiene. Es decir, el usuario puede autorizar un permiso creyendo que lo usará una función visible de la app, sin saber que también lo está otorgando a una empresa externa con fines publicitarios o analíticos.
También se detectaron aplicaciones que no explicaban por qué solicitaban acceso a la ubicación, incumpliendo el protocolo recomendado por Android. Esto refuerza la idea de que, aunque técnicamente se pidan permisos, en la práctica se oculta al usuario el verdadero uso de su información.
¿Y la ley?
Aunque la normativa europea, especialmente el Reglamento General de Protección de Datos (RGPD), establece obligaciones claras sobre el consentimiento informado y el uso de datos personales, los SDKs de escaneo inalámbrico se mueven en un terreno gris. Al estar embebidos en aplicaciones de terceros, muchas veces no está claro qué empresa está recogiendo qué datos y para qué fines.
Los autores del estudio ya han compartido sus hallazgos con entidades como la Agencia Española de Protección de Datos (AEPD) o la Comisión Nacional de Informática y Libertades de Francia (CNIL). También han contactado con Google, como responsable de la plataforma Android, para exigir medidas más estrictas de control, transparencia y sanción.
Un ecosistema de vigilancia privatizada
El estudio no sólo se centró en detectar los SDKs, sino también en analizar cómo interactúan entre sí. En muchos casos, diferentes SDKs dentro de la misma app comparten datos entre ellos. Por ejemplo, se descubrió que SDKs como AltBeacon y Gimbal proporcionan interfaces para que otros SDKs accedan a sus datos de escaneo BLE y WiFi.
Esta red de interacciones invisibles permite a los operadores crear bases de datos masivas sobre los movimientos de millones de personas. En algunos casos, estos datos terminan en manos de terceros sin ninguna supervisión pública. Como se ha documentado anteriormente, empresas como X-Mode han vendido datos de geolocalización a agencias gubernamentales, incluyendo movimientos de personal militar o visitas a clínicas de aborto.
¿Qué podemos hacer?
La investigación propone varias medidas para mitigar estos riesgos:
- Aislamiento de SDKs: Android debería implementar un sistema de “cajas de arena” (sandboxing) para que los SDKs no puedan acceder a datos fuera de su función específica.
- Transparencia obligatoria: Las apps deberían declarar con claridad qué SDKs utilizan y qué datos recopilan, de forma comprensible para cualquier usuario.
- Auditorías independientes: Se deberían realizar análisis regulares y externos para detectar apps que incumplen las normas.
- Revisión de permisos: Mejorar el diseño del sistema de permisos para que el usuario pueda autorizar o denegar permisos a SDKs concretos, no solo a la app.
¿Cómo protegerte?
Aunque no existe una solución definitiva, los usuarios pueden tomar algunas precauciones:
- Revisar cuidadosamente los permisos que conceden a cada app.
- No aceptar permisos de localización si no son necesarios para el funcionamiento básico.
- Usar apps que prioricen la privacidad o versiones alternativas (como F-Droid).
- Reiniciar regularmente el ID de publicidad de Android y evitar iniciar sesión con cuentas personales en apps poco conocidas.
Un problema invisible, pero real
Este estudio pone sobre la mesa una realidad que afecta a millones de personas cada día sin saberlo. Tu móvil puede estar convirtiéndose en una antena de rastreo sin que lo sepas. Y aunque las plataformas y los gobiernos tengan la capacidad de protegerte, la realidad es que hoy por hoy, muchas apps siguen extrayendo datos sin control y sin rendir cuentas.
En un mundo donde el “dato” se ha convertido en la moneda de cambio más valiosa, proteger nuestra privacidad no es solo un derecho, sino una necesidad urgente.