{"id":28053,"date":"2025-04-23T17:28:35","date_gmt":"2025-04-23T23:28:35","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28053"},"modified":"2025-04-23T17:28:35","modified_gmt":"2025-04-23T23:28:35","slug":"geolocation-data-broker-leak","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/geolocation-data-broker-leak\/28053\/","title":{"rendered":"Agentes de datos de geolocalizaci\u00f3n: qu\u00e9 hacen y qu\u00e9 sucede cuando se filtran"},"content":{"rendered":"

Nuestros tel\u00e9fonos inteligentes y otros dispositivos recopilan y transmiten cantidades masivas de datos sobre nosotros a docenas, tal vez cientos, de empresas de terceros todos los d\u00edas. Esto incluye nuestra informaci\u00f3n de localizaci\u00f3n, y el mercado para esa informaci\u00f3n es enorme. Por supuesto, la compra y la venta se realizan sin nuestro conocimiento, lo que crea riesgos tenebrosos para nuestra privacidad.<\/p>\n

El ataque<\/a> reciente al agente de datos de localizaci\u00f3n Gravy Analytics ilustra claramente los peligros potenciales de estas pr\u00e1cticas. En este art\u00edculo, se analiza c\u00f3mo operan los agentes de datos y qu\u00e9 puede ocurrir si se filtra la informaci\u00f3n que recopilan. Tambi\u00e9n proporcionamos consejos sobre lo que puedes hacer para proteger tus datos de localizaci\u00f3n.<\/p>\n

Qu\u00e9 son los agentes de datos de localizaci\u00f3n<\/h2>\n

Los agentes de datos son empresas que recopilan, procesan y venden informaci\u00f3n sobre los usuarios. Obtienen esta informaci\u00f3n de aplicaciones m\u00f3viles, redes de publicidad en l\u00ednea, sistemas de an\u00e1lisis en l\u00ednea, operadores de telecomunicaciones y muchas otras fuentes, desde dispositivos inteligentes para el hogar hasta autom\u00f3viles<\/a>.<\/p>\n

En teor\u00eda, estos datos solo se recopilan para an\u00e1lisis y publicidad dirigida. Sin embargo, en la pr\u00e1ctica, no suelen existir restricciones de uso y, aparentemente, cualquiera puede comprarlos. Por lo tanto, en el mundo real, tus datos pueden utilizarse con casi cualquier finalidad. Por ejemplo, una investigaci\u00f3n realizada el a\u00f1o pasado revel\u00f3 que los agentes de datos comerciales, directamente o a trav\u00e9s de intermediarios, pueden incluso prestar servicios a agencias de inteligencia gubernamentales<\/a>.<\/p>\n

Los agentes de datos recopilan todo tipo de informaci\u00f3n del usuario, y una de las categor\u00edas m\u00e1s importantes y confidenciales son los datos de localizaci\u00f3n. De hecho, hay tanta demanda que, adem\u00e1s de los agentes de datos m\u00e1s generalistas, existen empresas que se dedican espec\u00edficamente a esto.<\/p>\n

Se trata de los agentes de datos de localizaci\u00f3n: organizaciones que se especializan en recopilar y vender informaci\u00f3n sobre la ubicaci\u00f3n del usuario. Uno de los principales actores en este segmento es la empresa estadounidense de localizaci\u00f3n Gravy Analytics, que se fusion\u00f3<\/a> con la noruega Unacast en 2023.<\/p>\n

La filtraci\u00f3n de datos de Gravy Analytics<\/h2>\n

En enero de 2025, se conoci\u00f3 la noticia de una filtraci\u00f3n de datos en Gravy Analytics. Al principio se limit\u00f3 a informes no oficiales<\/a> basados en una publicaci\u00f3n que apareci\u00f3 en un foro privado de piratas inform\u00e1ticos en ruso. El autor afirm\u00f3 haber atacado a Gravy Analytics y haber robado los datos de localizaci\u00f3n de millones de usuarios, lo cual prob\u00f3 con capturas de pantalla del bot\u00edn de datos.<\/p>\n

No pas\u00f3 mucho tiempo hasta que lleg\u00f3 la confirmaci\u00f3n oficial<\/a>. Seg\u00fan la legislaci\u00f3n noruega, la empresa matriz de Gravy Analytics, Unacast, estaba legalmente obligada a notificar a la agencia de regulaci\u00f3n nacional.<\/p>\n

El comunicado<\/a> de la empresa inform\u00f3 que el 4 de enero, una persona no autorizada accedi\u00f3 al entorno de almacenamiento en la nube AWS de Gravy Analytics \u201ca trav\u00e9s de una clave de acceso malversada\u201d. El intruso \u201cobtuvo ciertos archivos que podr\u00edan contener datos personales\u201d.<\/p>\n

An\u00e1lisis de los datos que se filtraron en Gravy Analytics<\/h2>\n

Unacast y Gravy Analytics no se apresuraron a especificar qu\u00e9 datos podr\u00edan haberse visto vulnerados. Sin embargo, a los pocos d\u00edas, un investigador de seguridad independiente public\u00f3 su propio an\u00e1lisis<\/a> detallado de la informaci\u00f3n filtrada bas\u00e1ndose en una muestra de los datos robados que hab\u00eda podido obtener.<\/p>\n

\"Se<\/a>

La filtraci\u00f3n de Gravy Analytics incluye datos de localizaci\u00f3n de usuarios de todo el mundo.Fuente<\/a><\/p><\/div>\n

Result\u00f3 que el ataque a Gravy Analytics filtr\u00f3 un gigantesco conjunto de datos de localizaci\u00f3n de usuarios de todo el mundo, desde Rusia hasta Estados Unidos. El fragmento analizado por el investigador ten\u00eda un tama\u00f1o de 1,4\u00a0GB y estaba compuesto por alrededor de 30\u00a0millones de registros, en su mayor\u00eda recopilados en los primeros d\u00edas de enero de 2025. Seg\u00fan el pirata inform\u00e1tico, la base de datos robada era de 10\u00a0TB, lo que significa que podr\u00eda contener m\u00e1s de 200\u00a0000 millones de registros.<\/p>\n

Las aplicaciones m\u00f3viles recopilaban estos datos, que Gravy Analytics adquir\u00eda para agregarlos y venderlos posteriormente a sus clientes. Como se mostr\u00f3 en el an\u00e1lisis de la filtraci\u00f3n, la lista de aplicaciones utilizadas para recopilar datos de localizaci\u00f3n asciende a miles. Por ejemplo, la muestra estudiada conten\u00eda datos recopilados de 3455\u00a0aplicaciones de Android<\/a>, incluidas aplicaciones de citas.<\/p>\n

\"Ubicaci\u00f3n<\/a>

Los datos de localizaci\u00f3n de los usuarios brit\u00e1nicos de Tinder son un ejemplo de lo que se puede encontrar en los datos filtrados de Gravy Analytics. Fuente<\/a><\/p><\/div>\n

Seguimiento y desanonimizaci\u00f3n de usuarios con los datos filtrados de Gravy Analytics<\/h2>\n

Lo m\u00e1s desagradable del ataque a Gravy Analytics es que la base de datos filtrada est\u00e1 vinculada a identificadores de publicidad: IDFA para iOS y AAID para dispositivos Android<\/a>. En muchos casos, esto permite rastrear los movimientos de los usuarios a lo largo del tiempo. A continuaci\u00f3n, por ejemplo, se muestra un mapa de este tipo de movimientos en las inmediaciones de la Casa Blanca en Washington, D.\u00a0C. (hay que recordar que esta visualizaci\u00f3n utiliza solo una peque\u00f1a muestra de los datos robados; la base de datos completa contiene muchos m\u00e1s):<\/p>\n

\"Seguimiento<\/a>

Los datos filtrados de Gravy Analytics vinculados a los identificadores de publicidad se pueden usar para rastrear los movimientos de los usuarios a lo largo del tiempo.Fuente<\/a><\/p><\/div>\n

Peor a\u00fan, algunos datos pueden desanonimizarse. Por ejemplo, el investigador pudo rastrear los movimientos de un usuario que visit\u00f3 la plataforma de lanzamiento de Blue Origin:<\/p>\n

\"Primer<\/a>

Un ejemplo de desanonimizaci\u00f3n de datos de usuarios utilizando los datos de localizaci\u00f3n filtrados de Gravy Analytics. Fuente<\/a><\/p><\/div>\n

Otro ejemplo: el investigador pudo rastrear los movimientos de un usuario desde el monumento en Columbus Circle, ubicado en Manhattan, ciudad de Nueva York, hasta su casa en Tennessee, y luego a la casa de sus padres al d\u00eda siguiente. Bas\u00e1ndose \u00fanicamente en datos de inteligencia de c\u00f3digo abierto (OSINT, Open Source Intelligence), el investigador obtuvo mucha informaci\u00f3n sobre esta persona, incluido el nombre de su madre y el hecho de que su difunto padre fue un veterano de la Fuerza A\u00e9rea de los Estados Unidos.<\/p>\n

\"Segundo<\/a>

Otro ejemplo de desanonimizaci\u00f3n de datos de usuarios utilizando los datos de localizaci\u00f3n filtrados de Gravy Analytics. Fuente<\/a><\/p><\/div>\n

La filtraci\u00f3n de datos de Gravy Analytics demuestra los grandes riesgos asociados a la industria de los agentes de datos, y a la de datos de localizaci\u00f3n en particular. Como resultado del ataque, un enorme volumen de registros de localizaci\u00f3n de usuarios recopilados por aplicaciones m\u00f3viles se convirti\u00f3 en dominio p\u00fablico.<\/p>\n

Estos datos permiten rastrear los movimientos de una gran cantidad de personas con bastante exactitud. Aunque la base de datos filtrada no contiene identificadores personales directos como nombres y apellidos, n\u00fameros de identificaci\u00f3n, direcciones o n\u00fameros de tel\u00e9fono, la vinculaci\u00f3n con identificadores de publicidad puede, en muchos casos, conducir a la desanonimizaci\u00f3n. As\u00ed, a partir de varios cuasidentificadores, es posible establecer la identidad de un usuario, averiguar d\u00f3nde vive y trabaja, as\u00ed como rastrear sus conexiones sociales.<\/p>\n

\u00bfC\u00f3mo proteger tus datos de localizaci\u00f3n?<\/h2>\n

Lamentablemente, la recopilaci\u00f3n de datos sobre la ubicaci\u00f3n de los usuarios ahora es una pr\u00e1ctica tan extendida que no es una pregunta f\u00e1cil de responder. Por desgracia, no hay ning\u00fan interruptor que puedas activar para impedir que todas las empresas de Internet del mundo recopilen tus datos.<\/p>\n

Dicho esto, al menos puedes minimizar la cantidad de informaci\u00f3n de localizaci\u00f3n que cae en manos de los agentes de datos. A continuaci\u00f3n, te explicamos c\u00f3mo:<\/p>\n