1000027394

Tras dos artículos donde hemos tratado de definir cómo abordar una estrategia personal de privacidad (Definiendo nuestra estrategia de privacidad) y diferentes medidas para implementarla (Endurecimiento de la Privacidad en Red); varias eran las opciones que se abrían para un último artículo a modo de cierre.

Después de darle muchas vueltas, buscando no ser redundante con otros ya publicados (recomiendo de nuevo usar el buscador de la página), me he decidido por tratar de exponer la magnitud del problema que supone la masiva extracción de datos, por parte de la gran mayoría de aplicaciones y servicios. Así como diversas formas para detectarlos, mitigarlos y -lo más importante- reemplazarlos.

Punto de partida

Móvil y Pc, te espían

Cada día, mientras trabajas, descansas o simplemente llevas el móvil en el bolsillo, cientos de procesos en segundo plano recopilan información sobre ti. No son imaginaciones ni paranoias: es sencillamente el modelo de negocio tras del software que utilizas de forma gratuita. Veamos qué datos se extraen, a dónde van, qué riesgos reales implican y cómo puedes protegerte.

El símil del «vecino curioso»

Piensa en alguien que viviera cerca de tú casa y tomara nota de cada cosa que haces: a qué hora te levantas, qué ropa te pones, qué desayunas, con quién hablas, y un largo etcétera.

Ahora imagina que ese vecino comparte sus notas con decenas de empresas, que las usan para venderte cosas, influir en tus decisiones y, en algunos estados, reportarlas al gobierno.

Ese tipo de «vecinos», tienen nombres propios. Uno se llama Android, otro Windows, otro TikTok, otro Google, otra Meta y así con docenas de aplicaciones que usas cada día.

Android te conoce mejor que alguno de tus amigos

Google y el teléfono en el bolsillo

Un teléfono Android estándar (es decir, con los servicios de Google instalados), como el 95% de los Android del mercado, no descansa nunca. Incluso cuando la pantalla está apagada y no lo estás usando, el dispositivo está enviando datos a servidores de Google (endpoints).

¿Cuántos datos? Investigadores de la Universidad Trinity de Dublín midieron en 2021 que un Android en reposo envía aproximadamente 1 MB de datos por hora. Pueden no parecer muchos si lo comparamos con servicios de streaming, pero sí resultan muy relevante teniendo en cuenta su contenido: tú ubicación, los identificadores únicos de tú dispositivo, las apps que tienes instaladas, el estado de la batería y los nombres de las redes Wi-Fi cercanas.

Ejemplo concreto: Aunque desactives la ubicación en el móvil, Android puede seguir triangulando tu posición usando las redes Wi-Fi cercanas y las antenas de telefonía. Google lo llamaba Wi-Fi scanning y estaba activo por defecto en versiones anteriores a Android 12. En versiones más recientes se puede desactivar, pero está inmerso en los menús de configuración avanzada, donde normalmente, casi nadie mira…

Lo que Google recopila, de forma resumida:

  • Dónde estás y dónde has estado: Google Maps guarda un historial completo de todos los lugares que has visitado, incluso si no abriste la app. La función se llama «Timeline» y puedes verla en tu cuenta de Google. Si alguna vez la has abierto, probablemente te habrás sorprendido de la precisión con que recuerda dónde estuviste hace tres años.
  • Qué buscas y qué lees: cada búsqueda en Google, cada página visitada en Chrome, cada vídeo visto en YouTube queda registrado y asociado a tu perfil.
  • Con quién te relacionas: los contactos de tu teléfono, la frecuencia con que llamas a cada persona, cuándo y durante cuánto tiempo.
  • Cómo te sientes: esto que puede parecer exagerado, en realidad no lo es tanto. La música que escuchas, el tipo de noticias que lees, las horas a las que usas el teléfono, tu ritmo de escritura… todo eso permite inferir estados de ánimo, niveles de estrés, incluso periodos de depresión. Empresas especializadas en análisis del comportamiento, venden ésta información a aseguradoras, agencias de empleo y para campañas políticas.

La marca del teléfono como problema

Pese a que Google ya es suficientemente intrusivo, algunos fabricantes de teléfonos añaden sus propias capas de recopilación de datos.

Samsung, la app Samsung Health (que quizás nunca instalaste conscientemente, pero viene preinstalada) puede acceder a tu ritmo cardíaco, niveles de oxígeno en sangre, ciclo menstrual y patrones de sueño. Todos esos datos van a servidores de Samsung en Corea del Sur y Estados Unidos.

Xiaomi, la situación aquí es más delicada. En 2022, investigadores de seguridad documentaron que los navegadores de Xiaomi enviaban datos de uso (incluyendo qué páginas visitabas) a servidores en China, incluso cuando el usuario estaba en modo incógnito. El modo incógnito es privado respecto a otras personas que usen el mismo teléfono, pero no respecto al fabricante. China tiene leyes que obligan a las empresas nacionales a compartir datos con los servicios de inteligencia del Estado si así se les requiere.

Huawei (sin servicios de Google, vetado por EEUU en 2019), el marco legal es el mismo: la Ley de Inteligencia Nacional China de 2017 obliga a cualquier empresa china a cooperar con los servicios secretos. No hay constancia pública de que esto haya ocurrido con datos de usuarios europeos, pero la capacidad legal y técnica existe.

Las apps que más recopilan

Más allá del sistema operativo, las aplicaciones que instalas tienen acceso a todo lo que el sistema operativo les permite. Y muchas de ellas, solicitan más de lo que realmente necesitan.

TikTok es probablemente el caso más documentado y polémico. En 2022, el Senado de Estados Unidos investigó a ByteDance, la empresa china propietaria de TikTok, después de que se confirmara que empleados con sede en China habían accedido a datos de usuarios estadounidenses. La aplicación recopila, entre otras cosas: patrones de pulsación en el teclado, el contenido del portapapeles (lo que has copiado recientemente), características de tu cara a través de la cámara y datos de uso que permiten construir un perfil sicológico muy detallado. TikTok lleva años en proceso de revisión regulatoria en EEUU y Europa, con consecuencias todavía pendientes.

Facebook e Instagram (ambas de Meta) son el ejemplo clásico de red social que se financia enteramente con datos. La empresa conoce no solo lo que publicas, sino lo que escribes y borras antes de publicar, cuánto tiempo permaneces mirando cada foto, con qué frecuencia abres la aplicación (si es de madrugada, genera un indicador de insomnio que las aseguradoras de salud ya han mostrado interés en monetizar) y qué páginas visitas aunque no tengas la app abierta, gracias al «píxel de Meta» que millones de páginas tienen instalado de forma no visible.

En 2023, Meta fue multada con 1.200 millones de euros por el regulador de privacidad irlandés por transferir datos de usuarios europeos a servidores estadounidenses sin las garantías adecuadas. Fue la mayor multa de privacidad de datos de la historia de Europa.

WhatsApp, también de Meta, se ufana de cifrar el contenido de los mensajes E2EE (End To End Encryption). Pero los metadatos (quién escribe a quién, con qué frecuencia, a qué hora, desde qué ubicación) sí son accesibles para Meta y se comparten con el resto del ecosistema de la empresa. En términos de inteligencia de datos, los metadatos pueden aportar más información que el propio contenido: saber que alguien llama a un oncólogo tres veces por la semana es más revelador que escuchar la conversación.

Google Maps guardó durante años la ubicación de sus usuarios incluso cuando éstos habían desactivado explícitamente el historial de ubicación. Esto fue documentado y llevó a una investigación del Fiscal General de Arizona, que en 2022 llegó a un acuerdo con Google por el que la empresa pagó 85 millones de dólares.

Desactivar una opción en los ajustes no siempre significa que la función está realmente desactivada.

Lo que pasa en segundo plano

Además de las aplicaciones en primer plano, tu móvil Android ejecuta constantemente servicios que nunca aparecen en pantalla. Son procesos del sistema que no puedes cerrar fácilmente y que operan aunque no estés usando el teléfono.

El más importante es Google Play Services, un proceso que funciona como intermediario entre todas las apps y los servidores de Google. No puedes desinstalarlo sin afectar gravemente el funcionamiento del teléfono. Su función legítima es gestionar notificaciones y autenticación, pero también es el canal principal por el que fluye la telemetría hacia Google.

Adicionalmente, la mayoría de las aplicaciones que instalas incluyen dentro de su código pequeños componentes de empresas especializadas en publicidad: Firebase (Google), Adjust, AppsFlyer, Facebook SDK. Estos componentes se activan en segundo plano y comparten datos sobre hábitos y comportamientos entre todas las apps que los incluyen. Es decir: que la app de tu supermercado favorito sepa que acabas de abrir Instagram no es casualidad. Ambas pueden estar usando el mismo componente de seguimiento, que construye un perfil que trasciende cualquier aplicación individual. Muchos de ellos, además, se comunican mediante direcciones IP «hardcodeadas» (dentro del propio flujo de comunicación), lo que impide bloquearlas sin afectar al normal funcionamiento de la aplicación.

Windows también escucha

El sistema operativo más usado es un devorador de datos

Windows 10 y 11 introdujeron un sistema oficial de «telemetría» (llamado así por la propia Microsoft) que recopila información del dispositivo y la envía a sus servidores. A diferencia de Android, donde muchas cosas son implícitas, Microsoft documenta (aunque no de forma muy visible) qué recopila. El problema es que en las versiones que usa la mayoría de la gente (Home y Pro) sencillamente, no puedes cerrarlo por completo…

En el nivel mínimo obligatorio, Windows envía a Microsoft:

  • El listado completo de todo el software instalado en tu ordenador. Microsoft sabe si tienes instalada una aplicación de contabilidad, un cliente de correo alternativo, una VPN o cualquier otra cosa.
  • Las especificaciones de tu hardware: procesador, memoria RAM, disco duro, tarjeta gráfica.
  • Los errores y cuelgues del sistema, incluyendo a veces fragmentos del contenido que estabas trabajando cuando ocurrió el error.
  • Datos sobre las actualizaciones instaladas o rechazadas.

Si tienes activadas las opciones «mejoradas» (que vienen por defecto), la lista crece considerablemente: qué programas utilizas y durante cuánto tiempo, qué buscas en la barra de tareas integrada con Bing, qué páginas visitas en Edge.

Un dato que me ha sorprendido: investigadores independientes han documentado que Windows 11 recién instalado en uso normal puede enviar entre 4 y 8 MB diarios de telemetría a servidores de Microsoft. No es tanto el que suponga un gran volumen, como su nivel de detalle y constancia.

Windows Recall: la función más polémica de los últimos años

En 2024, Microsoft anunció una función llamada Recall para los nuevos ordenadores con chip de inteligencia artificial (Copilot+). La idea: el ordenador hace capturas de pantalla cada pocos segundos de todo lo que haces (cada correo leído, cada documento abierto, cada web visitada, cada conversación de Teams) y las indexa con inteligencia artificial para que puedas buscar en tu historial, como si de Google se tratara pero respecto a tu vida frente al ordenador.

Los datos, según Microsoft, se guardan localmente en el ordenador, no en la nube. Pero los expertos en seguridad señalaron rápidamente el problema evidente: si alguien consigue acceder a tu ordenador con un virus o por acceso remoto, tendrá acceso a un registro visual completo de todo lo que has hecho en los últimos meses.

Contraseñas, conversaciones privadas, documentos confidenciales, datos bancarios: todo capturado en pantallazos y perfectamente localizable.

Ante la presión pública, Microsoft pospuso el lanzamiento y lo convirtió en una función desactivada por defecto. Pero existe y puede activarse.

Lo que Microsoft Edge sabe de ti

Edge es el navegador por defecto en Windows, y Microsoft se ha aplicado en integrado profundamente en el sistema. Hasta el punto que:

  • Envía las URLs que visitas a Microsoft para comprobar si son sitios de phishing (función SmartScreen). El resultado es que Microsoft tiene un registro de tu historial de navegación.
  • Recopila datos de uso para un perfil publicitario, si has dado permiso o no has leído bien la configuración inicial.
  • Monitoriza las contraseñas que guardas y las compara con bases de datos de filtraciones (función útil, pero requiere enviar hashes de tus contraseñas a servidores de Microsoft).

Nada de todo esto es intrínsecamente malo (algunas de estás funciones son realmente útiles para la seguridad) pero la mayoría de usuarios no sabe lo que está ocurriendo.

OneDrive: tus documentos en la nube que no elegiste subir

Windows integra OneDrive de forma que muchos usuarios suben sus documentos, fotos y escritorio a la nube de Microsoft sin haberlo decidido conscientemente. El proceso de configuración inicial de Windows guía hacia la activación de OneDrive, y si no prestas atención, tus archivos empiezan a sincronizarse automáticamente.

Esto tiene una implicación importante: Microsoft tiene acceso técnico a esos archivos. Los datos están cifrados, pero Microsoft gestiona las claves de cifrado, lo que significa que bajo una orden judicial (o bajo la legislación americana CLOUD Act) puede entregar esos datos a las autoridades sin tener obligación de notificarlo al usuario.

¿Qué hacen con todo eso?

El negocio de conocerte

Los datos que recopilan Google, Meta, Microsoft y compañías similares, se usan principalmente con tres objetivos:

  • Publicidad personalizada: es el modelo de negocio principal de Google y Meta. Conocer tus intereses, situación económica, preocupaciones de salud, relaciones sentimentales y estado emocional, permite mostrar anuncios con una precisión nunca vista. Una persona que busca tratamientos para la ansiedad, viva cerca de una clínica de salud mental y abra Instagram principalmente a las 2 de la madrugada recibirá anuncios de apps de meditación, sicólogos online y suplementos para el sueño. Todo ello sin que nadie le haya preguntado.
  • Entrenamiento de modelos de inteligencia artificial: los millones de conversaciones en WhatsApp, las búsquedas en Google, los documentos en OneDrive, las interacciones en redes sociales… todo ésto es materia prima para entrenar los sistemas de IA que estas empresas están desarrollando. La política de privacidad actualizada de varias plataformas en 2023 y 2024 incluye explícitamente el uso de datos para IA.
  • Venta o compartición con terceros: muchas apps venden datos a brokers de información, empresas especializadas en recopilar, agregar y revender perfiles de usuarios. Estos brokers venden a aseguradoras, agencias de empleo, inmobiliarias, campañas políticas y quien esté dispuesto a pagar. En EEUU, este mercado mueve miles de millones de dólares al año y está muy poco regulado.

Los riesgos reales: cuando los datos se vuelven contra ti

Hablar de «riesgos de privacidad» suena abstracto. Estos son casos reales que ilustran lo que puede pasar:

El seguro de salud que sube de precio: en varios países, se ha documentado que aseguradoras de salud usan datos de comportamiento (hábitos de compra, actividad física inferida del móvil, historial de búsquedas) para ajustar primas o incluso denegar cobertura. En EEUU, donde la regulación es menor, esto es práctica documentada.

La filtración que expone tu vida privada: en 2021, una brecha de seguridad en Facebook expuso los datos de 533 millones de personas, incluyendo números de teléfono, fechas de nacimiento y ubicaciones. Esos datos siguen circulando en foros de hackers y se usan para ataques de phishing, fraude con SIM swapping (conseguir que la operadora transfiera tu número de móvil a una SIM del atacante) y robo de identidad.

El acoso habilitado por datos de localización: aplicaciones que comparten datos de ubicación con brokers permiten, en teoría, que actores malintencionados rastreen los movimientos de una persona. Se han documentado casos de acosadores que compraron datos de localización de sus víctimas a través de intermediarios.

Manipulación política: el escándalo de Cambridge Analytica (2018) demostró que datos de millones de usuarios de Facebook (obtenidos sin consentimiento formal) se usaron para construir perfiles psicológicos y dirigir publicidad política teledirigida durante las elecciones en EEUU y el referéndum del Brexit. Los datos de comportamiento en redes sociales permiten identificar votantes indecisos y mostrarles mensajes diseñados para cambiar su voto.

Empleados despedidos por sus datos: en algunos países, empresas han usado datos de aplicaciones de salud, redes sociales y móviles corporativos para justificar decisiones laborales. Los límites legales sobre qué puede hacer un empleador con los datos de sus trabajadores pueden varíar enormemente según la jurisdicción.

Herramientas para ver lo que pasa de verdad

Si quieres comprobar por ti mismo qué datos envían tus dispositivos, existen herramientas pensadas para usuarios sin conocimientos técnicos:

En Android:

  • Exodus Privacy (web: exodus-privacy.eu.org y por defecto en: Aurora Store): escribe el nombre de cualquier app y te muestra qué componentes de seguimiento lleva incorporados y qué permisos pide.
  • RethinkDNS va un paso más allá: combina firewall por app, DNS cifrado (DoH/DoT) con listas de bloqueo configurables y logs de conexiones en tiempo real. Es más compleja que NetGuard pero más potente. Totalmente gratuita y open source.
  • Blokada es la opción más accesible visualmente. Enfocada en bloqueo de anuncios y trackers a nivel DNS, con logs básicos de conexiones. La versión gratuita funciona en local; la versión cloud (de pago) añade VPN real.
  • NetGuard (gratuita, sin necesidad de root): actúa como un firewall sencillo que te permite ver qué apps se conectan a internet en segundo plano y bloquear las que no deberían hacerlo.

En Windows:

  • O&O ShutUp10++ (gratuito, de la empresa alemana O&O Software): muestra en un pantallazo todos los ajustes de privacidad de Windows y su estado actual. Permite desactivar la telemetría con un clic. Es probablemente la herramienta más recomendada para usuarios no técnicos que quieren controlar qué envía Windows.
  • GlassWire (versión gratuita disponible): muestra visualmente qué aplicaciones se conectan a internet, con qué frecuencia y a qué servidores. Útil para detectar apps que envían datos cuando no deberían.
  • TCPView (de Microsoft, gratuita): muestra en tiempo real todas las conexiones de red activas en el ordenador y qué proceso las origina.

Cómo defenderte, sin necesidad de ser un experto

Lo que puedes hacer hoy

La buena noticia es que no hace falta ser un experto en ciberseguridad para reducir significativamente la cantidad de datos que cedemos a diario. Aquí una medidas básicas al alcance de cualquiera:

Android (por orden de impacto):

Empieza por Ajustes → Privacidad → Panel de privacidad y revisa qué apps han accedido a tu cámara, micrófono y ubicación recientemente. Si ves que una app de linterna o una app de recetas accedió a tu micrófono, algo no cuadra.

Luego ve a Ajustes → Privacidad → Gestor de permisos y revisa permiso por permiso. Para la ubicación, selecciona «Solo mientras se usa la app» en lugar de «Siempre» para todas las apps que no la necesiten continuamente (como la app de navegación). Para el micrófono y la cámara, usa la opción «Solo esta vez» cuando sea posible.

Desactiva el ID de publicidad: Ajustes → Google → Anuncios → Eliminar ID de publicidad. Es el identificador que permite a las empresas de publicidad seguirte entre distintas apps.

Activa el DNS privado (varía según la capa del fabricante): Ajustes -> Conexiones -> Más ajustes de conexión -> DNS privado -> específico -> escribe dns.quad9.net o cualquier DNS configurable como NextDNS o RethinkDNS. Ésto cifrará tus consultas DNS (DoT), activará ECH/QUIC evitando que tu operadora o alguien en tu red Wi-Fi vea qué webs visitas.

En ésta página tenéis múltiples artículos dedicados específicamente al tema Android.

Windows (por orden de impacto):

Descarga y ejecuta O&O ShutUp10++ (busca «ShutUp10» en Google, el primer resultado es el oficial). Aplica el perfil «Acciones recomendadas y algo más» y reinicia el ordenador. Habrás desactivado la mayor parte de la telemetría de Windows en cinco minutos.

Ve a Configuración → Privacidad y seguridad → Diagnósticos y comentarios y selecciona «Datos de diagnóstico requeridos» (el nivel mínimo).

Si usas Edge, considera cambiarte a Firefox (o cualquiera de sus forks) + la extensión uBlock Origin o Brave, que tienen configuraciones de privacidad mucho más robustas por defecto.

Si tienes activado OneDrive y no lo usas, ve a la bandeja del sistema, haz clic derecho en el icono de nube y selecciona «Pausar sincronización» o desinstálalo directamente si no lo necesitas.

También resulta muy útil desinstalar algunas de las aplicaciones y programas que vienen por defecto:

Bulk Crap Uninstaller (BCUninstaller) es probablemente el mejor en esta categoría. Detecta aplicaciones instaladas, apps portables, extensiones de navegador y paquetes de Windows Store. Elimina los restos que dejan los desinstaladores oficiales: carpetas huérfanas, entradas de registro, accesos directos. Permite desinstalar en masa. Completamente gratuito y open source en GitHub.

Revo Uninstaller Free tiene una versión gratuita (no open source, pero sí gratuita) que hace lo mismo de forma más visual. La versión open source equivalente sería BCUninstaller.

HiBit Uninstaller (la uso hace años) es una herramienta gratuita para Windows que va bastante más allá de un desinstalador convencional. Su principal ventaja frente a otras es que no requiere instalación: existe en versión portable, lo que permite ejecutarla directamente desde un USB sin dejar rastro en el sistema. tiene una versión gratuita (no open source, pero sí gratuita) que hace lo mismo de forma más visual. La versión open source equivalente sería BCUninstaller.

BleachBit es el equivalente en código abierto de CCleaner. Elimina archivos temporales, cachés de navegadores, logs del sistema, miniaturas y entradas de registro huérfanas. Disponible también en Linux.

Apps y servicios que respetan más tu privacidad

Afortunadamente, hay muchísimas aplicaciones y servicios que no sólo respetan la privacidad, sino que además, ofrecen unas prestaciones y experiencia de usuario sobresalientes:

  • Para mensajería: Signal, Threema, Element, Sessions, SimpleX Chat… en lugar de WhatsApp. Cifrado de extremo a extremo (E2EE), sin anuncios, sin compartición. Todas ellas con la privacidad y seguridad como eje fundacional.
  • Para búsquedas: DuckDuckGo, Brave Search, Qwant, Startpage, Mojeek, Ecosia, Kagi (de pago) en lugar de Google y Bing. No guardan historial de búsquedas ni construyen perfiles de usuario.
  • Para navegar: Firefox (y sus forks) con uBlock Origin, Vivaldi, Brave en lugar de Chrome o Edge. Bloquean rastreadores por defecto.
  • Para correo: ProtonMail, Tutanota , Mailbox, MailFence, Insomniak, Secria… (la oferta no deja de aumentar) en lugar de Gmail y Outlook.
  • Para mapas: en Android, OsmAnd y Organic Maps (basados en OpenStreetMap) o Maps.me como alternativa a Google Maps cuando no necesites las funciones más avanzadas.
  • Para Google Play: Aurora Store ofrece lo mismo sin telemetría e incluso de forma anónima. F-Droid es la tienda por excelencia de aplicaciones libres (FOSS).
  • Y de forma general: trata de evitar cualquier producto o servicio de META.

Conclusiones

Aquí cabría recordar la manida expresión de:

Si el producto es gratis, el producto eres tú.

Android (by Google) y Windows son gratuitos en parte porque se financian directa e indirectamente con los datos de quienes los usan. No hay nada inherentemente malo en ello: las políticas de privacidad, aunque largas e incomprensibles, describen lo que ocurre. El problema es que nadie las lee, nadie explica su significado e implicaciones en la práctica, y los incentivos del sistema favorecen la recopilación máxima de datos.

El riesgo no es el mismo para todo el mundo. Alguien que usa su móvil básicamente para ver vídeos y hablar con amigos tiene un «perfil de amenaza» radicalmente diferente al de un periodista de investigación, un médico, un abogado o un ejecutivo con acceso a información sensible. La defensa debe ser proporcional.

Pero hay algo que vale para todos: ser conscientes. Saber que tu teléfono envía tu ubicación aunque esté «desactivada», que la aplicación de supermercado comparte datos con veinte empresas publicitarias, que Windows conoce todo el software instalado en tu ordenador… es el primer paso para decidir qué estás dispuesto a ceder y qué no.

No hace falta hacerlo todo a la vez, ni buscar la privacidad absoluta (NO existe). Basta con empezar.

Tags:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

alt43
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.