Te rastrean 200 veces por segundo: toda la verdad sobre la privacidad en el iPhone

Una sola aplicación instalada en un iPhone nuevo puede revelar datos personales del usuario, incluso si este ha prohibido el rastreo. Así lo concluyó un investigador conocido bajo el seudónimo de Tim .

En iOS existe la función "Ask App Not to Track" ("Pedir a la app que no rastree"), que supuestamente protege los datos personales. Sin embargo, en realidad solo impide que las aplicaciones accedan al identificador de publicidad del dispositivo (IDFA). Durante mucho tiempo, Apple aseguró que esta opción también evitaría que los desarrolladores rastrearan a los usuarios mediante otros datos, como el correo electrónico. Pero la realidad es diferente.

Tim tomó un iPhone 11 recién formateado con ajustes de fábrica e instaló únicamente un juego de la empresa KetchApp, que tiene más de 200 aplicaciones en la App Store. Para monitorear toda la información que enviaba el juego, configuró un servidor proxy.

Lo que descubrió pondría en alerta a cualquier fanático de Apple: la aplicación enviaba datos cada fracción de segundo. En cada paquete de información había más de 200 parámetros diferentes, incluyendo la ubicación del dispositivo. Toda esta información se transmitía directamente a los desarrolladores del motor gráfico Unity, sobre el cual estaba basado el juego. Tim señaló que las coordenadas no eran del todo precisas, ya que el dispositivo funcionaba sin tarjeta SIM, solo con Wi-Fi.

Lo más sorprendente fue que los datos, junto con marcas de tiempo y direcciones IP, eran enviados a los servidores de Facebook*, aunque en el teléfono no había ninguna aplicación de Meta*, y el usuario nunca había dado su consentimiento para ello. La función "Ask App Not to Track" efectivamente había deshabilitado el identificador publicitario, pero la aplicación seguía recopilando gran cantidad de información sensible.

Cada solicitud de datos contenía más de 20 identificadores diferentes: Identifier for Vendor (IFV), Transaction ID (TID), Session ID (SID), Device ID y User ID (UID). Además, la aplicación registraba el brillo de la pantalla, la cantidad de memoria disponible, el nivel de batería e incluso si había auriculares conectados.

Luego, estos datos llegaban a la empresa Moloco, que opera como una plataforma de demanda (Demand-Side Platform, DSP) y afirma tener acceso a 6,7 mil millones de dispositivos en más de 190 países. Estas plataformas no solo conectan a los anunciantes con los espacios publicitarios en tiempo real, sino que también almacenan enormes volúmenes de datos sobre los usuarios para mejorar la precisión de los anuncios. Además, cualquier participante en la subasta publicitaria puede acceder a parte o incluso a la totalidad de los datos recopilados.

Tim encontró cientos de empresas que comercian con este tipo de información. Algunas de ellas ofrecen vincular los identificadores publicitarios (MAID) con datos personales reales y mantener esta información constantemente actualizada. Incluso descubrió una compañía que asocia directamente los identificadores publicitarios con nombres completos, correos electrónicos, números de teléfono y direcciones residenciales.

Cuando Tim intentó comprar sus propios datos, lo detuvo el precio: el acceso a una base de datos con información de millones de usuarios costaba entre 10.000 y 50.000 dólares. Además, cualquiera puede adquirir estos datos, no solo las agencias gubernamentales. Según el investigador, en estas bases de datos se almacenan los movimientos de cada persona que haya utilizado, aunque sea por poco tiempo, una aplicación gratuita.

La publicación en la plataforma Hacker News obtuvo un número récord de votos durante el fin de semana. En los comentarios, muchos usuarios reconocieron que, mientras las empresas y los intermediarios de datos sigan generando beneficios con esta práctica, será imposible proteger la privacidad sin cambios estructurales profundos. Incluso sin un identificador único, las aplicaciones recopilan suficiente información como para identificar a una persona en el 99 % de los casos.

¿Cómo protegerse? No otorgar acceso a la geolocalización, manipular datos GPS para enviar información falsa, usar filtros DNS privados (como Pi-Hole) y bloqueadores de anuncios. Sin embargo, algunos analistas creen que no es posible protegerse completamente: los desarrolladores han aprendido a eludir las restricciones utilizando, por ejemplo, direcciones IP preconfiguradas.