La publicidad en aplicaciones se convierte en una herramienta de espionaje militar

Una investigación periodística reveló el origen de una filtración de datos sensibles sobre los movimientos de militares y agentes de inteligencia de EE.UU. Se descubrió que la empresa floridense Datastream Group comercializaba datos de geolocalización precisos de soldados estadounidenses en el extranjero. La información provenía de Lituania, suministrada por la poco conocida empresa de tecnología publicitaria Eskimi.

La compañía lituana transmitía datos sobre militares estadounidenses en Alemania a Datastream Group, que luego podía vender esta información a cualquier interesado. La investigación reveló que Datastream ofrecía 3.600 millones de coordenadas precisas, recopiladas de 11 millones de dispositivos móviles en un solo mes, incluyendo ubicaciones de bases militares donde se cree que EE.UU. almacena ojivas nucleares. Los datos eran registrados con extrema precisión y en intervalos de milisegundos.

Los datos se obtenían a través de kits de desarrollo de software (SDK) integrados en aplicaciones móviles, que los desarrolladores implementaban a cambio de una parte de los ingresos publicitarios. Cuando la información se hizo pública, la oficina del senador estadounidense Ron Wyden exigió explicaciones a Datastream. La empresa alegó que los datos fueron obtenidos legalmente a través de un "proveedor de confianza", Eskimi. Sin embargo, un representante de Eskimi negó cualquier vínculo con Datastream y aseguró que su empresa no actúa como un corredor de datos.

Datastream, por su parte, no reveló la fuente real de los datos, citando acuerdos de confidencialidad, y rechazó las acusaciones de los periodistas, calificando sus conclusiones de "irresponsables y engañosas". El Departamento de Defensa de EE.UU. evitó hacer comentarios, aunque en el pasado ha instado a los militares a seguir estrictos protocolos de seguridad operativa para prevenir filtraciones de geodatos.

El senador Wyden también intentó contactar con Eskimi y el regulador lituano de protección de datos, pero no obtuvo respuesta. No fue hasta enero de 2024 que el regulador lituano solicitó información adicional y prometió evaluar la situación. Si Eskimi es declarada culpable de violar el GDPR, podría enfrentarse a multas de hasta 20 millones de euros.

En noviembre de 2023, la oficina del senador también notificó a Google que Eskimi, uno de sus socios publicitarios, estaba vendiendo datos sobre los movimientos de militares estadounidenses. Google prometió auditar a sus socios, aunque los expertos dudan de que esto conduzca a cambios estructurales significativos.