500 millones de dispositivos, sin una orden judicial: policía y servicios de inteligencia rastrean a la gente mediante anuncios — y es lega
Dirección, lugar de trabajo y recorridos de los últimos tres años: esto es lo que las fuerzas de seguridad pueden descubrir con solo mirar un banner.
Las aplicaciones móviles y la publicidad hace tiempo que recopilan datos sobre los usuarios, pero ahora ha quedado claro hasta qué punto pueden llegar esos conjuntos. Investigadores descubrieron el sistema Webloc, que convierte identificadores publicitarios de smartphones en una herramienta de vigilancia global y permite rastrear los desplazamientos de cientos de millones de personas —incluyendo con carácter retroactivo durante años.
Se trata de un producto de la línea de la empresa israelí Cobwebs Technologies, que tras la fusión del negocio pasó a Penlink. El sistema se comercializa como complemento de la plataforma de análisis de redes sociales y datos web Tangles. En esencia, Webloc toma los datos que las aplicaciones móviles y las redes publicitarias recopilan para segmentación y los transforma en un flujo de información de geolocalización vinculada a dispositivos concretos.
En su base opera una mecánica familiar para la industria publicitaria. Las aplicaciones acceden a identificadores publicitarios de los smartphones, coordenadas y datos de comportamiento, y después los transmiten a socios. Webloc compra esos conjuntos y los consolida en una base única. Como resultado, los usuarios se convierten en un conjunto de puntos en el mapa, donde cada registro contiene el identificador del dispositivo, coordenadas y datos adicionales del perfil.
Los investigadores sostienen que el sistema puede procesar flujos de datos de cientos de millones de dispositivos en todo el mundo. Las actualizaciones son continuas, por lo que el cliente obtiene una imagen casi ininterrumpida de los desplazamientos. En la interfaz esos datos se muestran en mapas multicapa, donde las huellas digitales se vinculan a ubicaciones físicas.
Las capacidades no se limitan a eso. Webloc permite analizar movimientos no solo en tiempo real, sino también en el pasado. En casos concretos, se habla de periodos de hasta tres años. El cliente puede rastrear dónde estuvo un dispositivo en un día específico, con qué frecuencia apareció en un lugar determinado y con qué otros dispositivos se cruzó.
El sistema también puede extraer conclusiones más complejas. Según los investigadores, Webloc puede correlacionar direcciones IP con geolocalización, identificar domicilios presuntos y lugares de trabajo, y luego intentar vincular un dispositivo con una persona concreta. Para tareas de investigación ese funcionalidad actúa como una forma rápida de reunir un expediente sin acceso directo al operador de telecomunicaciones.
La lista de clientes muestra que la herramienta ya se usa en la práctica. Entre los usuarios se citan el Servicio de Inmigración y Control de Aduanas de EE. UU., estructuras militares, departamentos de seguridad pública de varios estados, fiscalías de distrito de Nueva York y departamentos de policía en Los Ángeles, Dallas, Baltimore, Tucson y otras ciudades. También se mencionan organismos extranjeros, incluidas agencias de inteligencia de Hungría y la policía de El Salvador.
El problema principal es cómo se emplean exactamente estos sistemas. Periodistas e investigadores señalan que Webloc permite rastrear dispositivos sin una orden judicial. En un documento de contratación se destacaba la posibilidad de monitorizar automática y continuamente identificadores publicitarios, geolocalización por IP y dispositivos asociados. En esencia, se trata de una forma de eludir procedimientos más estrictos que normalmente se exigen para acceder a datos de telecomunicaciones.
La historia de Cobwebs Technologies también aporta contexto. En 2021 Meta bloqueó una red de unas 200 cuentas vinculadas a esa empresa. Entonces se constató que a través de ellas se recopilaba información sobre objetivos, se intentaba infiltrarse en grupos cerrados y se empleaba ingeniería social para obtener datos personales. Entre los objetivos había no solo personas implicadas en investigaciones, sino también activistas, políticos opositores y funcionarios en distintos países.
Los vínculos de la compañía alcanzan también al mercado de spyware. El análisis de datos corporativos revela intersecciones con el desarrollador de spyware Quadream a través de uno de los directivos clave de Cobwebs. Tras la integración con Penlink en 2023, la marca Cobwebs prácticamente desapareció y sus productos pasaron a la nueva entidad.
La infraestructura técnica del sistema está distribuida por distintas regiones. Los investigadores localizaron más de 200 servidores vinculados al despliegue de productos de Cobwebs. La mayor cantidad de nodos se encuentra en EE. UU.; un número notable está en los Países Bajos, Singapur, Alemania, Hong Kong y el Reino Unido. También se detectaron servidores en otros países de Europa, Asia y África.
Penlink no estuvo de acuerdo con las conclusiones del estudio. La empresa afirmó que el informe utiliza datos inexactos o una comprensión errónea de los principios de funcionamiento, y subrayó que cumple las leyes de protección de datos personales en EE. UU. Sin embargo, la cuestión clave —cómo se aplican realmente estas herramientas en la práctica— sigue sin resolverse.
El caso de Webloc muestra cómo ha cambiado la lógica de la vigilancia. Antes, para seguir desplazamientos se requería acceso a operadores de telecomunicaciones o vigilancia física. Ahora basta comprar datos publicitarios que originalmente se recogían para mostrar anuncios y analizar audiencias. En la intersección de esos dos mundos —marketing e instrumentos de seguridad— surge un sistema que convierte un smartphone común en una fuente constante de coordenadas.