Aplicaciones que te geolocalizan: un riesgo importante para la privacidad
Aunque el seguimiento mediante empresas de las que nunca has oído hablar está muy extendido en la web, es posible limitarlo:
- A través de un navegador con medidas de protección como Safari, Firefox o Brave
- A través de un bloqueador de anuncios como uBlock Origin
- Bloqueando las cookies de terceros o eliminando las cookies periódicamente
- Usando navegación privada
En el caso de las aplicaciones, es mucho más difícil: existen opciones, pero son complejas de poner en práctica (cf. instalar una VPN especializada en iOS). Apple, y luego Google, abrieron la caja de Pandora con sus respectivas App Stores, dando a los desarrolladores de aplicaciones acceso a datos muy personales (geolocalización, micrófono, contactos, etc.).
Este acceso suele ser legítimo (Instagram necesita acceso a tu cámara para funcionar, Google Maps es más útil si tiene acceso a tu geolocalización, etc.) y también tienes la opción de aceptar o rechazar que una app acceda a una categoría de datos (ejemplo: geolocalización). Pero probablemente no sepas que esta información puede transmitirse a terceras empresas (a través de SDK, códigos de empresa de terceros instalados directamente en la app, equivalentes a códigos javascript de terceros en aplicaciones web).
Tu geolocalización es un dato muy sensible: conocerla permite rastrear tu vida, saber dónde duermes, dónde trabajas, tus desplazamientos, etc. Por eso te recomiendo leer esta excelente investigación del New York Times, realizada a partir de una filtración gigantesca de datos (12 millones de estadounidenses, incluido Donald Trump) procedente de un revendedor de datos personales.
Un ejemplo con Mapstr, una app para compartir direcciones
Para comprobar cómo las aplicaciones que uso respetan mi privacidad, observé las solicitudes enviadas por la app Mapstr en mi iPhone. Mapstr es una app francesa que permite guardar buenas direcciones de restaurantes y bares en un mapa, y también acceder a las recomendaciones de mis amigos.
En primer lugar, auditar las solicitudes enviadas por una app no es tan simple como en el navegador de un ordenador. Así que tuve que recurrir a Charles Proxy, una app de pago (9,99 €) que actúa como una VPN interna para interceptar las solicitudes enviadas por tu móvil. Este es el protocolo que seguí:
- Cierra las distintas aplicaciones en segundo plano.
- Inicia la app Charles Proxy y activa la captura.
- Inicia Mapstr y navega por la app.
- Exporta después los registros de la sesión si quieres estudiarlos más cómodamente en tu ordenador (la app Charles Proxy para ordenador es gratuita en su versión básica).
- Fíjate en los dominios a los que se envían las solicitudes: es revelador.
![]()
Varias sorpresas:
- Mapstr envía muchas solicitudes a Facebook (sin mi geolocalización). Facebook ofrece muchos servicios a las apps, así que es difícil saber cuál usa Mapstr (aquí están los distintos métodos ofrecidos por la Graph API de Facebook), pero parece que Mapstr utiliza los servicios de Facebook Analytics: veo pasar eventos "activities" y "user_properties". Mi actividad en Mapstr enriquece la información que Facebook tiene sobre mí (aunque, en este caso, no tengo cuenta de Facebook). El problema: nunca di mi consentimiento para que Facebook me rastreara en Mapstr.
- Mapstr envía mi geolocalización a Kapten y Citymapper. ¿Por qué? Al explorar la app, puedo pedir a Mapstr indicaciones para llegar a una dirección; Mapstr me dirá entonces cuánto dura el trayecto en Uber, Kapten, Citymapper o Google Maps. El problema: Mapstr envía mi geolocalización a estas empresas sin que yo haya pedido indicaciones; podría esperar un poco. Sin embargo, parece que no se transmite ningún identificador en estas solicitudes, por lo que la filtración de información es limitada (sobre todo porque tengo instaladas estas apps).
- Más grave: Mapstr envía mucha información, incluida mi geolocalización, mi nombre y mi dirección de email, a Amplitude. Mis datos más personales se envían así, junto con mi nombre, a una empresa estadounidense con la que no tengo ningún vínculo. ¿Qué beneficio obtiene Mapstr de ello? Amplitude es una solución de analítica que no necesita ni mi nombre, ni mi email, ni mi geolocalización para funcionar correctamente.
Ten en cuenta que previamente había indicado en los ajustes de iOS que quería un seguimiento publicitario limitado (pero Mapstr no lo tiene en cuenta).
![]()
Para transmitir todos estos datos personales, Mapstr necesita mi consentimiento, que parece haber olvidado.
Gestión del consentimiento en Mapstr
Cuando instalas la app Mapstr, aparece esta pantalla
![]()
En letra muy pequeña se puede leer: "Al registrarte aceptas nuestras Condiciones de uso". Evidentemente, nadie va a hacer clic ahí; aun así, dicen lo siguiente:
Mapstr se reserva el derecho de recopilar diversos datos identificativos y no identificativos, en particular mediante la recopilación de cookies, con el fin de mejorar la experiencia del cliente y la ergonomía de la aplicación y los Servicios, realizar análisis estadísticos y personalizar los Servicios.
Aquí se habla de analítica y de datos identificativos. Pero Mapstr no precisa que envía estos datos identificativos a un tercero (Amplitude), ni que también le transmite tu geolocalización.
Una vez que has creado una cuenta, puedes acceder a la política de privacidad, redactada en inglés. En ella se indica que:
- Mapstr utiliza tus datos, entre otras cosas, con fines estadísticos ("para elaborar estadísticas") y para mejorar su app ("para mejorar nuestro servicio").
- La base legal es la aceptación de las famosas Condiciones de uso.
- Los datos que figuran como recopilados son los siguientes: "tu nombre, apellido, posiblemente tu nombre de usuario de Facebook, tu foto de perfil, el nombre de tus amigos, así como tu idioma y país." En realidad, transmites a Mapstr y a Amplitude mucha más información, incluida tu geolocalización (pero también tu operador telefónico, el modelo de tu móvil, etc.).
- ¿Quién recibe tus datos? Una vez más, Mapstr es muy vago y sigue sin indicar que transmite cierta información personal a terceros: "No revendemos tus datos personales. El modelo de negocio de la aplicación Mapstr no se basa en absoluto en la venta de tus datos personales a terceros. En este sentido, las únicas personas autorizadas a utilizar tus datos son los empleados de Hulab, en el marco de tu uso de la aplicación Mapstr."
- ¿Se transfieren tus datos fuera de la Unión Europea? Aquí la mentira es clara: Mapstr afirma que no transmite tus datos fuera de la Unión Europea: "Ninguno de tus datos se transfiere fuera de la Unión Europea y nuestros servidores están ubicados dentro del territorio de la UE." Facebook e Intercom son empresas estadounidenses.
¿Se trata de una negligencia por parte de Mapstr? Es probable, pero a falta de sanciones de la CNIL, la presión para respetar la privacidad de los internautas es escasa. ¿Qué ocurre en otras aplicaciones que necesitan tu geolocalización?
Otra prueba con Citymapper
Tras la prueba con Mapstr, quise ver cómo Citymapper gestionaba mis datos personales, ya que uso la app con regularidad para mis desplazamientos. A través de Charles Proxy, estos son los dominios de las solicitudes enviadas:
![]()
Siguen presentes varios rastreadores:
- Crashlytics permite monitorizar los errores y los fallos de las aplicaciones; esta herramienta pertenece a Google (que se la compró a Twitter)
- Google, por su servicio Google Maps
- Amplitude, la herramienta de analítica que ya vimos en Mapstr
- Mixpanel, una herramienta de analítica similar a Amplitude
- Flurry, otra herramienta de analítica, que pertenece a Yahoo (y, por tanto, a Verizon)
Estas empresas también te rastrean cuando utilizas Citymapper, sin tu consentimiento. Sin embargo, al mirar el detalle de las solicitudes enviadas (en particular a Amplitude), Citymapper no envía tu geolocalización, tu nombre ni tu dirección de email. "Detalle" molesto: Citymapper envía un evento "In Drunk Mode" a Mixpanel y Amplitude (al parecer mostrarían más grande el botón de volver a casa si has bebido demasiado):
El evento enviado a Mixpanel, se eliminaron los identificadores personales y no estoy borracho.
¿Cómo lo hacen? Tal vez solo se base en la hora, pero no es tranquilizador enviar esta información a empresas de terceros.