El rastreo y recolección de datos personales que realizan las multinacionales de la publicidad digital afecta a todo el mundo. También a los políticos, el personal militar, los jueces y otros ciudadanos claves en el engranaje de las democracias europeas. Una vez que Google o Microsoft recogen esa información, un gran número de empresas más pequeñas pueden acceder a ella. La UE les obliga a anonimizarla e impide que se acceda a esas bases de datos para rastrear a personas de manera individual. En China o Rusia la situación es muy diferente.
Una nueva investigación del Irish Council for Civil Liberties (ICCL) ha descubierto que el gran número de manos por las que pasan esas bases de datos provoca que se vendan habitualmente a empresas no europeas y acaben en servidores rusos y chinos. Países en los que las leyes de seguridad nacional permiten a agencias de inteligencia y otros actores no estatales cruzar los datos, desanonimizarlos y buscar los datos de cualquier persona.
“Nuestra investigación destapa un comercio generalizado de datos sobre militares y líderes europeos sensibles que los expone al chantaje, hackeo y otros ataques para comprometerles, socavando la seguridad de sus organizaciones e instituciones”, alertan. El análisis está firmado por Johnny Ryan, experto en protección de datos del ICCL, y por Wolfie Chistl, uno de los principales investigadores en materia de ciberseguridad y privacidad digital del contexto europeo.
“Es un problema de seguridad nacional”
El estudio se centra en uno de los procesos claves de la publicidad digital, el RTB (Real-Time Bidding), que organiza la compra y venta de anuncios en tiempo real mediante subastas automatizadas. En lugar de negociar acuerdos con precios fijados con antelación como en la publicidad tradicional, el RTB permite a los anunciantes pujar por impresiones individuales en función del usuario que las vaya a visitar. Google es la empresa que domina este mercado.
El problema es que la seguridad de ese proceso es insuficiente y puede sortearse fácilmente, avisa la investigación. “El RTB implica la difusión de datos sensibles sobre personas que utilizan esos sitios web y aplicaciones a grandes cantidades de otras entidades, sin medidas de seguridad para proteger los datos. Esto ocurre miles de millones de veces al día”, destacan.
“Los estados extranjeros y los agentes no estatales pueden utilizar el RTB para espiar los problemas financieros, el estado mental y los secretos íntimos comprometedores de las personas objetivo. Aunque los individuos objetivo utilicen dispositivos seguros, los datos sobre ellos seguirán fluyendo a través del RTB desde dispositivos personales, sus amigos, familiares y contactos personales comprometedores”, abundan: “El RTB representa un problema de seguridad nacional”.
El informe incluye una lista de ejemplos de bases de datos con información sensible de miembros de gobiernos europeos que han sido vendidas en las últimas semanas. Provienen de Dun & Bradstreet, una firma de data brokers dedicada a comprar estas bases de datos, cruzarlas con otras y revenderlas.
Uno de esos listados de datos incluye, por ejemplo, información sobre personas categorizadas como “Gobierno - Inteligencia y contraterrorismo” provenientes de España y otros 15 países europeos. En el listado no aparecen los nombres sino sus números de identificación publicitaria, que permite a los data brokers cruzar bases de datos y manejar los datos concretos de los individuos. Una medida de privacidad que puede deshacerse sin demasiada dificultad por actores maliciosos.
La investigación también documenta un ejemplo en el que los datos RTB han sido usados para chantajear a un objetivo. “Revelaron el uso de aplicaciones gay por parte de un sacerdote católico y sus visitas a domicilios privados y a una casa de baños gay”, recuerdan. Se trataba del entonces presidente de la Conferencia Episcopal de EEUU.
“Más tarde se reveló que un grupo conservador había invertido millones de dólares para recabar datos sexuales de las RTB para controlar si los sacerdotes católicos son célibes. Más allá de la grave intrusión en la intimidad, el ejemplo muestra cómo puede llevarse a cabo una operación similar para chantajear o manipular a personal y dirigentes europeos”, recuerdan.
Johnny Ryan, coautor de la investigación, ha manifestado a elDiario.es que no tiene evidencias de que los servicios de inteligencia de Rusia o China usen los datos de RTB para el espionaje. “No es algo que podamos descubrir. Pero de las empresas de RTB del sector privado que describimos se desprende que es muy probable”, apunta: “De hecho, el director de Inteligencia Nacional de Estados Unidos confirmó recientemente que los servicios de seguridad estadounidenses compran datos de RTB”.
La respuesta de las plataformas
Todas las grandes multinacionales digitales estadounidenses llevan a cabo el rastreo de datos personales con motivos publicitarios. Sin embargo, la investigación ha podido encontrar evidencias concretas de que tanto la información recogida por Google como por Microsoft para las subastas de anuncios es enviada a China y Rusia.
El mayor trasvase se produce entre Google y China, donde es vendida a “muchas empresas”. El comercio con entidades rusas no es tan numeroso, pero también es crítico. “Entre las empresas rusas a las que Google envía datos RTB de la UE figura AiData, que vende perfiles sobre rusos que visitan sitios web de la oposición política rusa”, señala la investigación.
Una portavoz de Google ha tachado el informe de “engañoso e inexacto” en un comunicado enviado a elDiario.es: “Para proteger la privacidad de las personas, tenemos las restricciones más estrictas del sector sobre los tipos de datos que compartimos en las pujas en tiempo real. Este informe hace afirmaciones engañosas e inexactas sobre Google”.
Desde la compañía explican que los datos de salud, raza, religión, afiliación política o ubicación exacta del usuario no se comparten con las empresas que pujan por los espacios publicitarios. También que toda relación con empresas rusas se detuvo tras la invasión de Ucrania. “Nuestras políticas de pujas en tiempo real simplemente no permiten que los actores maliciosos pongan en peligro la privacidad y la seguridad de las personas”, ha insistido la portavoz.
Este medio se ha puesto en contacto también con Microsoft, que no ha enviado una respuesta al cierre de la información. Esta compañía es la que envía a un mayor número de terceras empresas los datos personales que recoge con motivos publicitarios. Ascienden a 1.647 firmas, según los datos facilitados por la propia multinacional. En el caso de Google, la cifra es de 1.102.
El informe también cita a Amazon y Meta como autores de las mismas prácticas de trasvase de datos, aunque no ha hallado evidencias tan concretas como en los casos de Google o Microsoft. Amazon ha preferido no hacer comentarios ante la petición de elDiario.es, mientras que Meta no ha contestado al requerimiento.