Tus gustos, tus encuentros, tu ubicación: revelan cómo la falta de control con tus datos en la industria publicitaria permite el espionaje masivo

Un joven británico provocó que en julio de 2022 un caza del Ejército del Aire español tuviera que despegar para escoltar un vuelo comercial que hacía la ruta de Londres a Menorca. La Fiscalía le imputaba un delito de desórdenes públicos y pedía en la Audiencia Nacional una multa de 22.500 euros y una indemnización de 95.000 para el Ministerio de Defensa.

El avión militar despegó tras recibir un aviso de bomba en aquel vuelo procedente de Reino Unido. Un aviso de bomba que era una broma. La vista se ha celebrado hace apenas unos días y muchos medios han acentuado en lo cara que le puede salir el chiste al joven Aditya Verma. 

Lo que no llegó a los titulares es que la broma y el eventual aviso de bomba lo trasladó jocosamente el joven británico, según dice, a través de un chat privado a sus amigos. "De camino a estallar el avión, soy miembro de los talibán", escribió jocosamente en un grupo de Snapchat. 

Según Fiscalía, el mensaje fue captado por los servicios de seguridad británicos cuando el avión sobrevolaba Francia y se dio aviso a España. Finalmente, el británico ha sido absuelto. La resolución de la Audiencia Nacional resalta que, "por causas que se desconocen" —aquí tienes una teoría—, ese mensaje "fue captado por los mecanismos de seguridad de Inglaterra".

Ya no es ninguna novedad. Los móviles son dispositivos que te conectan al mundo, pero también que te atan a las redes de vigilancia masiva. Son brazaletes de libertad vigilada. De hecho, ese término, "brazalete", lo utilizó un empresario israelí en vídeos promocionales —ahora retirados de YouTube— de una empresa de vigilancia y ciberinteligencia israelí, Patternz.

Patternz retiró ese vídeo hace unos meses después de que el medio de comunicación tecnológico 404 Media comenzara una investigación que ha desembocado en este reportaje. Un reportaje en el que se desgrana con algún detalle cómo esta firma israelí era capaz de espiar masivamente a la población sin necesidad de desarrollar un programa espía.

La filósofa Carissa Véliz explica por qué "no es demasiado tarde" para defender tu privacidad frente a las tecnológicas: 3 claves para hacerlo extraídas de su libro

La industria del spyware es muy prominente en mercados como el israelí. No en balde, en los últimos años compañías de allí, como NSO Group, se han vuelto famosas en todo el mundo tras protagonizar escándalos relacionados con el hackeo de dispositivos de activistas, periodistas o mandatarios políticos de primer nivel, con el ejemplo de su programa Pegasus entre los más recientes.

La diferencia de Patternz con NSO Group y su Pegasus es, precisamente, que no necesitaban ni instalar ni inocular nada en los dispositivos sobre los que querían extraer información. Les bastaba con tener vínculos con una firma de publicidad digital que operaba como intermediaria en el mercado en el que se subastan espacios para poder extraer todo tipo de datos.

Lo habitual es que la industria publicitaria esté plagada de intermediarios. Hay muchos cambios en marcha en este sector, desde que el navegador Google Chrome deje de soportar las cookies de terceros a que Apple introdujera hace años un mecanismo en sus dispositivos iPhone para evitar que firmas como Facebook realizaran perfiles publicitarios de sus usuarios.

Esos intermediarios sirven para conectar los espacios publicitarios con los anunciantes y participan de un mercado de subastas en tiempo real en el que se ofertan audiencias. Los anunciantes siempre tienen especial interés en dirigirse a una audiencia concreta. Por ejemplo, una firma de cosmética y maquillaje suele preferir dirigirse a un público que se identifique con el género femenino.

Los hallazgos de 404 Media revelan qué sucede cuándo al otro lado de la cadena no hay un anunciante, sino una compañía de vigilancia y espionaje dispuesta a ofrecer sus sofisticados servicios tecnológicos a las agencias de seguridad de todo el mundo.

No es el primero de estos reportajes que pone de relieve cómo funciona este mundo. Solo el año pasado, Bloomberg compartió una investigación sobre otra firma israelí, Rayzone Group. En septiembre, el periódico israelí Hareetz publicó sus pesquisas sobre otras firmas de su país. Y The Wall Street Journal también lanzó una información sobre cómo funciona este mercado.

Cómo funcionaba Patternz y cómo ha podido espiarte a través del móvil

Lo habitual, hasta ahora, era que este tipo de firmas desarrollaran sus programas espías —con un comportamiento muy similar a cualquier amenaza detectada por la industria de la ciberseguridad—, pero el caso de Patternz es llamativo porque, irremediablemente, ha contado con la colaboración de gigantes de la industria publicitaria —Google, por ejemplo— para perseguir sus fines.

La investigación de 404 Media se basa en material de marketing "ya eliminado", como vídeos, presentaciones y publicaciones. Mucho de ese material ha sido en realidad recopilado por activistas en defensa de la privacidad o investigadores como Wolfie Christl, de Cracked Labs, un instituto de investigación austríaco especializado en este tipo de apps de espionaje.

"La omnipresente máquina de vigilancia que se ha desarrollado para la industria de la publicidad en línea ahora permite que los gobiernos puedan hacer vigilancias masivas. Muchas empresas, desde desarrolladoras de pequeñas apps a anunciantes y grandes tecnológicas, están actuando de forma irresponsable. Esto tiene que acabar", advertía Christl en declaraciones a 404 Media.

Patternz, en ese sentido, es prácticamente un agregador de información sustraída de los usuarios. El material de la firma israelí consultado por este medio reivindicaba que diariamente podía analizar hasta 90 terabytes diarios y sumar más de 5.000 millones de identificaciones registradas. 

"Cada dispositivo tiene una identificación única y podemos crear un perfil a su alrededor", defendía Rafi Ton, quien según 404 Media fue CEO de Patternz, en muchos de los vídeos que han desaparecido de la red. "Analizamos el comportamiento [de los usuarios] en unas 600.000 aplicaciones". Aplicaciones tan dispares como la plataforma de humor gráfico 9gag, sin ir más lejos.

En muchos de los vídeos que alojaba el perfil de Patternz en YouTube aparecía Ton reconociendo que "cualquier móvil se convierte de facto en un brazalete de rastreo". Brazaletes —o tobilleras— como usan los reclusos que están cumpliendo una pena privativa de libertad en casa. Se pueden extraer datos de "prácticamente cualquier app móvil que tenga anuncios", incidía.

Muchos de esos vídeos, cuenta 404 Media, parecían destinados a las agencias nacionales de seguridad de los países a los que Patternz se ofrecía. El producto, visto con las gafas de una agencia de inteligencia, es jugoso: una plataforma que agrega y analiza datos que extrae a su vez la información de cualquier app que use anuncios y rastree a sus usuarios con fines publicitarios.

Pero, ¿cómo? Ton, el que según 404 Media fuera CEO de Patternz, es bastante claro: "No necesitamos instalar nada en los teléfonos". ¿Entonces?

Uno de los vídeos de Patternz ya desaparecidos después de que 404 Media iniciara su investigación aseguraba que la plataforma tenía un "brazo adtech plenamente funcional, comercial y operativo que actualmente trabaja en el sector". Efectivamente, la industria de la publicitaria funciona con anunciantes, intermediarios y espacios de anuncio.

Solo había que cambiar un anunciante por una plataforma de vigilancia. Y esa plataforma sería Nuviad. ¿Qué vínculo une a Patternz y Nuviad, un intermediario publicitario supuestamente legítimo? Rafi Ton es el CEO de Nuviad, algo que Business Insider España sí ha podido comprobar en el perfil en LinkedIn del susodicho.

He contado todas las cámaras de vigilancia que he visto por la calle en el trayecto de casa al trabajo y tengo claro que la privacidad ya no está solo en nuestras manos

Sin embargo, 404 Media dice "no saber" si Nuviad ha ofrecido los datos "recopilados" del ecosistema publicitario a Patternz. En correos electrónicos cruzados entre el intermediario y el medio digital, la empresa lo niega. "Ton solo fue CEO interino de Patternz", respondía Nimrod Schwartz, presidente y jefe de Negocio de Nuviad.

"Nuviad es un pequeño proveedor de servicios digitales de Israel. (...) Patternz trabaja con estructuras algorítmicas y no tiene nada que ver con los datos, al mismo tiempo que Nuviad no tiene nada que ver con el trabajo de Patternz", incidía Schwartz. Los clientes de Patternz y los clientes de Nuviad "no están siquiera en la misma geografía, no sé cómo compartir datos tendría sentido".

"¡Bravo! Acabas de matar una empresa": las respuestas de Nuviad no convencen a Google

Las respuestas de Schwartz, una persona que trabajaría con Ton en Nuviad, no han convencido a quien más debía: a Google.

Son los gigantes tecnológicos los que habitualmente son los responsables de los ecosistemas en los que se subastan estos espacios publicitarios y en consecuencia también son responsables de las potenciales audiencias y, por lo tanto, de los datos que las integran y que identifican a los usuarios. 

Después de que 404 Media iniciara sus investigaciones, Google reaccionó vetando a Nuviad de su listado de intermediarios que accedían al ecosistema: 

"Nos tomamos nuestra responsabilidad sobre la privacidad de las personas muy en serio, por eso tenemos las restricciones más grandes de la industria sobre los tipos de datos que compartimos en las subastas [publicitarias] en tiempo real", comienza un comunicado que el gigante del buscador trasladó al medio tecnológico.

"No compartimos datos de localización precisos ni datos personales sensibles (...) y nuestras políticas prohíben explícitamente los intentos de identificar o crear perfiles individualizados", advertía un portavoz de la compañía. Junto a esas palabras, Google cerró la cuenta de intermediario de Nuviad. Otro operador de redes publicitarias, PubMatic, ha hecho lo propio.

También Microsoft, que incluyó en su lista negra de intermediarios a Nuviad el pasado 6 de diciembre, siempre según 404 Media.

404 Media quiso conocer la opinión del presidente y jefe de Negocio de Nuviad, Nimrod Schwartz. Su respuesta fue lacónica: "¡¡¡Bravo!!! Acabas de matar una empresa". Preguntado por el impacto que tendría su negocio las decisiones de Google, PubMatic o Microsoft: "El impacto es simple. Nuviad ha muerto".

En uno de los vídeos promocionales sobre Patternz protagonizados por Ton, 404 Media destaca cómo el empresario israelí conseguía extraer todo tipo de información sensible sobre un único usuario: un móvil Samsung con Android 9, un listado de otros usuarios de los que ha estado cerca el dispositivo o sus intereses —software empresarial, tecnología—.

Incluso los movimientos y localizaciones de otro usuario, con constantes viajes a Rusia, del que el responsable de Patternz adujo que se trataba de una persona que trabaja como personal de cabina en una aerolínea. "Por eso viaja tanto".

Clientes en todo el mundo, cenas con espías y secretismo total: viaje al interior de la industria de soluciones 'ciberofensivas' de la que nace Pegasus

Los hallazgos de 404 Media reflejan cómo la industria de la vigilancia puede introducirse en la publicitaria para extraer todos los datos necesarios para realizar espionajes masivos. 

Las reacciones al reportaje de este medio no se han hecho esperar y, además de los movimientos de Google, Wolfie Christl, el investigador austríaco que ha participado de todas estas pesquisas —ya publicó un extenso informe al respecto el año pasado— ha sido bastante claro en sus redes sociales:

"Las subastas en tiempo real en el mundo de la publicidad digital se basan en compartir datos de todo el mundo sin control. El compartir de forma incontrolada datos extraídos sin un consentimiento válido son ilegales bajo el Reglamento General de Protección de Datos (RGPD)".

"Los reguladores europeos deben acabar con esto e investigar a Google, a Patternz y a otras empresas turbias", concluye.