Un reciente estudio dirigido por investigadores españoles ha revelado cómo miles de aplicaciones móviles rastrean a los usuarios sin necesidad de activar el GPS.

A través de señales de bluetooth y redes wifi, estas apps pueden conocer la ubicación de una persona con una precisión sorprendente, especialmente en interiores, y sin su consentimiento explícito.

El hallazgo será presentado en la conferencia internacional sobre privacidad PETS, que se celebrará este 14 de julio en Washington.

Según la investigación, el problema radica en que muchas apps incluyen kits de desarrollo de software (SDK) —herramientas prefabricadas que integran funcionalidades— que permiten escanear redes y dispositivos cercanos.

Aunque estas herramientas pueden ser útiles, también recolectan información personal y de ubicación que luego es enviada a empresas desconocidas para crear perfiles, mostrar publicidad personalizada o incluso rastrear movimientos sensibles.

En total, se detectaron 52 SDK con funciones de rastreo que están presentes en casi 10,000 apps, acumulando más de 55 mil millones de instalaciones. Muchas de ellas pertenecen a sectores como estilo de vida, deportes, banca, educación o entretenimiento.

Entre los datos recopilados se incluyen el ID del dispositivo, coordenadas GPS, redes wifi cercanas, escaneos bluetooth y patrones de movimiento.

Este rastreo invisible puede derivar en situaciones preocupantes. Por ejemplo, recibir anuncios relacionados con lugares que el usuario ha visitado de forma privada, como clínicas, templos o incluso sitios ilegales.

“La ubicación revela mucho más de lo que imaginamos: lo que compras, tus intereses, con quién estás y adónde vas”, explica Juan Tapiador, uno de los autores del estudio y catedrático en la Universidad Carlos III.

Uno de los aspectos más alarmantes es que estas prácticas se hacen sin la intervención directa del usuario. Muchas veces, ni siquiera la app principal accede a los datos, sino que es un tercer SDK el que recolecta y distribuye la información.

Esto plantea graves riesgos de privacidad, pues los datos podrían terminar en manos de empresas de publicidad, análisis o incluso ser utilizados para fines no comerciales como vigilancia o control.

Además, las bases de datos públicas de balizas bluetooth o puntos de acceso wifi permiten triangular la ubicación exacta de una persona, incluso si no ha activado el GPS. Esta técnica ya se ha usado en parques temáticos para ofrecer accesos rápidos según el comportamiento del visitante, pero su uso no siempre es transparente.

El estudio advierte que, aunque los permisos estén supuestamente regulados, muchas apps los abusan. En su análisis, el 86% de las apps que utilizan estas balizas recopilan también información personal, sin que los usuarios sean plenamente conscientes de ello.

Los investigadores alertan sobre la falta de supervisión en este ecosistema de desarrollo y piden una mayor regulación y control sobre los SDK utilizados en apps, así como una mejor información para los usuarios sobre qué datos están cediendo y con qué fines.