Aldus Huxley: “La libertad consiste en hacer lo que uno debe hacer, mientras que la esclavitud consiste en hacer lo que la gente quiere que hagamos.” Aquí, Huxley contrasta la autodeterminación con la influencia externa
El caso Gravy Analytics, el mayor escándalo de espionaje del siglo
5 de Enero de 2025, hace sólo unos días. El pirata informático, conocido con el nombre de «Nightly», reivindicó la autoría de la filtración en un foro ruso, con publicaciones de capturas de pantalla como prueba. La víctima: Gravy Analytics, una importante empresa de seguimiento de ubicaciones. La brecha implica el robo de aproximadamente 1,4 gigabytes de datos, que posteriormente aumentaron a más de 17 terabytes. Los datos filtrados incluyen información detallada sobre la ubicación de más de 15.000 aplicaciones, entre ellas algunas tan populares como Tinder, Candy Crush Saga y MyFitnessPal.
Las capturas de pantalla publicadas por los atacantes sugieren que obtuvieron acceso privilegiado a los servidores Gravy Analytics y control sobre sus dominios y los datos en «buckets» de Amazon-S3, que a menudo se utilizan para el almacenamiento de datos a gran escala.
Los piratas informáticos advirtieron a Gravy Analytics que comenzarían a publicar los datos robados si la compañía no respondía dentro de las 24 horas.
El 8 de enero de 2025, el sitio web de Gravy Analytics permanece fuera de línea. El daño está hecho.
Los datos abarcan millones de dispositivos en Estados Unidos, Rusia y Europa, y algunos archivos hacen referencia a aplicaciones concretas, como Call of Duty: Mobile Season 5, lanzado en mayo de 2024.
Expertos de las empresas RedSense y Huntress confirmaron la autenticidad de los datos filtrados.
Lo bueno y lo malo
Gravy Analytics se vio implicada anteriormente en una ofensiva de la administración del Presidente Joe Biden por incurrir en prácticas engañosas al recopilar datos de localización sin el debido consentimiento, pero por lo reportado, parece mas bien lo contrario. Gravy Analytics facilitaba datos a agencias del Gobierno de los EEUU de todos los usuarios de más de 15000 aplicaciones.
El sitio de Gravy Analytics estuvo caído durante el incidente y la empresa guardó silencio. La Comisión Federal de Comercio (FTC) había llegado a un acuerdo con Gravy Analytics y otro intermediario, Mobilewalla, en diciembre de 2024, tras acusarles de prácticas engañosas por recopilar datos de localización sin el debido consentimiento.
Esta filtración nos ha mostrado cómo las compañías de telecomunicaciones mayoritarias como Google o Apple, utilizan todos los medios interpuestos para espiar y vender nuestros datos más privados. Ni jugar podemos hacerlo sin guardar precauciones. Lo bueno: yque a lo sabemos.
Más de 15000 Aplicaciones al descubierto, sin el conocimiento de los fabricantes del software
Candy Crush, Tinder, MyFitnessPal: Miles de Aplicaciones Secuestradas para Espiar Su Ubicación —a sabiendas o no— para recopilar su información sin su consentimiento. Da risa el GDPR. Todos los días.
Las miles de aplicaciones, incluidas en los archivos pirateados de Gravy Analytics, incluye los sitios de citas Tinder y Grindr; juegos masivos como Candy Crush, Temple Run, Subway Surfers, y Harry Potter: Rompecabezas y Hechizos; aplicación de geolocalización Moovit; My Period Calendar & Tracker, una aplicación de seguimiento de períodos con más de 10 millones de descargas; popular aplicación de fitness MyFitnessPal; red social Tumblr; cliente de correo electrónico de Yahoo; Outlook, Microsoft 365; y rastreador de vuelo Flightradar24. La lista también menciona múltiples aplicaciones centradas en la religión, como la oración musulmana y las aplicaciones de la Biblia cristiana, varios rastreadores de embarazo y muchas aplicaciones VPN, que algunos usuarios pueden descargar, irónicamente, en un intento de proteger su privacidad. Múltiples investigadores de seguridad han publicado otras listas de aplicaciones incluidas en los datos, de diferentes tamaños. Nuestra versión es relativamente más grande porque incluye aplicaciones de Android e iOS, y decidimos mantener instancias duplicadas de la misma aplicación que tenían ligeras variaciones de nombre para facilitar a los lectores la búsqueda de aplicaciones que han instalado.
No es un código desarrollado por los propios creadores de la aplicación—esta recopilación de datos probablemente ocurra sin que los usuarios o incluso los desarrolladores de aplicaciones lo sepan —.
Según Zach Edwards, analista senior de amenazas de Silent Push a través de 404 Media, una publicación de periodistas independientes que publican sobre cómo la tecnología afecta a los humanos: «Los datos proporcionan una visión diferente dentro del mundo de las ofertas en tiempo real (RTB). Históricamente, las empresas de datos de ubicación pagan a desarrolladores de aplicaciones para incluir paquetes de código que recopilan datos de ubicación de los usuarios».
Por primera vez, tenemos evidencias de que uno de los mayores brokers de datos que venden datos a clientes (comerciales y gubernamentales) está adquiriendo sus datos de publicidad en línea sin consentimiento de nadie y fuera del código de las aplicaciones.
Muchas empresas han recurrido a obtener información de ubicación a través del ecosistema publicitario, donde las empresas ofertan por colocar anuncios dentro de las aplicaciones. Un efecto secundario es que los brokers de datos pueden cosechar la ubicación de los teléfonos móviles, sin consentimiento. «Al registrarse, usted acepta nuestro acuerdo de usuario (incluyendo disposiciones de exención de demanda colectiva y arbitraje), y reconocer nuestro política de privacidad».
En los datos hackeados de Gravy Analytics se incluyen decenas de millones de coordenadas de dispositivos de teléfonos móviles dentro de los Estados Unidos, Rusia y Europa.
No está claro si Gravy recopiló estos datos de ubicación por sí mismo o los obtuvo de otra compañía, o qué compañía de ubicación finalmente los posee o tiene licencia para usarlos. Gran parte de los datos de ubicación adjuntos a estos nombres de aplicaciones no tienen una marca de tiempo. Hay indicios de que data de 2024.
Gravy es una compañía que impulsa gran parte del resto de la industria de datos de ubicación; recopila datos de ubicación de teléfonos móviles de varias fuentes, luego los vende a compañías comerciales o, a través de su subsidiaria Venntel, a Agencias Gubernamentales de los Estados Unidos.
El Outlet noruego NRK reveló el flujo de datos de ubicación de un puñado de aplicaciones a Gravy y luego a Venntel. Los clientes de Venntel incluyen Inmigración y Control de Aduanas, Aduanas y Protección de Fronteras, el IRS, el FBI, y la DEA. Venntel también ha proporcionado los datos para otra herramienta de vigilancia comprada por el gobierno llamada Locate X.
El año pasado 404 Medios y un grupo de otros revelaron cómo esa herramienta, de la Compañía Babel Street, podría usarse para monitorear a los visitantes de clínicas de aborto fuera del estado.
Pero los datos pirateados muestran una cadena de aplicaciones, como parte de una cadena de suministro de datos de ubicación, aunque sus desarrolladores no lo sepan. La mayoría de los desarrolladores de aplicaciones y las empresas incluidas en la lista no respondieron a una solicitud de información sobre los datos revelados:
Flightradar24 dijo en un correo electrónico que nunca había oído hablar de Gravy, pero que muestra anuncios, que “ayudan a mantener Flightradar24 gratis.”
Tinder dijo en un correo electrónico que Tinder se toma muy en serio la seguridad. No tenemos ninguna relación con Gravy Analytics y no tenemos evidencia de que estos datos se hayan obtenido de la aplicación Tinder, pero no respondimos preguntas sobre anuncios dentro de la aplicación.
Muslim Pro, una de las aplicaciones de oración musulmana incluidas en la lista, dijo en un correo electrónico que no estaba al tanto de Gravy. Sí, mostramos anuncios a través de varias redes publicitarias para admitir la versión gratuita de la aplicación. Pero no autorizamos a estas redes a recopilar datos de ubicación de nuestros usuarios, dijo el correo electrónico. Sin embargo, eso no significa necesariamente que un miembro del ecosistema publicitario pueda extraer dichos datos. (En 2020 se probó que Muslim Pro estaba vendiendo sus datos de ubicación de usuarios a una compañía llamada X-Mode, cuyos clientes incluían contratistas militares de los Estados Unidos; Muslim Pro detuvo la práctica después del informe.)
Un portavoz de Grindr le dijo a 404 Media en un correo electrónico que Grindr nunca ha trabajado ni proporcionado datos a Gravy Analytics. No compartimos datos con agregadores de datos o brokers y no hemos compartido la geolocalización con socios publicitarios durante muchos años. La transparencia es el núcleo de nuestro programa de privacidad, por lo tanto, los terceros y proveedores de servicios con los que trabajamos se enumeran aquí en nuestro sitio web. Anteriormente, se descubrió que Grindr permitía a los brokers de datos obtener ubicaciones de sus usuarios.
Un delito silencioso
Es posible que no sepa que alguna compañía, en algún lugar, está escuchando en silencio el proceso de anuncios publicitarios y desviando datos de su aplicación. Las empresas de vigilancia pueden obtener datos RTB mediante adquisición de empresas de tecnología publicitaria, haciéndose pasar por posibles anunciantes. La Agencias Gubernamentales utilizan a los brokers de datos de ubicación para espiar sin manifestarse, a través de los anuncios.
El pasado enero, 404 Medios informó en una compañía de vigilancia israelí llamada Patternz, estaba obteniendo grandes cantidades de datos de ubicación a través del proceso RTB. En un video de entrenamiento expuesto, Patternz mostró algunas de las aplicaciones de las que obtuvo datos de ubicación: 9GAG, Kik, la aplicación deportiva FUTBIN, las aplicaciones de ID de llamada como CallApp y Truecaller; y varios juegos de rompecabezas de palabras, sudoku y solitario. Cada una de estas aplicaciones están en los datos de Gravy. Esto sugiere que Gravy, o de donde Gravy obtiene los datos, los obtuvo al interactuar con el sistema de publicidad en lugar del código de seguimiento de ubicación incorporado en las aplicaciones.
“Parece que al menos algunos de estos datos probablemente se habrían obtenido de RTB relacionados con publicidad», dijo a 404 Media Krzysztof Franaszek, fundador de Adalytics. La clave: afma-sdk. Un string utilizado por Google Mobile Ads SDK (kit de desarrollo de software). La plataforma de publicidad de Google, que está entregando los anuncios que conducen a este seguimiento por parte de compañías externas y, potencialmente, contratistas del gobierno. Google no se manifiesta. Tampoco Apple.
404 Media ha verificado los datos hackeados de Gravy.
Un archivo llamado «users» contiene una larga lista de empresas. Algunas de estas empresas negaron tener alguna relación con Gravy;
Cuebiq, otra firma de datos de ubicación mencionada en el archivo, le dijo a 404 Media que “evalúa rutinariamente los datos disponibles en el mercado para determinar si son adecuados para nuestro negocio».
404 Media también envió una sección de los datos a otro Broker de datos llamado Datonics. «Investigamos el asunto descrito en su correo electrónico, y los ID de segmento en esos archivos son los de Gravy, no Datonics», dijo la compañía en un correo electrónico.
Unacast, fusionada con Gravy en 2023, no se manifestó, tanto sobre el hackeo como si él o cualquiera de sus proveedores han obtenido datos de ubicación en tiempo real a través de RTB.
Conclusión
La filtración revela que tanto empresas comerciales como agencias gubernamentales tienen acceso a esta información. Cuestionamos seriamente la efectividad de las normativas de privacidad, como GDPR.
Hay un problema sistémico: los datos no solo se obtienen directamente a través del código de las aplicaciones, sino que también se extraen mediante intermediarios del ecosistema publicitario, proveedores de Sistemas Operativos como Google o Apple abren sus puertas traseras para espiar. No hay transparencia en la cadena de suministro de datos y las prácticas de recopilación son absolutamente opacas. Los usuarios estamos en desventaja, sin saber realmente cómo y dónde se utilizan nuestros datos.
A pesar de la vigilancia y los mecanismos que teóricamente deberían proteger nuestra privacidad, esta brecha muestra que los usuarios están más expuestos de lo que creen.
Gravy Analytics es un caso más para salir de las Grandes Empresas que nos utilizan para espiarnos desde las aplicaciones, el sistema de publicidad o la actividad de google o Apple. Básta Ya.