La infraestructura publicitaria de internet se ha convertido en una poderosa herramienta no solo para el marketing, sino también para el seguimiento silencioso de la ubicación de personas a escala global. De acuerdo con un nuevo informe de Citizen Lab, la plataforma Webloc permite a agencias gubernamentales y cuerpos policiales rastrear dispositivos móviles utilizando exclusivamente datos de publicidad digital, sin recurrir a operadores de telecomunicaciones.
Qué es Webloc y quién utiliza esta plataforma de vigilancia publicitaria
Webloc fue desarrollada por la empresa israelí Cobwebs Technologies, especializada en OSINT (inteligencia de fuentes abiertas) y análisis masivo de datos públicos en línea. Tras la fusión de Cobwebs con la compañía Penlink en julio de 2023, el producto pasó a comercializarse bajo la marca Penlink, un proveedor conocido de soluciones para la interceptación y el análisis de comunicaciones dirigidas a cuerpos de seguridad de numerosos países.
Según Citizen Lab, entre los clientes de Webloc figuran la agencia de inteligencia interior de Hungría, la policía nacional de El Salvador y múltiples organismos de Estados Unidos. En este último caso se mencionan el Immigration and Customs Enforcement (ICE), unidades del Ejército estadounidense, el Departamento de Seguridad Pública de Texas, estructuras regionales del DHS, fiscalías de distrito de Nueva York y departamentos de policía de ciudades como Los Ángeles, Dallas, Baltimore, Tucson y Durham, además de otras jurisdicciones locales.
Cómo funciona la geolocalización mediante datos publicitarios
Webloc se comercializa como un módulo complementario de la plataforma de inteligencia digital Tangles. De acuerdo con las estimaciones del informe, el sistema proporciona acceso a un conjunto de datos en constante actualización de hasta 500 millones de dispositivos móviles en todo el mundo, incluyendo información altamente sensible relativa a ubicación y comportamiento.
Uso de identificadores publicitarios móviles (MAID) y perfiles de usuario
El núcleo técnico de Webloc se apoya en la ya existente economía adtech. La plataforma adquiere masivamente datos a data brokers que recopilan información a través de aplicaciones móviles y redes de anuncios. Entre los datos disponibles destacan:
- Identificadores de dispositivo y Mobile Advertising ID (MAID), identificadores únicos que sistemas como Android o iOS asignan a cada terminal para la publicidad personalizada.
- Coordenadas de geolocalización precisas, obtenidas del GPS u otras técnicas de posicionamiento.
- Datos de perfil y comportamiento, derivados del uso de apps y de la interacción con anuncios.
Con esta información, Webloc puede reconstruir el historial de movimientos de un dispositivo durante hasta tres años, correlacionar rutas habituales y inferir el domicilio y el lugar de trabajo a partir de patrones de permanencia repetidos. El sistema también combina datos de direcciones IP para afinar la localización y permite configurar zonas de interés y MAID concretos para un seguimiento automatizado y continuo.
Infraestructura técnica y conexiones con otras empresas de vigilancia
Citizen Lab también identifica vínculos entre Cobwebs Technologies y el proveedor israelí de software espía Quadream, a través de Omri Timianker, fundador y antiguo presidente de Cobwebs, actualmente responsable de operaciones internacionales en Penlink. Quadream, señalado por investigaciones periodísticas como actor relevante en el mercado de los llamados “cibermercenarios”, habría cesado sus actividades en 2023, pero su legado en el ecosistema de vigilancia comercial sigue siendo significativo.
Los investigadores han identificado al menos 219 servidores activos asociados al despliegue de soluciones de Cobwebs y Webloc. La mayor concentración se encuentra en Estados Unidos (126), seguida de Países Bajos (32), Singapur (17), Alemania (8), Hong Kong (8) y Reino Unido (7). También se detectan posibles nodos en varios países de África, Asia y Europa, lo que apunta a una infraestructura de alcance verdaderamente global.
Riesgos para la privacidad, derechos humanos y marco normativo
El principal riesgo de plataformas como Webloc es su capacidad de vigilancia masiva sin orden judicial ni supervisión efectiva. Informes de Citizen Lab y de medios como 404 Media, Forbes o Texas Observer señalan que ciertos cuerpos policiales han utilizado la herramienta para localizar teléfonos basándose únicamente en datos publicitarios, evitando los controles legales que sí se aplican cuando se solicitan datos a operadores de telecomunicaciones.
El historial de Cobwebs refuerza estas preocupaciones. En 2021, Meta (matriz de Facebook) eliminó alrededor de 200 cuentas vinculadas con Cobwebs y otros seis proveedores de “ciberinteligencia bajo demanda” por actividades de vigilancia encubierta, selección de objetivos y uso de ingeniería social. Según Meta, parte de esta actividad se dirigía no solo a delincuentes, sino también a activistas, opositores políticos y funcionarios públicos, con casos documentados en Hong Kong y México.
La respuesta de Penlink y la necesidad de regulación de los data brokers
Penlink ha respondido al informe de Citizen Lab afirmando que sus conclusiones se basan en “información inexacta o malinterpretada” y que la empresa ha dejado de utilizar determinadas prácticas heredadas de Cobwebs tras la fusión de 2023, cumpliendo las leyes de privacidad estadounidenses. Sin embargo, la opacidad técnica de estas soluciones y la ausencia de auditorías públicas dificultan la verificación independiente de estas afirmaciones.
Para gobiernos, empresas y ciudadanía, el caso Webloc ilustra cómo la analítica publicitaria ordinaria puede transformarse en un potente instrumento de inteligencia y vigilancia. Minimizar el riesgo exige actuar en varios frentes: los usuarios deberían revisar los permisos de sus aplicaciones, limitar el seguimiento publicitario (IDFA/GAID), desactivar en la medida de lo posible la publicidad personalizada y adoptar herramientas de privacidad; las organizaciones deberían aplicar estrictos principios de minimización de datos; y los reguladores necesitan normas claras que controlen a los data brokers y restrinjan el acceso de las autoridades a perfiles publicitarios, equilibrando la investigación de delitos con la protección frente a una vigilancia ubicua y desproporcionada.
