Bajo vigilancia: Cómo los datos de localización ponen en peligro la seguridad alemana

Este artículo ha sido nominado para el European Press Prize 2025 en la categoría Innovation. Publicado originalmente por Bayerischer Rundfunk/BR24 y netzpolitik.org, Alemania. Traducción realizada por kompreno.

Nuestros smartphones saben mucho de nosotros. Por ejemplo, nuestra ubicación.

Esta información permite a las aplicaciones de navegación llevarnos hasta el último metro, mientras que las aplicaciones meteorológicas nos dicen cuándo puede llover y las de citas nos muestran las personas que tenemos cerca.

Pero muchos proveedores de aplicaciones venden nuestros datos de localización.

Esta investigación de la radiotelevisión pública Bayerische Rundfunk (BR) y netzpolitik.org muestra por qué estos datos son peligrosos para altos cargos públicos, militares e incluso agentes de inteligencia.

Es un martes por la mañana temprano en algún lugar de Baviera. Una persona sube a su coche para ir a trabajar. Los datos de localización de la persona, que hemos obtenido, muestran la ruta exacta que ha seguido para ir al trabajo. El trayecto termina en una instalación segura a la que la mayoría de la gente no tiene acceso: una intelligencelocation en la Alta Baviera.

Como suele ocurrir, esta persona aparca su coche en el aparcamiento del cuartel de Mangfall, en Bad Aibling.

La antigua base militar alemana aparece señalada en amarillo.

Hoy en día, el lugar sirve como oficina de campo públicamente conocida del Bundesnachrichtendienst (BND), la organización de inteligencia exterior de Alemania.

El nombre de la persona no figura en los datos. Pero podemos averiguar dónde vive probablemente, es decir, en la casa donde pasa la mayor parte de las noches. Tenemos miles de señales de ese lugar. Para proteger a la persona, no publicamos aquí su lugar de residencia.

Podemos seguir su ruta al trabajo docenas de veces.

Las personas no autorizadas no pueden entrar en las instalaciones del BND. Casi nadie de los que trabajan allí hace pública su situación laboral.

Pero podemos ver claramente que esta persona accede a las instalaciones del BND desde la calle Texas.

Y también podemos ver algo más: Esta persona siempre se dirige al mismo edificio. Hay un grupo de datos de localización, representados como puntos azules, en el sitio.

Estos datos de localización proceden de un vasto conjunto de datos que nosotros, BR y netzpolitik.org, hemos evaluado: largas tablas con coordenadas, marcas de tiempo con precisión de segundos y números de identificación conocidos como ID de publicidad. Expresados como una serie de letras y números, los ID publicitarios son utilizados por la industria publicitaria para enviar publicidad dirigida a determinados teléfonos inteligentes. Pero los datos de localización también pueden utilizarse para otros fines: Si se dispone de todos los datos de localización de un ID publicitario concreto, se puede crear el perfil de movimiento de una persona concreta.

Estos conjuntos de datos se venden en Internet, por ejemplo en un mercado con sede en Berlín. Cuando netzpolitik.org se puso en contacto con un vendedor, éste puso a su disposición gratuitamente un conjunto de datos de muestra con la esperanza de conseguir un nuevo cliente. Los datos incluyen 3.600 millones de puntos de localización individuales de aplicaciones de teléfonos inteligentes. Nuestro informe muestra que los datos permiten establecer perfiles de movimiento -algunos de ellos bastante precisos- de varios millones de personas en toda Alemania.

Estos perfiles de movimiento revelan detalles personales, incluso íntimos, de los usuarios de teléfonos inteligentes: ¿Dónde trabajan? ¿Dónde viven? ¿Dónde hacen la compra? ¿Pasan a veces la noche en otro sitio? ¿Visitan con frecuencia el hospital? ¿O al psiquiatra? ¿O tal vez a un burdel? Encontramos todo eso en el conjunto de datos que nos proporcionaron.

En una entrevista con BR y netzpolitik.org, Konstantin von Notz, diputado del Partido Verde en el Parlamento alemán, el Bundestag, habló de un problema de protección de datos para todas las personas en Alemania "que tienen un teléfono móvil y que tienen que poder moverse libremente y sin ser observadas en este país". Es el presidente del Panel de Supervisión Parlamentaria (PKGr) del Bundestag, que vigila a las organizaciones de inteligencia alemanas. Pero, ante todo, ve un "problema de seguridad relevante", y advierte de que Estados hostiles podrían utilizar esos datos con fines de espionaje.

Y de hecho podemos conocer, con ayuda de nuestro conjunto de datos, detalles privados de la persona que se desplaza regularmente al edificio de Bad Aibling: incluidas relaciones familiares, supermercado preferido y actividades de fin de semana.

Incluso podemos ver en qué parte del complejo del BND pasa esta persona la mayor parte del tiempo: en un edificio que saltó a los titulares de todo el mundo hace varios años.

La persona se dirige con frecuencia a un edificio que desempeñó un papel en los documentos hechos públicos en 2013 por el denunciante Edward Snowden: una estructura con techo de metal y sin ventanas a la que los agentes del BND supuestamente se referían como "la Lata." Según los documentos hechos públicos por Snowden, la agencia de inteligencia estadounidense NSA utilizaba el edificio para la vigilancia de Internet.

También podemos ver en los datos que la persona también pasó tiempo en otras bases militares estadounidenses en Alemania y en un sitio diferente del BND. Es posible vincular el domicilio de la persona con el ejército estadounidense.

A distancia, no podemos probar que esta persona trabaje para la agencia de inteligencia estadounidense NSA en Alemania. Pero hay muchas pistas que apuntan en esa dirección. Nos dirigimos a la embajada de Estados Unidos y al BND para preguntarles si siguen colaborando en Bad Aibling y si son conscientes de que los datos de localización podrían proporcionar una vía para el espionaje. Pero no recibimos respuesta a nuestra consulta.

Seguimos analizando los datos para ver si otros organismos de seguridad podrían verse afectados, y rápidamente hacemos nuestro siguiente descubrimiento.

El distrito de Chorweiler, en Colonia: aquí se encuentra la sede de la Oficina Federal Alemana para la Protección de la Constitución (Verfassungsschutz), la agencia de inteligencia nacional del país. En las fotos de satélite, el edificio parece una línea en zigzag. La misión de la Verfassungsschutz incluye el contraespionaje y la protección del país contra el terrorismo y los ciberataques.

Al igual que en el BND, quienes trabajan aquí no suelen hacer público su lugar de trabajo.

Los que trabajan aquí deben entregar sus teléfonos móviles a la entrada por razones de seguridad, como dijo el Ministerio del Interior alemán al ser contactado. Y eso se ve claramente en los datos.

Efectivamente, podemos encontrar relativamente pocos datos de localización dentro del edificio. Pero hay numerosos puntos de datos en los aparcamientos y en varias entradas del edificio.

Seguimos los datos de localización de una persona que aparca allí habitualmente. A partir de su lugar de residencia, podemos determinar su nombre y encontrar varios perfiles en redes sociales. Ahora conocemos su edad aproximada, su nivel educativo, su situación familiar y sus aficiones, además de haber visto numerosas fotos de sus vacaciones.

Al ser contactada por BR y netzpolitik.org, la Verfassungsschutz dijo que los teléfonos privados y de trabajo no están permitidos en las instalaciones de la agencia. Se trata de una norma que puede dificultar que la información confidencial llegue al exterior. Pero a pesar de la medida, sigue siendo posible rastrear a los miembros del personal hasta sus propios domicilios.

La Verfassungsschutz declaró a BR y netzpolitik.org que establecería medidas adecuadas para la protección de sus empleados y les sensibilizaría sobre los posibles riesgos de seguridad relacionados con la evaluación de sus datos de localización.

Peligro "extremadamente alto" de espionaje

"Si sabes cómo se comporta y se mueve la gente, entonces se la puede espiar", afirma Konstantin von Notz. "Entonces se puede establecer contacto o generar situaciones aleatorias para iniciar una conversación con el objetivo último de reclutarlos, sobornarlos o lo que sea". Su adjunto en el Panel de Supervisión Parlamentaria, el democristiano Roderich Kiesewetter, cree que el riesgo de espionaje es "extremadamente alto". Alemania, dice, está "en el foco de las operaciones de influencia rusas, chinas e iraníes". Los datos comercializados, afirma, ofrecen una vía para el espionaje por parte de agencias de inteligencia extranjeras o delincuentes.

Decenas de miles de casos en el ejército y la policía

Examinamos sistemáticamente otros lugares conocidos públicamente en toda Alemania que son relevantes para la seguridad nacional, y la situación es similar en todas partes. Encontramos decenas de miles de perfiles de movimientos de personas que tienen acceso a estos lugares sensibles, incluidas instalaciones pertenecientes a la Oficina Federal de Policía Criminal (BKA), las Fuerzas de Operaciones Especiales (KSK) del ejército alemán, otras instalaciones militares y de las fuerzas aéreas alemanas, ministerios federales, la agencia alemana responsable de asegurar los suministros militares, la fuerza de élite de la policía federal alemana (GSG9), empresas de defensa y muchas más.

Campo de Entrenamiento Militar de Grafenwöhr

191.415 datos de localización de 1.275 identificadores publicitarios

Alrededor de 13.000 soldados estadounidenses están estacionados en Grafenwöhr, junto con miembros de la Bundeswehr y otros ejércitos de la OTAN. En abril, la BKA detuvo aquí a dos rusos-alemanes que se creía que espiaban en nombre de una agencia de inteligencia rusa.

Campo de Kherson, Grafenwöhr

1.192 puntos de datos de 39 identificaciones publicitarias

El Campamento Kherson se encuentra dentro del Campo de Entrenamiento Militar de Grafenwöhr. En la actualidad, el ejército estadounidense entrena a soldados ucranianos en el uso de varios sistemas de armas, incluidos los carros de combate Abrams.

Cuarteles del Parque Treptower, Berlín

4.639 puntos de datos de 693 identificaciones publicitarias

Este lugar es un punto neurálgico para las agencias de seguridad, ya que en él colaboran estrechamente la policía y los servicios de inteligencia. Sólo en el Centro Conjunto Antiterrorista cooperan unas 40 agencias, entre ellas la BKA, la Verfassungsschutz , el BND y la agencia de inteligencia militar alemana MAD.

Base aérea de Büchel

38.474 puntos de datos de localización de 189 identificadores publicitarios

La Base Aérea de Buchel es un emplazamiento utilizado por las Fuerzas Aéreas alemanas. También se cree que alberga armas nucleares estadounidenses estrictamente vigiladas. Sin embargo, oficialmente no se confirma ni se discute la posible ubicación de armas nucleares.

Kaserne Lucius D. Clay, Wiesbaden

74.968 puntos de datos de localización de 799 identificadores publicitarios

Aquí se encuentra el cuartel general europeo del ejército estadounidense y pronto se convertirá en el cuartel general de la OTAN para apoyar a Ucrania. El lugar también es importante para los servicios de inteligencia, ya que varias agencias estadounidenses utilizan la estación de vigilancia que hay allí.

Oficina Federal de Equipamiento de la Bundeswehr, Coblenza

7.356 puntos de datos de localización de 220 identificaciones publicitarias

La oficina es responsable de equipar a los militares alemanes, la Bundeswehr, con armas y otros materiales. En mayo, un oficial destinado aquí fue condenado a tres años y medio de prisión por espionaje. Fue declarado culpable de pasar información a Rusia.

Bundesnachrichtendienst (BND), Pullach

990 datos de localización de 108 identificadores publicitarios

Este lugar funcionaba como cuartel general del BND y sigue siendo vital para la capacidad de vigilancia técnica de la agencia. Se cree que un antiguo jefe de departamento del BND que trabajó aquí pasó información clasificada a los rusos. Actualmente es objeto de un proceso judicial por alta traición.

Base Aérea de Ramstein

164.223 puntos de datos de localización de 1.964 identificadores publicitarios

El aeropuerto militar de Renania-Palatinado es la mayor base estadounidense fuera de Estados Unidos. Ramstein es el centro logístico del ejército estadounidense en Europa y desempeña un papel clave en la defensa antimisiles de la OTAN.

Bundesnachrichtendienst (BND), Berlín

1.744 puntos de datos de localización de 332 identificadores de publicidad

Terminado en 2019, el complejo de edificios sirve como sede de la agencia de inteligencia exterior de Alemania y el sitio donde trabajan la mayoría de los empleados de la agencia. También alberga el centro de formación del BND.

Konrad Adenauer Kaserne, Colonia

7.952 datos de localización de 414 identificadores publicitarios

Este lugar es la sede de la agencia de inteligencia militar alemana MAD. La misión de la agencia incluye descubrir actividades anticonstitucionales, espionaje y sabotaje dentro del ejército alemán.

Graf Zeppelin Kaserne, Calw

8.489 puntos de datos de 107 identificadores publicitarios

Aquí se encuentra el centro de mando de las Fuerzas de Operaciones Especiales de Alemania (KSK), la unidad de élite de la Bundeswehr. Los miembros de las KSK están entrenados para liberar rehenes en el extranjero y detener a personas objetivo, además de otras operaciones delicadas. Por regla general, los soldados del KSK no hacen pública su pertenencia a la unidad.

¿Qué dicen las agencias?

Ante los casos de datos de localización dentro de sus áreas de responsabilidad, el Ministerio del Interior y el Ministerio de Defensa declararon que sus empleados son informados regularmente del peligro de la vigilancia. Al parecer, ambos ministerios son conscientes de que las agencias de inteligencia extranjeras utilizan datos disponibles comercialmente para el espionaje. Declararon que las agencias de inteligencia extranjeras utilizan todos los medios disponibles para adquirir información, ejercer influencia y perseguir sus propios intereses. Eso incluye, dijeron, la compra y el uso de datos disponibles en Internet. La embajada de EE.UU. en Alemania declinó hacer comentarios sobre los casos dentro de su área de responsabilidad.

¿De dónde proceden los datos?

Los datos proceden de un proveedor de datos estadounidense que los ofrece para su compra en un mercado en línea con sede en Berlín. El mercado de Internet Datarade se considera un intermediario entre los proveedores de datos y las personas o empresas interesadas en comprar esos datos. Quienes deseen comprar datos a través de Datarade deben registrarse en la plataforma. Sebastian Meineck, de netzpolitik.org, lo hizo utilizando su nombre real y la dirección de su redacción. Poco después de completar su registro, varios vendedores se pusieron en contacto con Meineck para hacerle ofertas. Tras una breve llamada telefónica, uno de los vendedores le envió un enlace de descarga que conducía a un amplio conjunto de datos. Netzpolitik.org compartió este conjunto de datos con BR, que lo evaluó conjuntamente. La plataforma en línea Datarade y el vendedor de los datos no respondieron a las preguntas de BR y netzpolitik.org.

¿Hemos pagado por los datos?

No. Aunque el conjunto de datos incluye 3.600 millones de puntos de datos, se proporcionó gratuitamente como muestra para una posible suscripción mensual que el vendedor esperaba vender. Los datos corresponden a un periodo de unas ocho semanas cerca de finales de 2023. Una suscripción que incluya datos de localización actualizados cada hora de personas de más de 150 países costaría 14.000 dólares al mes.

¿Por qué se venden estos datos en Internet?

Las empresas suelen comprar esta información para enviar publicidad personalizada a los teléfonos móviles. Un ejemplo: A una persona que visitara una tienda de muebles un sábado se le enviaría publicidad dirigida a objetos de decoración para el hogar.

¿Qué aplicaciones recopilan los datos?

No hemos recibido información sobre las aplicaciones que recogen los datos. Ni el proveedor de datos ni Datarade respondieron a nuestras preguntas. Otros proveedores hablan en general de aplicaciones de meteorología, navegación, juegos y citas, y afirman que han establecido buenos contactos con los desarrolladores de esas aplicaciones y que se les ha facilitado acceso directo a los datos.

Dependiendo de la configuración, los sistemas operativos de teléfonos inteligentes como iOS y Android permiten a las aplicaciones instaladas recopilar y compartir datos de localización. Que lo hagan sólo cuando la aplicación está en uso o también cuando se ejecutan en segundo plano depende del sistema operativo y de los derechos de acceso que el usuario haya dado a la aplicación.

¿Cuál fue la reacción de las personas que encontramos en el conjunto de datos?

BR y netzpolitik.org se pusieron en contacto con varias personas cuyos perfiles de movimiento encontramos en el conjunto de datos. Nos confirmaron que los datos eran exactos. Había algunos errores menores, pero las vacaciones, los desplazamientos al trabajo e incluso los paseos con el perro podían identificarse con los datos. Todos ellos expresaron su sorpresa por el hecho de que sus datos de localización hubieran sido puestos a la venta por un proveedor de datos de EE.UU. El Reglamento General de Protección de Datos (RGPD) de la UE codifica el principio del consentimiento: Las aplicaciones solo pueden compartir datos de localización con terceros si los usuarios lo autorizan explícitamente durante la instalación. Las personas con las que hablamos dijeron que no recordaban haber dado su permiso para compartir sus datos de localización.

¿Por qué no está prohibido este comercio de datos?

Louisa Specht-Riemenschneider, catedrática de Derecho y Protección de Datos de la Universidad de Bonn y comisaria de Protección de Datos designada por el Gobierno alemán, critica que se comercie de esta manera con los datos de localización. El mero hecho de que permitamos que una aplicación establezca nuestra ubicación nos impide saber a dónde van a parar nuestros datos, afirma. Exige un debate social: "¿Dónde está el tratamiento de datos que queremos como sociedad? ¿Y dónde está el tratamiento que no queremos? Y ese tratamiento que no queremos debe prohibirse", afirma.

¿Por qué no se vigila más de cerca a los vendedores de datos y el mercado de datos de Berlín?

Los vendedores de datos que operan fuera de la Unión Europea son en gran medida inaccesibles para las agencias europeas, dice Louisa Specht-Riemenschneider. Pero las plataformas comerciales como Datarade, con sede en Berlín, también son difíciles de regular. "El mercado de datos es esencialmente un intermediario que no procesa datos personales por sí mismo. En cierto sentido, es un vacío normativo". Según ella, es urgente que los legisladores encuentren una solución.

¿Las agencias de inteligencia alemanas también utilizan estos datos?

Está legalmente permitido, pero hay muy poca regulación, dice Thorsten Wetzling, de Interface, un think tank berlinés especializado en el impacto social de la digitalización. Un estudio actual de Interface indica que los servicios de inteligencia alemanes también utilizaron para sus fines conjuntos de datos disponibles comercialmente. "Las agencias de inteligencia, sean del país que sean, tienen interés en recopilar toda la información que puedan", afirma Wetzling. El BND y la Verfassungsschutz declinaron responder a preguntas sobre este asunto. Wetzling afirma: "Esta posibilidad de obtener información con una tarjeta de crédito plantea numerosos riesgos para la seguridad nacional y afecta profundamente a las libertades y derechos fundamentales de millones de usuarios de aplicaciones, que somos todos".

¿Cómo pueden evitar los usuarios acabar en ese conjunto de datos?

Los usuarios pueden comprobar dos ajustes en sus teléfonos inteligentes: el uso compartido de la ubicación y el identificador de publicidad. En el sitio web de BR24 encontrará instrucciones sobre cómo hacerlo.