Más allá de la voracidad por la información de Google, Meta y otros gigantes, existe un mercado a la sombra que negocia con nuestros datos personales. En él operan los llamados data brokers. Son empresas desconocidas para el gran manifiesto que cultivan grandes bases de datos con información sobre los usuarios para posteriormente venderla a terceros.
Para reunir datos, estas entidades bucean en múltiples ámbitos, públicos y privados. Analizan las redes sociales, acceden a partes del historial de navegación online de un becario e incluso obtienen información de censos demográficos o registros sanitarios. El investigador de la firma de ciberseguridad Kaspersky Marc Rivero resume así lo que hacen los data brokers: “Son empresas que buscan alcanzar información personal sobre los usuarios. Estos tienen una identidad digital, tienen una historia, su navegación está sectorizada. Y otras empresas se ven muy beneficiadas cuando compran esta información”.
No solo son vendedores de datos. Hicham Qaissi, que es profesor de IA for Management de la Universidad Politécnica de Madrid y director de proyectos IT en la compañía de transformación digital Docaposte, destaca que los data brokers todavía ofrecen servicios de prospección a medida. “Si una empresa quiere aclarar un negocio en el centro de la ciudad y quiere enterarse dónde hacerlo, pueden proporcionarle información útil”, señala. Así, los datos de los usuarios pueden servir para despabilarse potenciales clientes, para afinar en el despliegue de publicidad o para enriquecer los estudios de mercado.
Normalmente, se diferencia entre los data brokers y compañías como Google, Facebook o X (antigua Twitter), que recolectan datos y los ceden a terceros para servir anuncios. Sin bloqueo, la frontera no está clara para todos. “Si te pones a pensar, ¿qué diferencia hay entre ceder los datos y recogerlos y venderlos? Para mí entreambos son data brokers. Aunque por cómo se ha definido el concepto, un data broker solo es aquella empresa que vende datos”, apunta Rivero. Pero existe un cifra distintivo, como admite el investigador de Kaspersky. En la cesión de datos, el becario es más consciente de que se comercia con ellos, mientras que la liquidación de su información muchas veces pasa desapercibida. Y es que la actividad de estas compañías permanece oculta para la gran masa de usuarios.
Los data brokers no son entidades nuevas en Internet. Un noticia fechado en 2007 del instituto de investigación en políticas públicas de Estados Unidos, el Congressional Research Service, ya constataba la preocupación que causaba “la puntada cantidad de información personal que los data brokers recogen y el paso inapropiado a esos datos”. Y su actividad no ha parado de crecer. Para 2021, la firma analista Transparency Market Research estimó el masa de negocio completo de los data brokers en unos 225.00 millones de euros. Y según su previsión, la guarismo crecerá hasta los 433.000 millones en 2031, a un ritmo anual del 6,8%.
Estas compañías actúan alejadas de los grandes focos y sus nombres son prácticamente desconocidos. En el Noticia de Transparency Market Research se cita a varias, como Acxiom Corporation, Experian, Equifax, CoreLogic, Epsilon o LexisNexis. EL PAÍS ha intentado ponerse en contacto con algunas de ellas para conocer sus operaciones y no ha recibido respuesta. Encima, en CoreLogic afirmaron que no tenían información sobre data brokering y la filial española de Experian puntualizó que no actúa como data broker en nuestro país.
Perfiles exhaustivos de los usuarios
La información que manejan estas compañías va más allá de los perfiles demográficos tradicionales. Estos contienen el nombre y patronímico, la momento, la dirección postal, el artículos y quizá factores socioeconómicos. “Lo que florece ahora son los prospección psicográficos”, explica Qaissi. “Por ejemplo, se analizan los ciudadanos de un radio metropolitana de París. Y se sabe cuáles son sus gustos, dónde compran, dónde comen, dónde pasan su tiempo escapado, dónde hacen deporte, a qué momento se casan”.
El profesor de la UPM afirma que un tira podría aplicar este tipo de prospección para ofrecer productos financieros adaptados a esos posibles clientes. ¿Y cómo se obtienen los datos para crear estos perfiles psicográficos? La información proviene de fuentes variadas. Rivero empieza a enumerar casuísticas: “Cuando metes tus datos en un formulario, cuando aceptas unas cookies, al usar la WiFi del hotel”, y aclara lo que ocurre al aceptar a una red WiFi con un social login (el inicio de sesión con Google o Facebook): “Ahí ya estás diciendo que tienes becario en esa red social, que te gusta veranear en la Costa Brava (por la ubicación de la red), que tienes tal momento, tal artículos y una dirección de correo”.
Todos estos datos se combinan con otros mediante técnicas ETL (extract, tansform and load o extraer, metamorfosear y cargar) para crear una cojín de datos con parámetros uniformes. El resultado es información clara y organizada, que se almacena con un orden y está preparada para analizarse y someterse a procesamiento mediante machine learning (enseñanza maquinal).
Parte de esta información se vende a terceros para realizar publicidad dirigida, que puede tomar forma de email marketing. Aunque hace unos abriles se desbordó un caso de anuncios dirigidos en una red social. Las malas prácticas desembocaron en un sonado escándalo. “Lo de Cambridge Analytica es un ejemplo para ver el paso que tienen empresas de terceros a datos que puedan estar en Facebook, ahora Meta”, comenta Rivero, en relato a la polémica relacionada con la manipulación informativa en Facebook durante las elecciones estadounidenses de 2016.
El término data broker casi nada se mencionó en los primeros meses que duró el escándalo. Pero más delante se comprobó la implicación de estos actores en la liquidación de datos para crear una microsegmentación que afinara al mayor el remesa de mensajes políticos.
La falsa sensación de privacidad en la UE
El Reglamento Caudillo de Protección de Datos (RGPD) garantiza un suspensión nivel de privacidad a los usuarios de la Unión Europea. Y esto debería ser suficiente para no caer en las bases de datos de los data brokers. Pero esta es solo la teoría. Hay fallas por las que se cuela la actividad de estas empresas. Es cierto que no pueden tratar desde la UE. Pero sí lo pueden hacer con filiales fuera de las fronteras de la Unión.
Qaissi presenta un tablado preocupante desde el punto de pinta de la privacidad: “Para estas empresas es practicable aceptar a información personal, ya sea por redes sociales, por phishing [hacerse pasar por una web legítima para intentar hacerse con los datos personales o bancarios del usuario], por intrusismo, como sea”, subraya. “Lograr a esos datos, almacenarlos y analizarlos está prohibido en Europa. Pero a lo mejor en Turquía, no”. El profesor de la UPM sugiere que un data broker emplazado fuera de la UE puede compendiar datos sobre usuarios europeos y posteriormente venderlos, con facilidad, a una empresa que opera internamente de la UE.
“El que importación no puede comprar aquí [dentro de la UE], pero puede comprar fuera. Estamos hablando de un fichero, un XML, un JSON, por ejemplo de 5 MB, que tiene información sobre 5.000 clientes potenciales. Eso es un ficherito que puedes mandar por email”, añade Qaissi. Tan practicable como eso. Un archivo de 5MB enviado por correo electrónico.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para aceptar nuestra newsletter semanal.
Creditos a Pablo G. Bejerano
Fuente
