Un estudio en el que participa IMDEA Networks revela cómo apps móviles rastrean a los usuarios a través de WiFi y Bluetooth

El 86% de estas apps recopilan al menos un tipo de dato sensible como la localización GPS o identificadores únicos del dispositivo

29 Julio 2025

Investigadores de IMDEA Networks, en colaboración con la Universidad Carlos III de Madrid, el Instituto IMDEA Software y la Universidad de Calgary, han realizado el primer estudio a gran escala —“ Your Signal, Their Data: An Empirical Privacy Analysis of Wireless-scanning SDKs in Android”— sobre cómo ciertas aplicaciones móviles de Android utilizan las conexiones WiFi y Bluetooth de un dispositivo para rastrear los movimientos de los usuarios/as en su vida diaria, vulnerando así su privacidad.

El estudio explica cómo ciertas tecnologías, como pequeños dispositivos emisores de Bluetooth ubicados en espacios públicos (por ejemplo, tiendas o aeropuertos), pueden utilizarse para determinar la ubicación precisa de una persona dentro de un edificio. Estas señales inalámbricas, conocidas como balizas, pueden ser detectadas por las aplicaciones para rastrear a los usuarios en interiores, incluso cuando el GPS no está disponible.

El análisis se centró en 52 kits de desarrollo de software (SDK, por sus siglas en inglés), componentes integrados en aplicaciones móviles para proporcionar funcionalidades adicionales. El equipo de investigación examinó su comportamiento en casi 10.000 aplicaciones. Los hallazgos son claros: el 86% recopilan señales GPS e inalámbricas como proxy para la geolocalización, junto con identificadores únicos de dispositivo.

El estudio, presentado en la prestigiosa conferencia PETS, revela un ecosistema de rastreo de geolocalización estrechamente vinculado a fines publicitarios y de seguimiento, donde muchos SDK recopilan datos de ubicación no relacionados con la funcionalidad principal de la aplicación. Potencialmente, extraen información para crear perfiles de la persona o mostrar anuncios dirigidos, a menudo sin el conocimiento ni el consentimiento de los usuarios/as. Como señala Narseo Vallina-Rodríguez, coautor del estudio e investigador de IMDEA Networks, “realmente el problema más grave es que se te puede utilizar para identificar tus movimientos y con quién estás”. También se descubrió que algunos SDK accedían a datos sensibles sin solicitar los permisos necesarios al sistema operativo Android, utilizando métodos indirectos para eludir las restricciones.

Los investigadores también descubrieron una técnica conocida como ‘ID bridging’, en la que los SDK vinculan diferentes identificadores a lo largo del tiempo para mantener un seguimiento persistente del usuario. “Al correlacionar las señales inalámbricas y los identificadores de dispositivo de los usuarios, los SDK pueden combinar perfiles de usuario tras reinicios, evadiendo eficazmente las medidas de seguridad de privacidad de Android”, explica Aniketh Girish, coautor del estudio e investigador de IMDEA Networks.

Para abordar estos riesgos de privacidad, los investigadores proponen limitar el acceso de los SDK a los datos personales mediante técnicas de sandboxing, realizar auditorías proactivas de las aplicaciones que utilizan tecnologías de escaneo inalámbrico e implementar mecanismos más transparentes para informar a los usuarios sobre qué datos se recopilan y con qué propósito.