Por qué los servicios con rastreo intensivo te cuestan más de lo que crees
La mayoría de las apps recopilan mucho más de lo que necesitan para funcionar. Esto es lo que hacen realmente con esos datos, quién se beneficia y por qué el riesgo no se queda solo en la empresa que los recopila.
La mayoría de las apps funcionan bien sin saber quién eres. Una app de mapas puede guiarte sin guardar todo tu historial de ubicaciones durante cinco años. Un dashboard de analytics puede decirte cuánta gente leyó tu último artículo sin rastrear a esas personas por el resto de la web. Una app de notas puede guardar tus apuntes sin registrar cada tecla pulsada y cuánto tiempo pasaste en cada documento.
La recopilación de datos que ocurre de todas formas — por encima de lo necesario para prestar el servicio — no es incidental. Es el producto.
Qué se recopila realmente
El stack de rastreo estándar en una app web o servicio móvil típico incluye: ID de dispositivo, dirección IP, fingerprint del navegador, stream de eventos de comportamiento (cada toque, desplazamiento y clic), ubicación precisa, duración de sesión y tu patrón de actividad a lo largo del tiempo. Esto se combina con datos adquiridos a terceros y se usa para construir un perfil publicitario que se vende o licencia a quien esté dispuesto a pagar.
Esto no es especulación. Está documentado en los términos de servicio de las principales plataformas, en las cadenas de consentimiento que generan los banners de cookies y en las decisiones de las autoridades de protección de datos de la UE, el Reino Unido y Estados Unidos.
Quién se beneficia — y no eres tú
La empresa obtiene un modelo detallado de tu comportamiento. Tú obtienes un producto que funciona. Ese es el trato — y la mayoría de los usuarios no lo hacen explícitamente, porque la recopilación ocurre en segundo plano y el consentimiento está en casillas pre-marcadas y menús enterrados tres niveles de profundidad.
Para qué se usa el modelo: segmentación publicitaria, predicción de abandono, clasificación de contenido ajustada para maximizar el engagement sobre la calidad y, en muchos casos, reventa a brokers de datos que lo agregan con registros de otras fuentes. Un perfil de broker puede incluir condiciones de salud inferidas (a partir de patrones de búsqueda), situación financiera (a partir de comportamiento de gasto), tendencias políticas y relaciones. Nada de eso requiere que hayas compartido explícitamente ninguno de esos datos.
El problema de las filtraciones
Los datos recopilados que no son necesarios son un pasivo. Una base de datos de perfiles de comportamiento es un objetivo de alto valor. Cuando se filtra — y las filtraciones en grandes plataformas se han vuelto rutinarias — el daño es permanente. No hay forma de des-exponer un registro que ya ha sido exfiltrado.
Los servicios centrados en privacidad reducen esta exposición al no recopilar los datos en primer lugar. No puedes filtrar lo que no existe. Un servicio que almacena solo lo necesario para funcionar tiene un radio de impacto mucho menor cuando algo sale mal. Eso no es una posición filosófica — es una decisión de arquitectura de seguridad.
Cómo se ve la diferencia en la práctica
Un servicio centrado en privacidad hace una pregunta antes de cada decisión de recopilación: ¿es esto necesario para que el servicio funcione? Si la respuesta es no, no lo recopila.
Para analytics: URLs de páginas, dominios de referencia, país, tipo de dispositivo y un conteo diario de visitantes derivado de un hash unidireccional. No: un ID de usuario persistente, repetición de sesiones de comportamiento ni un perfil entre sitios.
Para una app de comunicaciones: entrega de mensajes. No: logs de metadatos sobre con quién hablas, cuándo y con qué frecuencia.
Para una herramienta de productividad: tu contenido, sincronizado. No: un stream de telemetría enviado para clasificar tus patrones de uso.
Los productos siguen funcionando. Lo que se elimina es la vigilancia.
El riesgo acumulativo
Cada servicio que recopila más de lo que necesita suma a un perfil agregado tuyo que está distribuido en decenas de bases de datos que nunca has auditado, propiedad de empresas con políticas de retención que nunca has leído, sujeto a solicitudes legales de las que nunca sabrás.
Individualmente, cualquier dato parece inofensivo. Combinado entre servicios y a lo largo del tiempo, es un retrato detallado de tu vida — al que un futuro empleador, gobierno o adversario puede acceder mediante una filtración, una orden judicial o una compra a un broker de datos.
Elegir servicios centrados en privacidad es apostar a que el riesgo se mantiene menor cuando los datos no se acumulan desde el principio. Dados los mecanismos reales de filtración y agregación, eso no es una apuesta conservadora — es la racional.