Los ‘data brokers’: qué son y cómo funciona el mercadeo de datos personales en la sombra

Estas compañías practican la venta, permitida legalmente, de información personal en Internet. Recopilan todo tipo de datos de usuarios de múltiples fuentes, los procesan y los venden a terceros

Más allá de la voracidad por la información de Google, Meta y otros gigantes, existe un mercado a la sombra que negocia con nuestros datos personales. En él operan los llamados data brokers. Son empresas desconocidas para el gran público que cultivan grandes bases de datos con información sobre los usuarios para después venderla a terceros.

Para reunir datos, estas entidades bucean en múltiples ámbitos, públicos y privados. Analizan las redes sociales, acceden a partes del historial de navegación online de un usuario e incluso obtienen información de censos demográficos o registros sanitarios. El investigador de la firma de ciberseguridad Kaspersky Marc Rivero resume así lo que hacen los data brokers: “Son empresas que buscan recabar información personal sobre los usuarios. Estos tienen una identidad digital, tienen una historia, su navegación está sectorizada. Y otras empresas se ven muy beneficiadas cuando compran esta información”.

No solo son vendedores de datos. Hicham Qaissi, que es profesor de IA for Management de la Universidad Politécnica de Madrid y director de proyectos IT en la compañía de transformación digital Docaposte, destaca que los data brokers también ofrecen servicios de análisis a medida. “Si una empresa quiere abrir un negocio en el centro de la ciudad y quiere saber dónde hacerlo, pueden proporcionarle información útil”, señala. Así, los datos de los usuarios pueden servir para buscar potenciales clientes, para afinar en el despliegue de publicidad o para enriquecer los estudios de mercado.

Normalmente, se diferencia entre los data brokers y compañías como Google, Facebook o X (antigua Twitter), que recolectan datos y los ceden a terceros para servir anuncios. Sin embargo, la frontera no está clara para todos. “Si te pones a pensar, ¿qué diferencia hay entre ceder los datos y recogerlos y venderlos? Para mí ambos son data brokers. Aunque por cómo se ha definido el concepto, un data broker solo es aquella empresa que vende datos”, apunta Rivero. Pero existe un factor distintivo, como admite el investigador de Kaspersky. En la cesión de datos, el usuario es más consciente de que se comercia con ellos, mientras que la venta de su información muchas veces pasa desapercibida. Y es que la actividad de estas compañías permanece oculta para la gran masa de usuarios.

Los data brokers no son entidades nuevas en Internet. Un informe fechado en 2007 del instituto de investigación en políticas públicas de Estados Unidos, el Congressional Research Service, ya constataba la preocupación que causaba “la basta cantidad de información personal que los data brokers recogen y el acceso inapropiado a esos datos”. Y su actividad no ha parado de crecer. Para 2021, la firma analista Transparency Market Research estimó el volumen de negocio global de los data brokers en unos 225.00 millones de euros. Y según su previsión, la cifra crecerá hasta los 433.000 millones en 2031, a un ritmo anual del 6,8%.

Estas compañías actúan alejadas de los grandes focos y sus nombres son prácticamente desconocidos. En el Informe de Transparency Market Research se cita a varias, como Acxiom Corporation, Experian, Equifax, CoreLogic, Epsilon o LexisNexis. EL PAÍS ha intentado ponerse en contacto con algunas de ellas para conocer sus operaciones y no ha recibido respuesta. Además, en CoreLogic afirmaron que no tenían información sobre data brokering y la filial española de Experian puntualizó que no actúa como data broker en nuestro país.

Perfiles exhaustivos de los usuarios
La información que manejan estas compañías va más allá de los perfiles demográficos tradicionales. Estos contienen el nombre y apellido, la edad, la dirección postal, el género y quizá factores socioeconómicos. “Lo que florece ahora son los análisis psicográficos”, explica Qaissi. “Por ejemplo, se analizan los ciudadanos de un área metropolitana de París. Y se sabe cuáles son sus gustos, dónde compran, dónde comen, dónde pasan su tiempo libre, dónde hacen deporte, a qué edad se casan”.

El profesor de la UPM afirma que un banco podría aplicar este tipo de análisis para ofrecer productos financieros adaptados a esos posibles clientes. ¿Y cómo se obtienen los datos para crear estos perfiles psicográficos? La información proviene de fuentes variadas. Rivero empieza a enumerar casuísticas: “Cuando metes tus datos en un formulario, cuando aceptas unas cookies, al usar la WiFi del hotel”, y aclara lo que ocurre al acceder a una red WiFi con un social login (el inicio de sesión con Google o Facebook): “Ahí ya estás diciendo que tienes usuario en esa red social, que te gusta veranear en la Costa Brava (por la ubicación de la red), que tienes tal edad, tal género y una dirección de correo”.

Todos estos datos se combinan con otros mediante técnicas ETL (extract, tansform and load o extraer, transformar y cargar) para crear una base de datos con parámetros uniformes. El resultado es información clara y organizada, que se almacena con un orden y está preparada para analizarse y someterse a procesamiento mediante machine learning (aprendizaje automático).

Parte de esta información se vende a terceros para realizar publicidad dirigida, que puede tomar forma de email marketing. Aunque hace unos años se desbordó un caso de anuncios dirigidos en una red social. Las malas prácticas desembocaron en un sonado escándalo. “Lo de Cambridge Analytica es un ejemplo para ver el acceso que tienen empresas de terceros a datos que puedan estar en Facebook, ahora Meta”, comenta Rivero, en referencia a la polémica relacionada con la manipulación informativa en Facebook durante las elecciones estadounidenses de 2016.

El término data broker apenas se mencionó en los primeros meses que duró el escándalo. Pero más adelante se comprobó la implicación de estos actores en la venta de datos para crear una microsegmentación que afinara al máximo el envío de mensajes políticos.

La falsa sensación de privacidad en la UE
El Reglamento General de Protección de Datos (RGPD) garantiza un alto nivel de privacidad a los usuarios de la Unión Europea. Y esto debería ser suficiente para no caer en las bases de datos de los data brokers. Pero esta es solo la teoría. Hay fallas por las que se cuela la actividad de estas empresas. Es cierto que no pueden operar desde la UE. Pero sí lo pueden hacer con filiales fuera de las fronteras de la Unión.

Qaissi presenta un escenario preocupante desde el punto de vista de la privacidad: “Para estas empresas es fácil acceder a información personal, ya sea por redes sociales, por phishing [hacerse pasar por una web legítima para intentar hacerse con los datos personales o bancarios del usuario], por intrusismo, como sea”, subraya. “Acceder a esos datos, almacenarlos y analizarlos está prohibido en Europa. Pero a lo mejor en Turquía, no”. El profesor de la UPM sugiere que un data broker ubicado fuera de la UE puede recopilar datos sobre usuarios europeos y después venderlos, con facilidad, a una empresa que opera dentro de la UE.

“El que compra no puede comprar aquí [dentro de la UE], pero puede comprar fuera. Estamos hablando de un fichero, un XML, un JSON, por ejemplo de 5 MB, que tiene información sobre 5.000 clientes potenciales. Eso es un ficherito que puedes mandar por email”, añade Qaissi. Tan fácil como eso. Un archivo de 5MB enviado por correo electrónico.

Relacionados