La Comisión Federal de Comercio (FTC) alcanzó un acuerdo que prohibiría a la corredora de datos Kochava y a su filial Collective Data Solutions vender datos de localización precisos sin el consentimiento expreso y afirmativo de los consumidores, una resolución que cierra —al menos en parte— la investigación iniciada en 2022 sobre la comercialización masiva de trayectorias móviles. El caso puso de manifiesto cómo flujos de datos aparentemente anodinos pueden ser monetizados para seguir los movimientos de cientos de millones de dispositivos y asociarlos a visitas a lugares sensibles como clínicas de salud reproductiva, centros de tratamiento, templos y refugios.
Según la denuncia presentada por la propia FTC, Kochava ofrecía acceso a un feed de geolocalización a clientes que pagaban suscripciones elevadas y lo hacía mediante plataformas como el Marketplace de AWS, con la promesa de enormes volúmenes de transacciones geográficas por mes. La acusación subrayó que muchos usuarios nunca fueron informados ni dieron su consentimiento para ese uso, exponiéndolos a riesgos reales y concretos: desde el acoso y la discriminación hasta la violencia física. Puede revisarse la demanda original en el documento público de la FTC aquí.
El orden propuesto por la FTC impone varios requisitos que, de aprobarse por un juez federal, tendrán fuerza de ley: prohibición de vender o licenciar ubicación precisa sin consentimiento afirmativo, limitación del uso a servicios solicitados por el propio consumidor, creación de un programa específico para proteger ubicaciones sensibles, evaluaciones de proveedores para verificar consentimiento, mecanismos para que los usuarios pidan saber quién recibió sus datos y retirar ese consentimiento, notificación de incidentes al regulador y calendarios formales de retención y eliminación de datos. El texto del acuerdo propuesto está disponible en la web de la FTC aquí.
Este fallo no es un caso aislado: forma parte de una tendencia regulatoria más amplia en la que la FTC ha intensificado la supervisión sobre las corredoras de datos y el mercado de la vigilancia comercial. Desde 2022 la agencia ha anunciado su intención de explorar reglas específicas contra la vigilancia masiva y ha sancionado a varios intermediarios que comercializaban datos de localización. Ese contexto revela que la presión regulatoria y pública está empujando a cambiar modelos de negocio que antes operaban con infraestructuras opacas y contratos entre empresas.
¿Qué significa esto para las personas? En primer lugar, la sentencia reduce un vector de riesgo, pero no lo elimina: todavía existen corredores de datos fuera del alcance inmediato del acuerdo, y la recolección de señales de localización puede producirse por múltiples vías (apps, SDKs, redes Wi‑Fi, beacons). Los usuarios deben entender que la mera instalación de aplicaciones o la aceptación de permisos a menudo autoriza procesos automatizados de agregación y venta.
Los usuarios pueden y deben tomar medidas prácticas: revisar y reducir permisos de ubicación en los ajustes del sistema operativo, optar por compartir solo una ubicación aproximada cuando la plataforma lo permita, desactivar el acceso a la ubicación en segundo plano, eliminar aplicaciones que soliciten datos sin justificación clara y utilizar los paneles de privacidad que ofrecen Apple y Google para ver qué empresas procesan datos. También es recomendable exigir transparencia usando las herramientas de privacidad y los mecanismos de queja ante autoridades locales cuando se detecten prácticas sospechosas.
Para empresas y desarrolladores la lección es igualmente clara: la era de la ambigüedad contractual y de los consentimientos escondidos se está acabando. Los responsables de producto deben implementar diseños de privacidad desde la concepción (privacy by design), limitar la recopilación a lo estrictamente necesario, documentar ejercicios de evaluación de impacto en la privacidad, exigir controles contractuales y auditorías a proveedores y ofrecer procesos sencillos para que los usuarios retiren su consentimiento y conozcan a los terceros que reciben sus datos. La combinación de controles técnicos (minimización, on‑device processing) y obligaciones contractuales será clave para seguir operando sin exponerse a sanciones.
Desde una perspectiva de política pública y tecnología, este caso subraya la necesidad de normas más claras que definan qué es una ubicación “sensible” y establezcan estándares mínimos para el consentimiento, la transparencia y la gobernanza de los mercados de datos. También plantea un reto técnico: cómo permitir servicios legítimos basados en localización (navegación, emergencias, análisis anónimo) sin abrir la puerta a la vigilancia comercial masiva. Técnicas como el procesamiento en el dispositivo, la agregación con límites y la privacidad diferencial pueden ayudar, pero requieren estandarización y supervisión.
La resolución contra Kochava es una victoria para la protección de la intimidad, pero no debe llevar a la complacencia: hará falta vigilancia continuada, mejores prácticas tecnológicas y legislación más precisa para cerrar lagunas. Para seguir el desarrollo del caso y los pronunciamientos de la FTC sobre la vigilancia comercial puede consultarse la página de la agencia donde se han recogido las actuaciones y anuncios relacionados aquí. Para conocer la respuesta pública de la industria sobre cambios en el servicio de Kochava, la empresa publicó información sobre su propuesta de “Privacy Block” que busca limitar la visibilidad de ubicaciones de salud en su marketplace aquí.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...