Un informe reciente del grupo de investigación Citizen Lab ha puesto el foco sobre una herramienta poco conocida fuera de los círculos de seguridad: un sistema de vigilancia global basado en datos publicitarios que permite triangular la ubicación y los movimientos de dispositivos móviles a gran escala. Según esa investigación, la tecnología, conocida como Webloc, fue creada por la israelí Cobwebs Technologies y hoy forma parte del catálogo de la empresa Penlink tras la fusión anunciada en 2023. Lo relevante no es solo la capacidad técnica, sino quién la está usando y con qué controles (o sin ellos). Puedes consultar el trabajo de Citizen Lab en su web para más contexto: citizenlab.ca.
En esencia, Webloc explota las huellas que dejamos al usar aplicaciones móviles y servicios publicitarios: identificadores de publicidad, coordenadas geolocalizadas, direcciones IP y otros metadatos que muchos SDK y redes de anuncios recopilan y venden. Con esos ingredientes, la herramienta reconstruye rutas, patrones de vida y afinidades durante periodos que, según la documentación comercial, pueden abarcar años. El resultado es una capa de inteligencia que conecta lo digital con lo físico y permite seguir a personas sin necesidad de acceder directamente al operador de la red móvil.
El informe de Citizen Lab y reportes periodísticos han identificado clientes gubernamentales y policiales que han adquirido acceso a este tipo de capacidades. Entre ellos figuran agencias norteamericanas y departamentos de policía de distintas ciudades, además de fuerzas internacionales. La posibilidad de consultar y automatizar búsquedas sobre millones de identificadores distintos plantea una cuestión obvia: ¿qué garantía existe de que esas consultas se hacen con orden judicial o supervisión adecuada? Medios como Forbes, organizaciones locales como Texas Observer y espacios especializados en investigación tecnológica han documentado cómo estas herramientas pueden utilizarse sin la intervención de los tribunales.
La tecnología en cuestión nació como producto comercial: Cobwebs la presentó públicamente como una plataforma de inteligencia de localización que combina datos web y puntos geoespaciales para ofrecer “mapas interactivos” y capas analíticas. Tras el acuerdo con Penlink, la oferta se integró dentro de un ecosistema de software que, según la propia empresa, se orienta a la recolección y análisis de evidencias digitales para casos de seguridad. En el sitio oficial de Penlink hay información sobre su cartera de productos y declaraciones corporativas: penlink.com. La empresa ha respondido públicamente a las conclusiones del reporte, indicando que algunas interpretaciones son inexactas y subrayando su cumplimiento con las leyes de privacidad estadounidenses.
Además de la compra y agregación de datos de terceros, Webloc incorpora técnicas para inferir localizaciones a partir de direcciones IP y para asociar dispositivos con domicilios o lugares de trabajo, lo que facilita la identificación de las personas detrás de los móviles. Este tipo de métodos no es nuevo: numerosos reportajes han explicado durante años cómo los datos de ubicación comercializados por intermediarios permiten reconstruir movimientos y hábitos con un detalle que sorprende a quienes no están familiarizados con el negocio del dato. Un acercamiento periodístico recomendable sobre el ecosistema de recolección de localizaciones se puede encontrar en el artículo del New York Times sobre el tema: Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret.
La trayectoria corporativa de los proveedores también despierta inquietudes. Cobwebs fue señalada tiempo atrás en movimientos de moderación de plataformas: Meta incluyó a la compañía entre siete proveedores a los que bloqueó en diciembre de 2021 por operar cuentas destinadas a recopilación y manipulación de información. La propia nota de Meta explicaba que esas operaciones habían servido para vigilancia y recopilación de inteligencia sobre comunidades, activistas y figuras públicas en distintos países; el comunicado oficial se puede consultar aquí: about.fb.com.
Otro aspecto del reporte es la infraestructura técnica: se detectaron cientos de servidores vinculados a despliegues del producto en múltiples países, con una concentración notable en Estados Unidos y presencia en Europa, Asia y otras regiones. Esto sugiere que, aunque la tecnología se comercialice desde un origen determinado, su huella operativa es global. Desde el punto de vista legal, la dispersión geográfica de servidores y proveedores de datos complica la trazabilidad y el control jurisdiccional sobre usos potencialmente invasivos.
Frente a este panorama, las críticas se centran en dos ejes: la capacidad técnica para hacer seguimiento masivo y retroactivo, y la ausencia de marcos sólidos de supervisión que garanticen que esas capacidades se emplean con límites claros. Para organizaciones como Citizen Lab, la combinación de estos factores equivale a una forma de vigilancia intrusiva que, en muchos casos, se ejerce sin las garantías procesales habituales. El propio informe y los artículos de investigación que lo acompañan insisten en la necesidad de más transparencia por parte de proveedores y compradores, y en mecanismos de rendición de cuentas para las agencias que contratan estos servicios.
Las implicaciones civiles son serias: desde la erosión de la privacidad individual hasta riesgos concretos para activistas, periodistas y opositores políticos en contextos donde las instituciones no protegen derechos básicos. Al mismo tiempo, las fuerzas del orden argumentan que herramientas sofisticadas de inteligencia geoespacial pueden ser útiles en investigaciones criminales complejas. El dilema es, por tanto, cómo equilibrar seguridad y derechos. La discusión pública y legislativa sobre acceso y control de datos de localización continúa avanzando, pero más lentamente que la adopción tecnológica.
Como periodistas y ciudadanos conviene vigilar tres frentes: qué empresas comercializan capacidades de seguimiento, quiénes son sus clientes y bajo qué reglas operan, y qué mecanismos de supervisión y transparencia existen para auditar usos y abusos. Los desarrollos recientes muestran que el comercio de datos publicitarios ya no es un problema abstracto para especialistas: ha adquirido la capacidad técnica de convertir pistas comerciales en herramientas de vigilancia a gran escala, con consecuencias palpables para derechos y libertades.
Si quieres profundizar, además de la investigación de Citizen Lab, la cobertura periodística y las notas de las propias compañías son puntos de partida útiles. Los debates sobre regulación y control de datos personales se intensificarán en los próximos años; mientras tanto, conviene exigir claridad sobre cómo y por qué se emplean estas tecnologías, especialmente cuando su uso puede afectar a personas inocentes que nunca han estado bajo sospecha.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...