Más allí de la voracidad por la información de Google, Meta y otros gigantes, hay un mercado a la sombra que negocia con nuestros datos personales. En operan los llamados data brokers. Son empresas ignotas para el enorme público que cultivan grandes bases de datos con información sobre los usuarios para después venderla a terceros.

Para reunir datos, estas entidades bucean en múltiples campos, públicos y privados. Analizan las redes sociales, acceden a unas partes del historial de navegación on-line de un usuario e inclusive consiguen información de censos demográficos o registros sanitarios. El estudioso de la firma de ciberseguridad Kaspersky Marc Rivero resume así lo que hacen los data brokers: “Son empresas que buscan recabar información personal sobre los usuarios. Estos tienen una identidad digital, tienen una historia, su navegación está sectorizada. Y otras empresas se ven muy beneficiadas cuando compran esta información”.

No solo son vendedores de datos. Hicham Qaissi, que es maestro de IA for Management de la Universidad Politécnica de Madrid y directivo de proyectos IT en la compañía de transformación digital Docaposte, resalta que los data brokers también ofrecen servicios de análisis a la medida. “Si una empresa quiere abrir un negocio en el centro de la ciudad y quiere saber dónde hacerlo, pueden proporcionarle información útil”, apunta. Así, los datos de los usuarios pueden valer para buscar potenciales clientes del servicio, para afinar en el despliegue de publicidad o para enriquecer los estudios de mercado.

Normalmente, se distingue entre los data brokers y compañías como Google, Facebook o X (vieja Twitter), que recogen datos y los ceden a terceros para servir anuncios. Sin embargo, la frontera no está clara para todos. “Si te pones a pensar, ¿qué diferencia hay entre ceder los datos y recogerlos y venderlos? Para mí ambos son data brokers. Aunque por cómo se ha definido el concepto, un data broker solo es aquella empresa que vende datos”, apunta Rivero. Pero hay un factor propio, como acepta el estudioso de Kaspersky. En la cesión de datos, el usuario es más siendo consciente de que se comercia con ellos, al tiempo que la venta de su información muy frecuentemente pasa inadvertida. Y es que la actividad de estas compañías continúa oculta para la enorme masa de usuarios.

Los data brokers no son entidades nuevas en Internet. Un informe fechado en dos mil siete del instituto de investigación en políticas públicas de Estados Unidos, el Congressional Research Service, ya comprobaba la preocupación que ocasionaba “la basta cantidad de información personal que los data brokers recogen y el acceso inapropiado a esos datos”. Y su actividad no ha parado de medrar. Para dos mil veintiuno, la firma analista Transparency Market Research estimó el volumen de negocio global de los data brokers en unos veintidos mil quinientos millones de euros. Y conforme su previsión, la cantidad medrará hasta los cuatrocientos treinta y tres mil millones en dos mil treinta y uno, a un ritmo anual del seis con ocho%.

Estas compañías actúan distanciadas de los grandes focos y sus nombres son casi ignotos. En el Informe de Transparency Market Research se cita a múltiples, como Acxiom Corporation, Experian, Equifax, CoreLogic, Epsilon o LexisNexis. Forbes Hispano ha intentado ponerse en contacto con ciertas de ellas para conocer sus operaciones y no ha recibido contestación. Además, en CoreLogic aseveraron que no tenían información sobre data brokering y la filial de España de Experian apostilló que no actúa como data broker en este país.

Perfiles pormenorizados de los usuarios

La información que manejan estas compañías va alén de los perfiles demográficos tradicionales. Estos poseen el nombre y apellido, la edad, la dirección postal, el género y quizás factores socioeconómicos. “Lo que florece ahora son los análisis psicográficos”, explica Qaissi. “Por ejemplo, se analizan los ciudadanos de un área metropolitana de París. Y se sabe cuáles son sus gustos, dónde compran, dónde comen, dónde pasan su tiempo libre, dónde hacen deporte, a qué edad se casan”.

El maestro de la UPM asevera que un banco podría aplicar este género de análisis para ofrecer productos financieros amoldados a esos posibles clientes del servicio. ¿Y de qué manera se consiguen los datos para crear estos perfiles psicográficos? La información procede de fuentes variadas. Rivero comienza a contar casuísticas: “Cuando metes tus datos en un formulario, cuando aceptas unas cookies, al usar la WiFi del hotel”, y aclara lo que pasa al acceder a una red WiFi con un social login (el comienzo de sesión con Google o Facebook): “Ahí ya estás diciendo que tienes usuario en esa red social, que te gusta veranear en la Costa Brava (por la ubicación de la red), que tienes tal edad, tal género y una dirección de correo”.

Todos estos datos se combinan con otros a través de técnicas ETL (extract, tansform and load o extraer, convertir y cargar) para crear una base de datos con factores uniformes. El resultado es información clara y organizada, que se guarda con un orden y está dispuesta para analizarse y someterse a procesamiento a través de machine learning (aprendizaje automático).

Parte de esta información se vende a terceros para efectuar publicidad dirigida, que puede tomar forma de correo electrónico marketing. Aunque hace unos años se desbordó un caso de anuncios dirigidos en una red social. Las malas prácticas desembocaron en un sonado escándalo. “Lo de Cambridge Analytica es un ejemplo para ver el acceso que tienen empresas de terceros a datos que puedan estar en Facebook, ahora Meta”, comenta Rivero, en referencia a la polémica relacionada con la manipulación informativa en Facebook a lo largo de las elecciones estadounidenses de dos mil dieciseis.

El término data broker apenas se mentó en los primeros meses que duró el escándalo. Pero más adelante se verificó la implicación de estos actores en la venta de datos para crear una microsegmentación que afinase al límite el envío de mensajes políticos.

La falsa sensación de privacidad en la UE

El Reglamento General de Protección de Datos (RGPD) garantiza un nivel alto de privacidad a los usuarios de la Unión Europea. Y esto habría de ser suficiente para no caer en las bases de datos de los data brokers. Pero esta es solo la teoría. Hay fallas por las que se cuela la actividad de estas empresas. Es cierto que no pueden operar desde la UE. Pero sí lo pueden hacer con filiales fuera de las fronteras de la Unión.

“El que compra no puede comprar aquí [dentro de la UE], pero puede comprar fuera. Estamos hablando de un fichero, un XML, un JSON, por ejemplo de 5 MB, que tiene información sobre 5.000 clientes potenciales. Eso es un ficherito que puedes mandar por email”, agrega Qaissi. Tan simple como eso. Un fichero de 5MB mandado por e-mail.

Adrian Cano

Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica. Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales,  es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.