Tus datos ya tienen precio. Y no es tranquilizador.

Tu telefono no deja de emitir señales aunque no abras ninguna app. Antes del mediodia ya habló con antenas, redes publicitarias y empresas cuya marca probablemente nunca viste. Parte de esas señales, segun investigadores y legisladores de Estados Unidos, terminó vendida. Algunas incluso acabaron en bases de datos a las que pueden acceder, de forma legal, actores vinculados con China, Rusia, Corea del Norte e Irán.

Esa es la conclusión de un informe del Joint Economic Committee del Congreso, publicado después de la investigación de CalMatters y The Markup sobre la industria de los corredores de datos. Los legisladores calcularon que las filtraciones sufridas por Equifax, Exactis, National Public Data y TransUnion expusieron a más de 651 millones de estadounidenses y derivaron en alrededor de US$ 21 mil millones en pérdidas por robo de identidad. La cifra pertenece a Estados Unidos, sí, pero la lógica del negocio es mucho más amplia y en América Latina resulta inquietantemente familiar.

El negocio no era una app: era almacenar perfiles

Eso cambia el encuadre. No estamos hablando de una empresa de consumo que sufrió un incidente aislado. Hablamos de compañías cuyo modelo consiste precisamente en comprar, reorganizar y revender datos: información del banco, del seguro, de programas de lealtad y del propio telefono, todo unido en perfiles comerciales.

El cálculo del Congreso partió de una pérdida mediana de US$ 200 por persona afectada y la proyectó sobre la proporción de víctimas que luego reporta fraude. Equifax, en 2017, alcanzó a 147 millones de personas. Exactis, en 2018, a 230 millones. National Public Data, en 2023, a 270 millones. TransUnion, en 2025, agregó otros 4 millones. El resultado sugiere algo más inquietante que un gran número: el adulto promedio en Estados Unidos aparece en varias de estas filtraciones al mismo tiempo.

Los 33 nombres que operan fuera del radar

Mientras Washington hacía cuentas, el Electronic Privacy Information Center revisó el registro californiano de corredores de datos y encontró otro dato clave. Treinta y tres firmas registradas en California informaron a las autoridades estatales que vendieron o compartieron datos con actores no estadounidenses en países que el gobierno de Estados Unidos considera adversarios extranjeros. Cinco de esas 33 también admitieron recolectar geolocalización precisa.

Ese segundo dato es el que realmente pesa. Geolocalización precisa no significa saber que estabas en una ciudad. Significa poder reconstruir el punto exacto en el que entraste a una clínica de fertilidad, a un estacionamiento de un contratista militar, a una sinagoga o a un refugio para víctimas de violencia. En una región como la nuestra, donde la desconfianza frente a la vigilancia no es una abstracción, esa diferencia importa mucho.

La palabra “anónimo” ya no alcanza

La industria insiste en que los datos están “desidentificados”. Sin embargo, una y otra vez los investigadores demuestran lo contrario. Si un dispositivo duerme cada noche en una dirección y pasa los días hábiles en otra, normalmente bastan dos puntos para saber quién está detrás del telefono.

Los analistas de Lawfare explicaron que un servicio de inteligencia extranjero podría comprar flujos comerciales, delimitar digitalmente una instalación sensible y seguir después a cada dispositivo que cruzó ese perímetro. No se trata solo de publicidad invasiva. Se trata de convertir movilidad cotidiana en inteligencia accionable.

El precio ayuda a entender la escala. Illinois compró dos años de rastros de ubicación precisa de más de cinco millones de personas por unos US$ 50 mil. En pesos mexicanos de hoy, eso equivale aproximadamente a MXN 870 mil. Para la cantidad de datos involucrados, es una suma sorprendentemente baja. Dicho de otro modo: durante 24 meses, el patrón de movimientos de millones de personas costó menos que muchos contratos medianos de software empresarial.

Ni siquiera salir del sistema es facil

Aquí aparece una de las partes más reveladoras de la investigación. Reporteros de The Markup hallaron corredores que escondían sus páginas de exclusión con código “no-index”, de manera que ni siquiera aparecieran en Google. El comité del Congreso resumió la respuesta con una frase que parece obvia y, por eso mismo, resulta devastadora: como mínimo, la opción para salir debería ser fácil de encontrar y usar.

La FTC ya envió cartas de cumplimiento a 13 compañías con base en la Protecting Americans' Data from Foreign Adversaries Act, la ley de 2024 que prohíbe vender datos sensibles de estadounidenses a entidades controladas por adversarios extranjeros. Aun así, el registro sugiere que la práctica continuó en 2025. Todo esto conecta con mercados vecinos: las filtraciones por credenciales robadas y la economía del fingerprinting del navegador.

Lo que si puedes hacer esta semana

No hay una solución mágica, pero sí hay una disciplina útil. Puedes enviar una solicitud de borrado en el registro de corredores de datos de California, incluso si no vives allí, porque varias empresas prefieren procesar la baja a nivel general. También conviene eliminar el identificador publicitario del telefono, que es la pieza que ayuda a unir tus movimientos entre distintas aplicaciones.

La tercera medida es sencilla y poco glamorosa: revisar una app por semana y cambiar el permiso de “ubicación precisa” a “ubicación aproximada” cuando sea posible. Esa costumbre también reduce exposición frente a filtraciones relacionadas con spyware desarrollado por gobiernos, donde el punto de entrada suele ser una app con permisos de más. La gran pregunta no es si tu telefono genera registros. Ya lo hace. La pregunta es quién puede comprarlos, desde qué país y por cuánto.