Tus datos están en venta. Probablemente no lo sabes.

Existe una industria que no anuncia lo que hace, no vende al público general y genera miles de millones de dólares al año vendiendo información sobre ti. Se llama industria de data brokers, y probablemente tiene más datos sobre tu vida de lo que imaginas.

Empresas como Acxiom, LexisNexis Risk Solutions, Spokeo o BeenVerified acumulan información de registros públicos, redes sociales, historial de compras, apps y formularios. La cruzan, la organizan y la venden a anunciantes, empleadores, aseguradoras, abogados y cualquiera dispuesto a pagar.

No necesitan tu permiso. En la mayoría de los casos, tampoco están violando ninguna ley.

Qué información tienen

El perfil típico que un data broker puede tener sobre una persona incluye: nombre completo, dirección actual y anteriores, número de teléfono, correo electrónico, familiares y posibles asociados, historial laboral aproximado, registros de propiedad, datos de vehículos, e historial crediticio general. En algunos casos, también patrones de movimiento y hábitos de consumo.

Esta información se usa para cosas legítimas, como verificar identidad en procesos de crédito o detectar fraude. Pero también se filtra, se hackea y se usa para cosas que no lo son.

En enero de 2025, TechCrunch reportó que un hacker había publicado una muestra de datos robados de Gravy Analytics, uno de los principales brokers de datos de ubicación del mundo. La muestra incluía coordenadas GPS de millones de personas, con suficiente detalle para inferir rutinas diarias, lugares de trabajo y domicilios. Gravy Analytics vendía esa información a clientes comerciales y, según documentos previos, también a agencias gubernamentales de Estados Unidos.

El problema de las apps

Buena parte de los datos de ubicación llegan a los brokers a través de aplicaciones móviles. Una app del clima, un juego, una app de descuentos en supermercados: muchas incluyen SDKs de terceros que, con los permisos que el usuario otorgó, reportan su ubicación de forma continua a redes de publicidad que luego venden esa información.

En 2022, The Markup documentó cómo hospitales y sitios de salud compartían datos sensibles con Meta a través del pixel de Facebook. Los datos no incluían diagnósticos médicos, pero sí comportamientos que podían inferirlos. Todo ocurrió dentro del marco de los términos y condiciones que nadie lee.

El mercado no se regula solo

En septiembre de 2023, California firmó la Delete Act (SB 362), que entró en vigor en 2024. La ley obliga a los data brokers registrados en el estado a participar de un sistema centralizado donde los residentes pueden pedir la eliminación de sus datos de todos los brokers al mismo tiempo.

Es un paso concreto, pero limitado: aplica solo a California, solo a brokers registrados, y el historial de cumplimiento en la industria no es precisamente impecable.

En la Unión Europea, el GDPR da a los ciudadanos derechos más amplios sobre sus datos. En América Latina la situación es variable: Argentina tiene la Ley 25.326, una de las más antiguas de la región; Brasil tiene la LGPD desde 2020; en muchos otros países la regulación es incipiente o directamente no existe.

Por qué importa más allá de la privacidad

La exposición de datos personales no es solo una cuestión de privacidad individual. Es un riesgo operativo para organizaciones.

Si un atacante puede identificar a los empleados de una empresa, sus roles, sus rutinas y sus contactos cercanos, tiene todo lo necesario para construir un ataque de ingeniería social creíble. No necesita hackear sistemas: puede comprar esa información, o simplemente buscarla en los brokers que permiten consultas gratuitas básicas.

La primera pregunta que debería hacerse cualquier organización es: ¿qué información está disponible públicamente sobre su gente? No para eliminarla toda —eso es imposible— sino para entender la superficie de ataque real y actuar en consecuencia.