Fexyn
Fexyn
All posts

Data brokers e historial de navegación

Fexyn Team··11 min read

La industria de data brokers genera aproximadamente 300 mil millones de USD en ingresos globales. El data broker promedio mantiene 1.500+ datos por adulto en EE. UU. La mayor parte de esto es invisible para las personas cuyos datos están siendo intercambiados.

La mayoría del contenido VPN trata a los data brokers como un comentario al margen. Son centrales para por qué importa la privacidad de red. Esto es lo que la industria realmente hace, dónde encajan los datos de navegación de ISP en la cadena de suministro, y qué cambia y no cambia una VPN.

La industria

Los principales data brokers de EE. UU.:

Acxiom (matriz de Liveramp). ~2.5 mil millones de perfiles de consumidores. Datos demográficos, conductuales, financieros, de estilo de vida. Vende a anunciantes, mercadólogos e investigadores.

CoreLogic. Datos de propiedad y consumidor. Originalmente enfocado en bienes raíces; expandido a perfilado más amplio del consumidor.

Oracle Data Cloud (antes BlueKai, desde entonces algo reducido tras controversias de privacidad). Audiencias de consumidor agregadas para publicidad.

LiveRamp. Plataforma de resolución de identidad; vincula identificadores offline y online juntos. Estándar de la industria para emparejamiento de identidad ad-tech.

Experian. Buró de crédito más negocios separados de datos de marketing al consumidor.

Equifax. Misma estructura dual.

TransUnion. Misma.

Epsilon (Publicis Groupe). Datos de marketing; gran presencia en ad-tech.

Verisk Analytics. Enfocado en seguros pero con datos más amplios del consumidor.

Más docenas de brokers más pequeños, especialistas en datos de ubicación (X-Mode, Cuebiq, Veraset históricamente), especialistas en datos de navegación, especialistas en datos de apps móviles.

Fuera de EE. UU., la industria existe pero está más restringida por leyes de privacidad. Los data brokers de la UE operan bajo GDPR; Reino Unido bajo el equivalente post-Brexit; otros varían. En América Latina la regulación es desigual: México tiene la LFPDPPP, Brasil la LGPD (similar a GDPR), Argentina la Ley 25.326, Chile la Ley 19.628. Pero la aplicación es más débil que en la UE y muchos data brokers globales operan en LatAm sin enfrentar las mismas restricciones que en Europa.

De dónde obtienen los datos los data brokers

Varias tuberías:

Registros de navegación de ISP (EE. UU.). Los ISP de EE. UU. desde 2017 (post-derogación de neutralidad de red) han podido legalmente vender datos de navegación sin consentimiento opt-in. AT&T, Verizon y otros operan programas explícitos de monetización de datos. Los datos fluyen del ISP al data broker al anunciante. En LatAm, los ISP principales (Telmex, Claro, Movistar, Totalplay) operan bajo regulaciones más restrictivas pero los datos de tráfico siguen siendo recolectados; lo que pueden hacer con ellos varía por país.

SDK de apps. Las apps móviles incrustan SDK de redes publicitarias y proveedores de analítica. Los SDK recolectan identificadores de dispositivo, ubicación, comportamiento, a veces contactos y otros datos sensibles. Los proveedores agregan a través de apps. Los permisos de app del usuario teóricamente controlan el acceso; en la práctica muchos usuarios otorgan permisos amplios.

Registros públicos. Registros de corte, registros de propiedad, registro de votantes, licencias profesionales. La agregación de brokers hace la búsqueda barata.

Programas de lealtad. Tarjetas de lealtad de supermercado, programas de recompensas de tarjeta de crédito, programas de viajero frecuente de aerolíneas. El comerciante recolecta datos de compra; vende a brokers.

Rastreo de navegador. Cookies, píxeles, fingerprinting. Agregación de brokers a través de sitios.

Datos de ubicación. Apps móviles con permisos de ubicación (apps del clima, apps de navegación, apps sociales) recolectan rastros de ubicación. Vendidos a brokers; combinados con otros datos para construir perfiles comprensivos.

La tubería importa. Los datos de navegación de ISP fluyen específicamente de ISP a brokers. Los datos de app fluyen específicamente de desarrolladores de app a brokers. Distintas fuentes, distinta completitud, distintos marcos éticos y legales.

Qué hay en un perfil de data broker

El perfil de un adulto típico de EE. UU. incluye:

  • Demográficos: edad, género, raza, estado civil, composición del hogar
  • Ingresos, patrimonio neto, calificación de crédito (regulado por separado)
  • Hogar: historial de dirección, valor de la propiedad, propiedad
  • Vehículo: propiedad, marca/modelo, alquiler/préstamo
  • Empleador: industria, rol, antigüedad
  • Conductual: categorías de compra, afinidades de marca, donaciones caritativas
  • Adyacente a salud: ciertos datos de farmacia (más limitado bajo HIPAA), patrones de rastreador de fitness donde se comparten
  • Político: afiliación partidista, frecuencia de voto, historial de donaciones
  • Navegación: sitios visitados, temas de búsqueda, contenido consumido (donde se puede derivar de cookies, datos de app o feeds de ISP)

La agregación hace que el todo sea mayor que las partes. Los datos individuales están disponibles en muchos lugares; el valor agregado del broker es correlacionarlos en un solo perfil vinculado a una sola identidad.

Cómo los brokers vinculan identificadores juntos

El problema de "resolución de identidad". Diferentes plataformas ven diferentes identificadores — tu correo aquí, tu número telefónico allá, tu ID de cookie en otro lado, tu dirección de casa en una solicitud de crédito. Los brokers vinculan estos juntos en "personas" representando al mismo individuo a través de fuentes.

Técnicas:

  • Coincidencia de correo. Cuando el mismo correo aparece en múltiples fuentes de datos, el broker los vincula.
  • Coincidencia de número telefónico. Igual.
  • Coincidencia de dirección. Menos confiable (los hogares comparten direcciones).
  • Coincidencia probabilística. Mismo fingerprint de navegador más misma ubicación aproximada más mismo comportamiento aproximado en línea probablemente equivale a la misma persona.
  • Coincidencia de gráfico de dispositivo. Los identificadores de un dispositivo específico (Apple ID, Google ID, ID de publicidad) te siguen a través de apps.

El resultado: un perfil unificado vinculado a través de fuentes de datos. Los brokers venden acceso a estos perfiles para targeting de publicidad, detección de fraude, verificación de identidad, analítica de marketing y cada vez más para campañas políticas.

Para qué se usan los datos

Los usos que suenan legítimos:

  • Targeting de anuncios: mostrar anuncios relevantes en lugar de irrelevantes
  • Detección de fraude: señalar transacciones sospechosas basándose en anomalías demográficas / conductuales
  • Decisiones de crédito: los data brokers alimentan al sistema de crédito
  • Precio de seguros: los modelos actuariales usan entradas de datos de broker
  • Analítica de marketing: entender cohortes de clientes

Los usos más preocupantes:

  • Precio diferencial: cobrar a usuarios montos diferentes basándose en disposición percibida a pagar derivada del broker
  • Selección de empleo: investigación pre-contrato sobre candidatos usa datos de broker
  • Microtargeting político: mensajería de campaña adaptada a perfiles políticos derivados del broker
  • Compra de datos por aplicación de la ley: agencias comprando datos que de otro modo necesitarían una orden para obtener (esto ha sido activamente documentado, particularmente alrededor de datos de ubicación)
  • Agregación para vigilancia: agencias de inteligencia extranjeras comprando datos de broker de EE. UU. ha sido documentado en investigaciones noticiosas

La línea entre "marketing legítimo" y "vigilancia preocupante" es más borrosa de lo que la industria típicamente reconoce.

La tubería específica de ISP a broker

La tubería más relevante para VPN. Concretamente:

  • Tu ISP registra tus consultas DNS, SNI, IP destino, patrones de tráfico
  • El ISP empaqueta estos datos en cohortes anonimizadas (en teoría) o datos individuales seudonimizados (en la práctica, dependiendo de la política del ISP)
  • El ISP vende al data broker
  • El broker correlaciona con sus perfiles existentes usando coincidencia de IP a hogar
  • El broker vende al anunciante, que apunta anuncios basándose en comportamiento inferido

El marco "anonimizado" a menudo es más débil de lo que sugiere el marketing. Con suficientes datos, la identificación individual es posible desde perfiles "anonimizados". La investigación académica ha mostrado consistentemente que los datos de navegación etiquetados como anonimizados pueden ser re-identificados con relativamente pocos datos adicionales.

Qué cambia realmente una VPN

Una VPN encripta el tráfico entre tu dispositivo y el proveedor de VPN. Desde la perspectiva del ISP:

  • Ven tráfico encriptado a un proveedor de VPN
  • No pueden ver el dominio que visitaste (sin SNI para leer)
  • No pueden ver lo que consultaste (sin consultas DNS para registrar)
  • No pueden inferir servicios específicos (forma de tráfico oscurecida)

Resultado: el ISP no puede vender tus datos de navegación a brokers porque no tiene datos específicos de navegación que vender. El volumen y timing que SÍ pueden observar es mucho menos comercialmente valioso que destinos específicos.

Lo que la VPN NO cambia:

  • Recolección de datos a nivel de app. Las apps siguen recolectando lo que recolectan; los SDK siguen enviando a brokers. La VPN no alcanza dentro de las aplicaciones.
  • Fingerprinting de navegador. Los píxeles de rastreo y cookies aún funcionan. La VPN cambia la IP, no la identidad del navegador.
  • Rastreo de servicio con sesión iniciada. Google, Facebook, Amazon aún saben quién eres cuando inicias sesión. La VPN no anonimiza la actividad autenticada.
  • Registros públicos y datos offline. Registros de propiedad, registros de corte, programas de lealtad — ninguno afectado por encriptación a nivel de red.
  • Datos ya recolectados. Una VPN hacia adelante no borra datos que los brokers ya tienen sobre ti.

Una VPN cierra la tubería ISP-a-broker. Es una pieza de una postura de privacidad por capas.

El stack completo de privacidad

Para usuarios que se preocupan por el ecosistema más amplio de brokers:

  • VPN (capa de red) — cierra la tubería del ISP
  • Navegador respetuoso de la privacidad (Firefox + uBlock Origin + Privacy Badger; Brave; Tor Browser para apuestas altas) — reduce el rastreo a nivel de navegador
  • DNS encriptado (DoH o DoT a un resolver sin logs como Cloudflare 1.1.1.1, Quad9) — protección adicional a nivel DNS
  • Permisos selectivos de app — minimiza lo que las apps pueden recolectar
  • Alternativas enfocadas en privacidad — DuckDuckGo o Kagi en lugar de Google; ProtonMail en lugar de Gmail
  • Opt-out de data broker — empresas como Privacy Duck, Optery, DeleteMe automatizan el proceso de opt-out para los brokers principales
  • Uso consciente de programas de lealtad — registra con correo separado, minimiza datos voluntariamente entregados
  • Sé cauto de apps gratuitas — monetizan de alguna manera; usualmente datos

Cualquier capa única es parcial. El stack es lo que produce privacidad significativa. La VPN es una capa.

Preguntas frecuentes

¿Puedo averiguar qué saben los data brokers sobre mí?

Mayormente. Los brokers principales (Acxiom, Experian, Equifax, TransUnion) ofrecen acceso a datos del consumidor bajo varias leyes de protección al consumidor (CCPA de EE. UU. en California, GDPR de la UE, LGPD en Brasil). Solicitar tu archivo es gratis pero laborioso. Servicios como Optery automatizan esto.

¿Puedo borrar mis datos de los data brokers?

Sí, pero es una batalla continua. Los brokers deben cumplir con solicitudes de borrado en California (CCPA), la UE (GDPR), Brasil (LGPD) y un creciente número de otras jurisdicciones. Los datos tienden a fluir de regreso desde otras fuentes, así que se necesita re-borrado periódico.

¿Usar una VPN removerá mis datos de los brokers?

No. La VPN hacia adelante detiene la nueva transferencia de datos ISP-a-broker para tráfico encriptado por VPN. No borra los datos históricos que los brokers ya recolectaron desde cualquier fuente.

¿Algunos proveedores de VPN son ellos mismos data brokers?

Algunos han sido atrapados. Los servicios VPN gratuitos frecuentemente monetizan a través de venta de datos del usuario. Los proveedores VPN pagados reputables explícitamente no lo hacen (Mullvad, ProtonVPN, IVPN, Fexyn). Cuando evalúes, la afirmación "sin logs" más el historial de auditoría es la prueba relevante.

¿GDPR me protege de los data brokers?

En la UE, sí (mucho más fuerte que EE. UU.). Los data brokers en la UE operan bajo límites legales explícitos sobre recolección y uso de datos. Los usuarios de EE. UU. tienen CCPA en California; menos protección en otros lugares. Para usuarios LatAm, la LGPD brasileña ofrece protección similar a GDPR; otros países tienen marcos más débiles.

¿Mis datos ya están afuera?

Probablemente sí. Incluso si has usado VPN desde 2017, tus datos fueron recolectados antes de eso, tus apps continúan recolectando, tu actividad offline (tarjetas de lealtad, registros públicos) genera datos. La privacidad es una postura que tomas hacia adelante; no es algo que logras y terminas.

Prueba Fexyn gratis 7 días — cierra la tubería ISP-a-broker, no se requiere tarjeta para la prueba. Lo que tu ISP ve cubre la vigilancia a nivel ISP específicamente; Cómo elegir una VPN cubre la decisión de compra.

Última revisión 2026-05-09.

Data brokers e historial de navegación | Fexyn VPN