Le adelanto que este caso va mucho más allá de los coches. El pago de 12,75 millones de dólares que General Motors acaba de acordar con la Fiscalía de California no es solo una multa más por privacidad. Es la última señal de que el libre comercio de datos personales —incluida la geolocalización de millones de conductores— tiene los días contados. Y en el mundo de la inteligencia, esa señal se lee con nerviosismo.
Según el comunicado del fiscal general Rob Bonta, GM violó la California Consumer Privacy Act (CCPA) al recopilar sin consentimiento información detallada de los vehículos —desde la ubicación en tiempo real hasta las frenadas bruscas— y venderla luego a corredores de datos. La compañía, que integraba esta práctica en su servicio OnStar, llegó a comercializar los hábitos de conducción de más de 16 millones de automóviles. El 80% de esos conductores, afirma la Fiscalía, jamás dio su permiso.
La multa es minúscula para un gigante como GM: apenas una fracción del presupuesto publicitario trimestral de la marca. Sin embargo, la lectura confidencial es otra. Lo que aquí me interesa no es el castigo a Detroit. Me interesa el ecosistema al que alimentaba GM: el gigantesco supermercado de datos que vende información de localización a cualquiera que pague, incluidos los servicios de inteligencia de medio mundo.
El pacto que inquieta a los compradores de datos en las agencias de inteligencia
Si usted conduce un Chevrolet, un Cadillac o un GMC fabricado en los últimos seis años, GM ha vendido sus hábitos al volante. Lo hacía a través de intermediarios como LexisNexis Risk Solutions o Verisk Analytics, que a su vez revendían los perfiles a aseguradoras… y, en la parte opaca del mercado, a firmas de inteligencia comercial que sirven tanto a empresas como a gobiernos. La geolocalización sin consentimiento se convierte así en inteligencia de señales barata y sin control judicial.
La National Security Agency (NSA) y la Central Intelligence Agency (CIA) llevan años comprando datos de localización de teléfonos móviles a brokers como Babel Street o Venntel, según documentos desclasificados de la Oficina del Director de Inteligencia Nacional. Tradecraft del siglo XXI: obtener información que antes requería una orden judicial o una fuente humana reclutada —HUMINT—, ahora se consigue con una tarjeta de crédito. Es el agujero legal de la ‘tercera parte’ que las agencias de inteligencia estadounidenses han explotado sin rubor desde que se aprobó la USA Freedom Act en 2015.
Y no solo Washington. Los servicios europeos, incluido el CNI, observan la misma estrategia. Me consta por fuentes conocedoras que los debates internos en la comunidad de inteligencia de la UE van en una única dirección: si el aliado norteamericano puede comprar datos que a nosotros nos están vedados por el Tribunal de Justicia de la Unión Europea, ¿no estamos quedándonos en desventaja operativa? La respuesta, en algunos foros de la OTAN, es un incómodo silencio.
Los servicios de inteligencia llevan años comprando los mismos datos de localización que ahora California castiga; la doctrina de la ‘tercera parte’ se ha convertido en un agujero legal del tamaño de un continente.
El acuerdo de GM con la Fiscalía de California no prohíbe esa práctica, pero sí la señala como lo que es: un negocio sin cortafuegos. La CCPA exige consentimiento expreso, y el fiscal Bonta ha dejado claro que la industria del automóvil no puede escudarse en la letra pequeña. Si esta jurisprudencia se extiende a los corredores de localización —y todo apunta a que será el siguiente paso—, las agencias de inteligencia se quedarán sin su fuente favorita de SIGINT comercial.
La geolocalización como moneda de cambio: de los concesionarios al mercado negro de la inteligencia
Para entender el modus operandi hay que mirar el camino que recorre un dato: el coche envía telemetría a OnStar; OnStar la agrega y la vende a un broker; el broker la revende a un cliente que pide «análisis de comportamiento al volante en el área de Washington DC». Ese cliente puede ser una aseguradora, pero también una empresa pantalla de un servicio de inteligencia extranjero. El CNI, el FSB o el Mossad podrían estar alimentando sus bases de datos de localización a través de exactamente el mismo conducto.
No es una hipótesis de ciencia ficción. En 2023, la Comisión Federal de Comunicaciones (FCC) multó a los cuatro mayores operadores móviles de EE.UU. por vender la ubicación en tiempo real de sus clientes a intermediarios que luego la revendían a cualquiera, incluidas agencias de espionaje. Lo advertí en Desnudando a Google hace más de una década: «Google acaba conociéndonos mejor que nuestra propia pareja». Ahora el coche conoce nuestras rutinas mejor que nosotros mismos.
La diferencia con el caso GM es la escala: 16 millones de vehículos generan un volumen de datos de movilidad que convertiría a cualquier servicio de inteligencia en un observador omnisciente del territorio. Si yo dirijo el GRU y quiero saber los patrones de movimiento de una unidad militar en Alemania, me basta con comprar el lote de datos de cien mil coches que pasan por la autopista A2. Esto no es ciberguerra, pero es la munición silenciosa de la próxima.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es una filtración comercial de datos masivos de geolocalización. La vía no es un ciberataque ni un topo en el Estado Mayor, sino una transacción financiera aparentemente inocua entre un fabricante de automóviles y un corredor de datos. Las agencias implicadas son, por un lado, los compradores habituales (NSA, CIA, y probablemente sus homólogos europeos) y, por otro, los reguladores que ahora intentan poner coto a este mercado opaco.
El CNI, que tanto ha invertido en capacidades SIGINT, se encuentra en una posición paradójica: nuestra legislación de protección de datos es más estricta que la estadounidense, pero la dependencia de fuentes aliadas obliga a mirar hacia otro lado. Fuentes de la Casa de Castelló admiten, sin grabadora, que la inteligencia de localización obtenida de terceros es ya parte del menú diario. El nivel de clasificación estimado de estos datos es «Sin Clasificar pero Sensible»; sin embargo, cuando se cruzan con otras fuentes —HUMINT, IMINT— pueden revelar secretos militares de alto valor.
El precedente histórico más claro es la compra por parte de la CIA de los datos de la empresa de criptografía Crypto AG durante décadas, que permitió espiar a más de un centenar de países. Hoy, con los datos de localización, estamos ante la misma lógica, pero a una escala exponencialmente mayor. Y lo que el acuerdo de California anticipa es que la era del libre mercado de la intimidad se está cerrando, al menos bajo el paraguas de la ley. Los servicios de inteligencia tendrán que buscar otras vías —y la más evidente es reforzar sus propias capacidades técnicas, como lleva años reclamando el CCN-CERT.
Lo veo como un cambio de doctrina irreversible. El modelo que permitió a las agencias estadounidenses saltarse la Cuarta Enmienda usando a un tercero no durará mucho más. Y cuando caiga, la inteligencia europea tendrá que decidir si sigue a remolque o construye su propio huso de fuentes humanas y técnicas. El tiempo se acaba, y con él, la excusa de que comprar datos es solo ‘inteligencia de fuentes abiertas’.
