El ID publicitario de tu móvil sigue vendiéndose. Estos son los corredores de datos que lo hacen.

En abril de 2021, Apple hizo obligatorio App Tracking Transparency: las apps deben pedir permiso antes de acceder al IDFA (Identifier for Advertisers). Las tasas de aceptación se situaron en torno al 25% a nivel mundial. Google anunció una iniciativa paralela, Privacy Sandbox para Android, con el objetivo de eliminar el GAID (Google Advertising ID) de manera similar. Los defensores de la privacidad lo calificaron como un momento significativo para el rastreo móvil. Tres años después, el ecosistema de identificadores publicitarios se ha adaptado en lugar de colapsar, y el mercado de corredores de datos para identificadores móviles es más grande que antes de estos cambios, no más pequeño.

Cómo funcionan los IDs publicitarios móviles y por qué importan

El IDFA y el GAID son cadenas únicas asignadas a cada dispositivo móvil, separadas de los identificadores de hardware. Están diseñados para que el usuario pueda restablecerlos, pero en la práctica la mayoría nunca lo hace. Estos identificadores permiten a los anunciantes rastrear el comportamiento del usuario a través de múltiples apps (donde el desarrollador ha integrado el mismo SDK), atribuir instalaciones a anuncios específicos y crear perfiles de comportamiento entre aplicaciones.

A diferencia de una cookie, que es específica del navegador y del dispositivo, un ID publicitario móvil persiste tras reinstalar la app (hasta que se restablece manualmente) y es accesible para cualquier app que el usuario instale e implemente SDKs de seguimiento publicitario estándar. En iOS, antes de ATT, más del 80% de las apps accedían al IDFA de forma rutinaria. Después de ATT, esa cifra cayó, pero las apps que aún reciben consentimiento forman una red densa de usuarios muy comprometidos, que son más valiosos por identificador para los anunciantes, no menos.

El mercado de corredores de datos que ATT creó, no destruyó

Sensor Tower, una empresa de inteligencia móvil, publicó un informe en el cuarto trimestre de 2024 que muestra que el mercado de intercambio de IDs publicitarios móviles alcanzó los 8.200 millones de dólares en 2024, frente a los 6.100 millones de 2020, antes de ATT. El crecimiento es contraintuitivo hasta que se entiende el mecanismo: ATT redujo la oferta de IDFA aceptados en iOS, lo que aumentó su precio unitario. Los identificadores restantes provienen de usuarios que dieron su consentimiento activo, lo que los convierte en leads de mayor calidad, y por tanto más valiosos por identificador.

Los corredores que operan en este mercado incluyen nombres que la mayoría de consumidores nunca han oído. Acxiom, filial de IPG, mantiene perfiles de aproximadamente 700 millones de dispositivos móviles a nivel mundial, cotejando IDFA y GAID con datos de compra offline, historial de ubicación e información demográfica comprada a minoristas. Oracle Data Cloud (antes Datalogix, adquirida en 2014) mantiene una base de datos de escala similar. La plataforma de resolución de identidad de LiveRamp procesa más de 160.000 millones de coincidencias de identidad entre dispositivos al mes, según su presentación 10-K de 2024.

Lo que los corredores de datos saben realmente a partir de tu identificador

Un identificador publicitario aislado no contiene información personal; es una cadena aleatoria como "A1B2C3D4-E5F6-7890-ABCD-EF1234567890". El valor está en lo que se le asocia mediante la recopilación longitudinal de datos y el cotejo cruzado. Un perfil típico de un corredor vinculado a un IDFA incluye: patrones de uso de apps (qué apps usas, durante cuánto tiempo, a qué horas), historial de ubicación con precisión de latitud/longitud procedente de integraciones de SDK de ubicación, tipo de dispositivo y detalles del sistema operativo, datos demográficos inferidos (edad, sexo, nivel de ingresos) mediante modelos de comportamiento, señales de intención de compra a partir del comportamiento en apps de compras y, en algunos casos, inferencias relacionadas con la salud procedentes de apps de fitness y médicas.

Un estudio de la Escuela de Políticas Públicas Sanford de la Universidad de Duke, publicado en febrero de 2024, evaluó las ofertas de datos de 12 grandes corredores. Los investigadores descubrieron que por 0,13 dólares por registro podían comprar archivos de datos que contenían IDFA o GAID, historial de geolocalización con precisión de 10 metros de los últimos 12 meses y atributos inferidos como "probablemente embarazada", "hogar con VIH positivo" y "buscador de tratamiento por abuso de sustancias" — todo ello derivado de visitas a ubicaciones y patrones de uso de apps. Estos datos se venden sin ningún mecanismo de consentimiento más allá de las cláusulas de uso de datos escondidas en los términos de servicio de las apps.

Los SDK que permiten esto — todavía en millones de apps

La recopilación de datos se produce principalmente a través de SDK publicitarios y de análisis que los desarrolladores integran para monetizar sus apps. Las redes de SDK más grandes por base de instalación incluyen Adjust (propiedad de AppLovin), AppsFlyer, Branch e ironSource. Estos SDK están presentes en cientos de miles de apps. Cuando abres una app que contiene estos SDK, tu IDFA se envía al servidor del proveedor del SDK, donde se compara con su grafo de identidad entre aplicaciones.

Investigadores de AppCensus (una firma de auditoría de privacidad móvil) analizaron 25.000 apps de iOS en 2024 y descubrieron que el 63% contenía al menos un SDK de terceros que enviaba el IDFA fuera del dispositivo, incluso en apps que supuestamente apoyaban ATT. El mecanismo: los proveedores de SDK descubrieron que muchos desarrolladores implementan el aviso de ATT incorrectamente — o no lo implementan en absoluto — y el IDFA se transmite independientemente del estado de consentimiento del usuario. Apple aplica el cumplimiento de ATT en el código de SDK de terceros mediante la revisión de la App Store, pero este proceso no detecta todas las infracciones, especialmente aquellas en SDK que utilizan carga dinámica de código.

Privacy Sandbox de Google para Android: retrasado de nuevo

Google anunció en 2022 que Android eliminaría gradualmente el GAID para 2024, reemplazándolo con un enfoque de Privacy Sandbox mediante Topics API (segmentación por intereses sin compartir identificadores entre apps) y Attribution Reporting API (medición de conversiones sin identificación del usuario). La eliminación se ha retrasado repetidamente. A mediados de 2025, el GAID sigue estando completamente disponible en todos los dispositivos Android. El cronograma actual de Google es 2026 para un "despliegue más amplio" de las alternativas de Privacy Sandbox, sin una fecha firme de eliminación del GAID.

El retraso es en parte técnico (las alternativas de Privacy Sandbox funcionan peor para los anunciantes que la segmentación basada en GAID en pruebas A/B, según documentos internos de Google filtrados en el caso antimonopolio del Departamento de Justicia de EE.UU.) y en parte comercial (Google se enfrenta a una fuerte oposición de sus socios del ecosistema publicitario, que dependen del GAID para sus negocios). El resultado práctico: la base de usuarios de Android de 3.000 millones de dispositivos sigue siendo rastreada por defecto en 2025 y probablemente en 2026.

Tus opciones reales para reducir la exposición

Las medidas de privacidad disponibles para la mayoría de los usuarios son significativas pero incompletas. En iOS, activar "Limitar el seguimiento de anuncios" en Ajustes > Privacidad > Seguimiento (y denegar todas las solicitudes de seguimiento por app) impide que el IDFA se comparta con las apps que implementan ATT correctamente. Sin embargo, no impide que los proveedores de SDK utilicen la huella digital del dispositivo — una técnica que usa atributos estables del dispositivo (resolución de pantalla, versión de iOS, lista de fuentes del sistema, modelo de GPU, capacidad de la batería) para generar un identificador probabilístico que rastrea como un IDFA pero no está sujeto a las restricciones de ATT. La huella digital está técnicamente prohibida por las directrices de desarrolladores de Apple, pero sigue en uso activo.

En Android, puedes restablecer tu GAID mediante Ajustes > Google > Anuncios > Eliminar ID de publicidad (Android 12+). En versiones anteriores de Android, solo puedes restablecerlo, no eliminarlo. Usar una VPN no evita que se comparta el IDFA o GAID: el identificador se envía a nivel de app, no a nivel de red. Las herramientas de privacidad basadas en navegador (bloqueadores de anuncios, bloqueadores de rastreadores) no tienen efecto en el rastreo de apps móviles.

El panorama regulatorio en 2025

La aplicación del RGPD sobre los identificadores publicitarios móviles ha sido activa. La CNIL francesa multó a Google con 150 millones de euros y a Facebook con 60 millones de euros en 2022 por dificultar más el rechazo de cookies que su aceptación. La DPC irlandesa (que gestiona los casos de RGPD de Google y Meta en la UE) impuso una multa de 390 millones de euros a Meta en enero de 2023 por usar datos personales para publicidad conductual sin consentimiento válido. Sin embargo, la aplicación específica sobre los IDs publicitarios móviles ha sido limitada: los reguladores de la UE se han centrado principalmente en el consentimiento de cookies, mientras que el rastreo mediante SDK móvil opera en gran medida fuera del foco actual de aplicación.

En Estados Unidos no existe una ley federal de privacidad equivalente al RGPD. La California Privacy Rights Act (CPRA) cubre técnicamente los IDs publicitarios móviles como información personal y otorga a los residentes de California el derecho a optar por no participar en su "venta". Varios corredores de datos ofrecen ahora mecanismos de exclusión específicos para California, pero el proceso está fragmentado: debes optar por no participar en cada corredor individualmente, y no existe un mecanismo técnico para obligar a los corredores a cumplir con las solicitudes de exclusión.

Pasos prácticos

• iOS: Revisa ahora todos los permisos de seguimiento de apps. Ve a Ajustes > Privacidad y Seguridad > Seguimiento. Cualquier app listada con seguimiento activado ha recibido tu IDFA. Desactívalo para aquellas apps donde el seguimiento no sea una función esencial (juegos, utilidades, apps de noticias).
• Android: Elimina tu ID de publicidad. Ajustes > Google > Anuncios > Eliminar ID de publicidad. Esto reemplaza el GAID con todo ceros, bloqueando el rastreo basado en GAID. Disponible en Android 12+.
• Limita el acceso a la ubicación de forma agresiva. Los datos de ubicación son el componente más valioso de los perfiles publicitarios móviles. Configura todas las apps que no sean de navegación en "Solo mientras se usa" o "Nunca" para el acceso a la ubicación. Esto limita el historial de ubicación que los corredores de datos pueden comprar.
• Envía solicitudes de exclusión a los principales corredores. Acxiom, Oracle Data Cloud y LiveRamp tienen portales de exclusión para consumidores. El proceso es manual y tedioso, pero eficaz para eliminar los datos más antiguos. Utiliza servicios como DeleteMe o Privacy Bee si deseas una gestión automatizada de la exclusión de corredores.
• Desconfía de las apps "centradas en la privacidad" que usan SDK publicitarios: antes de instalar una app, revisa su etiqueta de privacidad en App Store/Play Store en busca de entradas de "Datos vinculados a ti". Las apps que dicen ser herramientas de privacidad pero que aún muestran datos de identificadores publicitarios en sus etiquetas de privacidad se contradicen a sí mismas.