Filtración de Gravy Analytics: 17 TB de ubicación expuestos y lecciones para Chile
Un broker de datos de ubicación filtró 17 TB de coordenadas GPS recolectadas vía publicidad móvil. Te explicamos qué pasó, por qué importa bajo la Ley 21.719 y qué controles ISO 27001 reducen este riesgo.
A inicios de enero de 2025, un actor publicó en un foro ruso una muestra de 30 millones de registros de ubicación robados a Gravy Analytics, uno de los principales brokers de datos de ubicación del mundo. La filtración total se estima en 17 TB. Acá te contamos qué se expuso, cómo se recolectaron esos datos y por qué este caso es un examen anticipado para cualquier empresa chilena que use apps móviles, SDK publicitarios o brokers de datos bajo la Ley 21.719.
Qué pasó
Gravy Analytics, empresa estadounidense propietaria de la plataforma Venntel y proveedora histórica de datos de ubicación a agencias federales y a privados, sufrió una intrusión confirmada el 4 de enero de 2025. El atacante exfiltró información del entorno de almacenamiento en la nube de la empresa y publicó una muestra como prueba.
La muestra publicada contenía cerca de 30 millones de registros con coordenadas GPS precisas, identificadores publicitarios móviles y referencias a aplicaciones origen. Investigadores que la analizaron estimaron que el volumen total robado, de 17 TB, podría representar más de 200.000 millones de registros y abarcar cerca de mil millones de dispositivos rastreados a diario.
Lo importante no es solo el tamaño. Es la naturaleza de los datos.
Qué se expuso
En las muestras revisadas por periodistas y por investigadores independientes aparecieron coordenadas asociadas a:
- Apps de citas (Tinder y Grindr, entre otras).
- Apps de salud y bienestar (rastreadores de ciclo, fitness, meditación).
- Apps de carácter religioso (Muslim Pro, Bible apps).
- Juegos populares de gran audiencia (Candy Crush, Tetris, Temple Run).
- Aplicaciones de movilidad, clima y utilitarios.
La granularidad permitía reconstruir trayectorias diarias completas: domicilio, lugar de trabajo, visitas médicas, asistencia a templos, recorridos turísticos y, en algunos casos, coordenadas dentro de bases militares y embajadas. Cada punto venía amarrado al identificador publicitario del dispositivo (MAID, IDFA o AAID), lo que permite a un tercero re-identificar a la persona detrás del teléfono.
Cómo se recolectaron esos datos
Acá está la parte incómoda. Gran parte de los datos no se obtuvieron por un SDK de Gravy embebido en las apps. Se obtuvieron por la cañería de publicidad móvil llamada real-time bidding o RTB.
Cuando una app muestra un anuncio, dispara una subasta en milisegundos. En esa subasta se transmite a decenas o cientos de potenciales compradores información del dispositivo: identificador publicitario, ubicación aproximada o precisa, sistema operativo, app en uso, dirección IP. El comprador que gana paga el aviso. Los que pierden, en muchos casos, igual se quedan con los datos.
Brokers como Gravy compran o agregan estos flujos a través de socios en la cadena RTB y construyen perfiles longitudinales de dispositivos. Es decir, los datos de ubicación de millones de personas viajan por la cadena publicitaria sin que el dueño del teléfono ni los desarrolladores de las apps lo dimensionen.
Si tu empresa monetiza una app con redes publicitarias, o usa SDKs de medición y atribución, probablemente formas parte de esta cañería sin haberlo decidido en términos explícitos.
Por qué esto es un problema para Chile y la Ley 21.719
La Ley 21.719 entra en plena exigibilidad y aplica a todo tratamiento de datos personales que afecte a personas que se encuentren en Chile, sin importar dónde esté el responsable. Tres elementos del caso Gravy chocan de frente con la ley.
1. Los datos de ubicación precisa son datos personales. Una coordenada amarrada a un identificador de dispositivo permite singularizar a una persona. La ley considera dato personal cualquier información que identifique o haga identificable al titular. No hay duda interpretativa: el MAID + GPS califica.
2. Trayectorias diarias pueden ser datos sensibles. Si la ubicación revela visitas a centros de salud, lugares de culto, sedes gremiales o domicilios privados, el tratamiento toca categorías especialmente protegidas. El estándar de licitud sube y el consentimiento debe ser explícito y específico.
3. La empresa chilena es responsable, aunque el broker esté afuera. Si tu app o tu sitio embebió un SDK que comparte ubicación con un tercero, eres responsable del tratamiento frente al titular en Chile. La cadena de encargados y subencargados no diluye tu obligación: la concentra.
Suma a esto el régimen de notificación de brechas en 72 horas y las multas de hasta 20.000 UTM o 4% de los ingresos, y queda claro que un caso Gravy en suelo chileno no se paga con un comunicado.
Lecciones prácticas para empresas chilenas
1. Minimización: el dato que no recolectas no se filtra
Pregunta básica: ¿tu producto necesita ubicación precisa o le basta con ciudad? ¿Necesita ubicación 24/7 o solo durante el uso de la función? ¿Necesita compartir esa ubicación con redes publicitarias o puede mantenerla en tu propio backend?
Cada SDK que embebes es un canal de salida. Cada permiso "siempre" en lugar de "mientras uso la app" multiplica la superficie. La regla operativa es directa: recolecta el menor dato posible, por el menor tiempo posible, con el menor número de terceros posible.
2. Consentimiento real, no botón decorativo
Bajo la Ley 21.719, el consentimiento válido es libre, informado, específico e inequívoco. Un aviso de privacidad genérico que diga "podemos compartir datos con socios publicitarios" no cubre la transferencia de coordenadas precisas a un broker que las revende.
Lo que sí cubre: explicar la finalidad, listar las categorías de terceros, ofrecer un mecanismo de oposición efectivo, y registrar el consentimiento de forma trazable. Si tu app pide ubicación al inicio sin contexto y nunca más vuelve a tocar el tema, ese consentimiento es frágil.
3. Riesgo de terceros: el eslabón es tu proveedor
Gravy no era una empresa anónima. Era un proveedor con clientes corporativos y gubernamentales. Su filtración arrastra a quienes le suministraron datos por la cadena RTB y a quienes los compraron creyéndose limpios.
Tu empresa debería tener:
- Un inventario actualizado de SDKs y proveedores que reciben datos de tus usuarios.
- Contratos de encargado de tratamiento con cláusulas de seguridad, auditoría, subencargados y notificación de incidentes.
- Una clasificación de criticidad por proveedor y un plan de revisión periódica.
- Cláusulas que prohíban el uso secundario de los datos (especialmente reventa).
Si tu proveedor publicitario no acepta firmar un DPA serio, no es tu proveedor: es tu próximo titular de prensa.
4. Controles ISO 27001 que aplican directo
Los controles del Anexo A de ISO/IEC 27001:2022 que abordan el escenario Gravy son concretos:
| Control | Para qué sirve en este caso |
|---|---|
| A.5.19 a A.5.22 | Gestión de proveedores y cadena de suministro: due diligence, contratos, monitoreo |
| A.5.34 | Privacidad y protección de datos personales: integra la operación con la Ley 21.719 |
| A.8.10 | Eliminación de información: retención mínima, borrado verificable |
| A.8.11 | Enmascaramiento de datos: pseudonimización antes de compartir con terceros |
| A.8.12 | Prevención de fuga de información: DLP en endpoints, repositorios y SaaS |
| A.8.16 | Monitoreo de actividades: detectar exfiltraciones masivas a tiempo |
| A.8.24 | Uso de criptografía: cifrado en reposo y en tránsito, gestión de claves |
Una empresa con un SGSI ISO 27001 maduro no se libra de un incidente de proveedor, pero llega al evento con inventarios, contratos, controles y trazabilidad. Eso cambia por completo el resultado regulatorio frente a la APDP.
5. Plan de respuesta listo, no improvisado
Si mañana se publica que un proveedor publicitario expuso datos de tus usuarios chilenos, tienes 72 horas. Necesitas saber qué datos compartiste, con qué finalidad, bajo qué consentimiento, a través de qué SDK, durante cuánto tiempo y para cuántas personas. Si esa información hay que reconstruirla en caliente, ya estás en problemas.
Qué cambia si tu empresa hace los deberes
Una empresa que combina Ley 21.719 e ISO 27001 frente a un caso como Gravy puede demostrar tres cosas: que minimizó la recolección, que el consentimiento estaba documentado, y que la elección del proveedor pasó un proceso formal de evaluación. En ese escenario, la responsabilidad por el incidente recae principalmente en el broker, y la sanción a tu empresa, si la hay, baja varios escalones.
Una empresa que no hizo los deberes no puede demostrar nada de eso. Y en una fiscalización, lo que no se puede demostrar no existió.
¿Tu app, sitio web o producto digital trata datos personales de usuarios en Chile? Empieza por lo más básico y obligatorio: un aviso de privacidad alineado con la Ley 21.719. Usa nuestro generador de política de privacidad, gratis y en minutos, y deja la base lista antes de que un caso como el de Gravy te toque a ti.
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →