¿Qué es Webloc? ¿Qué retos supone para nuestra privacidad? ¿Están siendo los españoles siendo espiados por esta herramienta?
Webloc es una herramienta de inteligencia comercializada por Penlink que permite recopilar, cruzar y analizar información procedente de fuentes abiertas, redes sociales y otros entornos digitales. Su origen está en Cobwebs Technologies, compañía que fue integrada en Penlink tras una fusión en 2023.
La plataforma ha quedado en el centro de una controversia internacional por su uso o adquisición por parte de organismos policiales y agencias gubernamentales. En Estados Unidos, la contratación de Webloc por parte de ICE ha generado críticas políticas y denuncias de organizaciones civiles, que advierten del riesgo de utilizar este tipo de tecnologías para ampliar la vigilancia sobre la población sin suficientes garantías judiciales.
Esa polémica ha sido analizada por Citizen Lab, uno de los centros de investigación más reconocidos en el estudio de amenazas digitales contra la democracia, los derechos humanos y la seguridad global. Su investigación examina el alcance de Webloc, sus clientes institucionales y las implicaciones que plantea para la privacidad y el control democrático de las tecnologías de vigilancia.
Este artículo parte, en buena medida, de ese trabajo de Citizen Lab. No pretende sustituirlo, sino ordenar sus principales hallazgos y aterrizarlos en una pregunta concreta: qué papel juega España en el uso, adquisición o exposición institucional a este tipo de herramientas.
¿Qué es Webloc y cómo funciona?
Webloc es un add-on comercializado como servicio adicional de Tangles, un sistema de “inteligencia web y redes sociales”. En la práctica, funciona como software de espionaje y puede emplearse tanto para vigilancia masiva como para vigilancia dirigida contra grupos o individuos concretos.
La tecnología detrás de Webloc es ad-based: utiliza anuncios en aplicaciones móviles para recabar información sobre los objetivos. Esta recopilación se realiza principalmente mediante dos métodos: el método RTB y el método SDK.
El método RTB
El método RTB (real-time bidding), traducido como “subasta en tiempo real”, se activa cuando una persona abre una aplicación o web móvil que contiene anuncios. En menos de un segundo, el dispositivo envía información sobre sí mismo y sobre el usuario asociado. A partir de esos datos, los anunciantes pujan para posicionar su anuncio en ese dispositivo.
Sin embargo, no pujan exclusivamente anunciantes. También pueden competir data brokers interesados en adquirir esa información. En ese circuito, el proveedor de spyware, en este caso Webloc, puede pujar directamente por los datos o adquirirlos después de los propios data brokers. Una vez obtenida, la información se procesa y se presenta al cliente final a través de la interfaz de Webloc/Tangles.
El método SDK
El método SDK es similar, pero tiene sus diferencias. Los proveedores de software, es decir, los desarrolladores de aplicaciones, suelen utilizar software de terceros para tareas de análisis y monitoreo. El método recibe este nombre porque normalmente esos servicios de terceros se integran en las aplicaciones mediante SDKs (Software Development Kits).
Estos terceros venden la información obtenida de las aplicaciones a data brokers, a veces directamente y otras a través de intermediarios. Estos, a su vez, la revenden al proveedor de spyware, que, al igual que con el método RTB, la procesa y la presenta al cliente final.
Según documentos analizados por el equipo de Citizen Lab, Webloc solo utilizaba SDK en 2021. Sin embargo, por el tipo de información que se observa en imágenes filtradas de la interfaz de Webloc, es plausible que ahora utilice una mezcla de ambas fuentes.
¿Qué tipo de información dan estas fuentes?
Ambas fuentes proporcionan una base común de datos: identificador del dispositivo, fecha y hora, geolocalización, aplicación utilizada como vector de envío de la información, sistema operativo e idioma del dispositivo.
La diferencia está en el tipo de información adicional que aporta cada método. RTB incorpora datos asociados a marketing y anuncios personalizados, como edad, género, intereses, hábitos o tendencias de compra. SDK, en cambio, depende de los permisos concedidos a la aplicación, por lo que la información obtenida puede ser más o menos sensible según el nivel de acceso que tenga la app.
| Data category | Description |
|---|---|
| Identificadores personales | Identificador publicitario Android/iOS, dirección IP |
| Timestamp | Timestamp en cada dato |
| Geolocalización | Coordenadas GPS, ubicación Wi-Fi, ubicación precisa |
| Información inferida de la localización | Ubicación del trabajo, domicilio y lugares visitados a menudo |
| Wi-Fi | SSID, BSSID, estado de conexión |
| Información del dispositivo | Modelo del dispositivo, fabricante, tipo y sistema operativo |
| Características personales | Edad, género, idioma, padre/madre, viajes frecuentes, gamer |
| Perfil en base a conducta | Segmentos o categorías publicitarias, como idioma, transporte público, compras o bienes de lujo |
| Apps usadas | Lista de apps utilizadas, incluyendo las ventanas de tiempo en que se usaron |
En esta categoría entra información como el comportamiento dentro de la app, los puntos de acceso Wi-Fi, los dispositivos Bluetooth cercanos e incluso datos procedentes de sensores del dispositivo, como el giroscopio o la cámara.
En cualquier caso, ambos métodos envían un identificador de dispositivo. Aunque sobre el papel pueda considerarse anónimo, normalmente aparece vinculado a información personal identificable, como nombre, número de teléfono o dirección de email.
Webloc en profundidad
El servicio se presenta como una “plataforma de inteligencia de ubicaciones”, pero su alcance va mucho más allá de esa descripción comercial. Webloc permite observar movimientos, dispositivos, aplicaciones y señales próximas al usuario, lo que lo sitúa en un terreno mucho más sensible que una simple herramienta de análisis geográfico.
Gracias a una filtración vinculada a un contrato de El Salvador con la empresa mexicana EyeTech Solutions, revendedora del software de PenLink, el equipo de Citizen Lab pudo analizar documentos internos con capturas de la interfaz y otros detalles técnicos. Esas imágenes permiten ver Webloc desde la perspectiva de un cliente que utiliza la herramienta para rastrear a un individuo concreto.
En una de las capturas aparece la ubicación del objetivo, las 141 aplicaciones instaladas en su dispositivo, las 81 ubicaciones emitidas por esas apps y 110 puntos de acceso Wi-Fi cercanos o conectados, que también pueden utilizarse para geolocalización. Otra captura muestra el seguimiento del trayecto de una persona desde Alemania hasta Hungría a partir de 39 ubicaciones registradas.
En otra imagen se observa un mapa de calor y un conjunto de rutas asociadas a 103 individuos, con información disponible sobre cada uno de ellos. La captura muestra que Webloc puede utilizarse no solo para seguir a una persona concreta, sino también para visualizar patrones de movimiento de varios objetivos dentro de una misma interfaz.
Otra captura evidencia que Webloc no se limita a recopilar información geográfica. La herramienta también muestra datos del dispositivo y el segmento al que pertenece el usuario. En este contexto, “segmento” hace referencia a etiquetas creadas con fines publicitarios, utilizadas para clasificar perfiles según intereses, hábitos o características inferidas.
La siguiente captura muestra el método planteado por el revendedor mexicano de PenLink para identificar lugares de trabajo y residencia mediante mapas de calor. Para ello, separa la actividad diurna de la nocturna y permite inferir dónde se mueve un dispositivo durante el día y dónde permanece por la noche.
Esto también muestra que, aunque se intente no relacionar directamente un dispositivo con una identidad, hay muchas formas de vincular la información que produce y emite con una persona real. La ubicación, los horarios y los lugares frecuentes pueden ser suficientes para establecer esa relación.
Webloc incluye otras funcionalidades como la geolocalización a través de Street View y la elaboración de diagramas relacionales entre usuarios. Vemos que el diagrama permite unir identificadores con grupos multi perímetro y multi dispositivo, filtrar por grado (conexiones inmediatas, grado 2, grado 3…), incluir mapas, imágenes…
Citizen Lab también identificó funcionalidades que no aparecen directamente en las capturas, pero sí en otros documentos analizados. Entre ellas figuran la localización mediante Wi-Fi, información del dispositivo, edad, género, idioma, intereses, datos sobre las apps instaladas, timestamp, geolocalización y coordenadas mediante GPS o Wi-Fi, dirección IP, información del ISP, nombre de la red Wi-Fi, modelo del dispositivo, sistema operativo e idioma local.
Estos datos refuerzan la hipótesis de que Webloc utiliza actualmente información procedente tanto de RTB como de SDK. La naturaleza de los datos observados en los documentos filtrados apunta a una combinación de ambas fuentes.
| Data category | Description |
|---|---|
| Identificadores personales | Identificador publicitario (Android, iOS), dirección IP |
| Timestamp | Timestamp en cada dato |
| Geolocalización | Coordenadas GPS, ubicación Wi-Fi, ubicación precisa |
| Información inferida de la localización | Ubicación del trabajo, domicilio y visitadas a menudo |
| Wi-Fi | SSID, BSSID, estado de conexión |
| Información del dispositivo | Modelo del dispositivo, fabricante, tipo y sistema operativo |
| Características personales | Edad, género, idioma, padre (si/no), viaja a menudo (si/no), gamer (si/no) |
| Perfil en base a conducta | Segmentos/categorías publicitarios, por ejemplo: “Demographics / Language / English,” “Transportation / Public Transportation / Commuters,” “Shopping / Behavioral / Luxury Goods” |
| Apps usadas | Lista de apps usadas, incluyendo las ventanas de tiempo en que se usaron |
Implicaciones de esto
PenLink respondió a un primer contacto de Citizen Lab cuando la investigación todavía estaba en curso. Según la empresa, la recopilación de esta información cumple con la GDPR y se basa en el consentimiento de las víctimas. El problema está precisamente ahí: quizá haya que revisar si aceptar unos términos y condiciones puede seguir considerándose una base suficiente cuando ese “consentimiento” acaba facilitando que vendedores de spyware exploten vacíos legales para vigilar a la población.
Las implicaciones son evidentes. Incluso aplicando buenas prácticas de seguridad operacional, mantener el anonimato frente a una organización que utiliza Webloc resulta complicado. Cuando existen tantos datos precisos sobre una persona, es relativamente fácil inferir su identidad. Esa identificación se vuelve todavía más sencilla si los clientes son ramas del Estado o agencias de inteligencia, que ya cuentan con fuentes y recursos propios para vincular la información proporcionada por Webloc con sus objetivos.
Las capacidades de Webloc plantean un riesgo serio para las libertades civiles. Las funcionalidades descritas permiten tanto vigilancia dirigida como vigilancia masiva e indiscriminada. Combinadas con otras tecnologías, pueden facilitar sistemas heurísticos de detección y prevención de infracciones que mantengan a la población bajo vigilancia permanente. A nivel individual, esto supone que una organización interesada en una persona pueda conocer y controlar sus movimientos.
La herramienta también puede tener usos legítimos. Si un departamento policial la emplea bajo una vigilancia estricta del poder judicial, puede ayudar a detener células terroristas, evitar delitos violentos o desmantelar organizaciones criminales. El problema aparece cuando una capacidad de vigilancia tan intrusiva se utiliza sin controles suficientes o cae en manos de cuerpos de “seguridad” estatales a los que este tipo de poder ya se les ha ido de las manos en lo poco que llevamos de siglo XXI.
Si estas tecnologías se usan de forma corrupta o totalitaria, el riesgo es avanzar hacia una sociedad orwelliana, donde la privacidad desaparece y el control se vuelve omnipresente y total.
¿Cuáles son sus clientes?
La investigación de Citizen Lab revela varios clientes confirmados, así como otros que no se han podido verificar, pero que resultan sospechosos.
Entre los clientes confirmados figuran unas 20 ramas del Estado que son clientes de PenLink y utilizan esta tecnología. A esta lista se suman la Policía Nacional de El Salvador y una agencia de inteligencia de Hungría. Sin embargo, dado el público de este artículo, resultan más interesantes los posibles clientes dentro de la Unión Europea.
Como se observa en la siguiente tabla, numerosos países dan negativas sospechosas, alegando que no pueden contestar por razones de seguridad nacional. La propia Europol reconoce muy vagamente usar o haber usado la tecnología.
| País | Sospechas |
|---|---|
| Reino Unido | El hecho de que algunos cuerpos de policía negasen explícitamente trabajar con Webloc y otros alegasen no poder responder por razones de seguridad. |
| Austria | Dos negativas de distintas organizaciones, evitando confirmar ni desmentir con el fin de preservar el orden público y la seguridad. |
| Holanda | El Ministerio de Defensa se negó a dar información por razones de seguridad nacional. |
| Suecia | Negativa a proporcionar información por razones de seguridad. |
| Rumanía | Negativa a proporcionar información alegando que no están legalmente obligados. |
| Europol | Europol confirmó que tenía documentos relacionados con su acceso a Tangles y Webloc, pero se negó a proporcionar información adicional sobre el contenido de esos documentos. |
| Alemania | El gobierno se negó a contestar por razones de seguridad nacional. |
| Italia | La policía local de Venecia recibió un taller formativo de Tangles y Webloc en julio de 2022. |
| España | La empresa española Ondata International revende productos de PenLink. Hay documentos que verifican la venta de ciertos productos en España y Portugal, pero no se conoce si esos productos son Webloc. |
| Francia | Material promocional de PenLink, y reportajes posteriores en la prensa francesa, sugieren que la policía francesa usó Webloc para monitorizar a la audiencia del Atlético de Madrid vs. Olympique de Marsella en la final de 2018 de la Europa League. |
Profundizando en el caso de España
Investigando más a fondo el posible uso en España, aparece un documento de 2022 con la programación de la I Feria Congreso de Altas Tecnologías de Seguridad e Inteligencia. En ese programa figura coBwebS dentro del listado de expositores, clasificada en las categorías “Tecnologías policiales de seguridad e inteligencia” y “Seguridad de fronteras y eventos”. Se trata de uno de tantos eventos dedicados principalmente a policías, políticos y otros funcionarios.
Además de TecnoSec, aparece otra feria en la que se imparten charlas relacionadas con PenLink. La conferencia, organizada por Ondata, incluyó en su programación de 2024 una intervención de Cobwebs. En otras ediciones figuran empresas con productos similares, o incluso más opacos, y muchas de esas sesiones aparecen marcadas como “exclusivas FFCCS”, es decir, dirigidas a Fuerzas y Cuerpos de Seguridad.
Al revisar las programaciones de este año y de ediciones anteriores, se observa la participación reiterada de algunas empresas de dudosa moralidad.
Entre ellas aparecen IPS Communications, vinculada con el malware Morpheus; Dataminr, que compra información a X —antes Twitter— para monitorizar de forma constante la actividad pública y realizar seguimiento individual o grupal en eventos como manifestaciones; y ShadowDragon, que también trabaja con ICE y utiliza información OSINT procedente de plataformas como Etsy, Reddit, Tinder o Duolingo para llevar a cabo programas de vigilancia masiva.
¿Existen organismos españoles que sean clientes de PenLink o de su representante en España?
Como se ha podido apreciar antes, bajo la etiqueta de “inteligencia” caben muchas cosas. En general, la información obtenida no permite afirmar que una o varias ramas del Estado español utilicen Webloc, y mucho menos confirmar su uso efectivo; sin embargo, sí justifica plantear una pregunta razonable: si existen organismos españoles que sean clientes de PenLink o de su representante en España, y con qué finalidad se emplean sus productos de spyware.
Por ello, durante las últimas semanas se han presentado cinco solicitudes de información a través del Portal de Transparencia, dirigidas a los ministerios de Hacienda, Interior, Defensa, Migraciones y Unión Europea.
De momento han respondido tres de los cinco ministerios consultados:
El Ministerio de Inclusión, Seguridad Social y Migraciones afirma que no utiliza ni ha utilizado herramientas OSINT o de análisis masivo de datos correspondientes a los productos Webloc y Tangles de Cobwebs Technologies en los servicios y sistemas de información de los que es responsable. También niega mantener relación contractual, técnica u operativa con dichos productos.
El Ministerio de Asuntos Exteriores, Unión Europea y Cooperación responde que, en el centro directivo consultado, no se han adquirido herramientas de inteligencia de fuentes abiertas ni de análisis de datos masivos.
Por su parte, el Ministerio de Hacienda señala que la Agencia Estatal de Administración Tributaria no ha suscrito ningún contrato, convenio o acuerdo para la adquisición de licencias de uso, formación o mantenimiento de Webloc o Tangles en los últimos diez años.
Conclusión y opinión
La información recopilada no permite afirmar que organismos españoles estén utilizando Webloc o Tangles. De hecho, las tres respuestas recibidas hasta ahora por vía de Transparencia niegan, dentro de sus respectivos ámbitos, el uso o adquisición de estas herramientas.
Pero esa ausencia de confirmación no cierra el debate. El punto central no es solo si España utiliza Webloc hoy, sino si el Estado dispone, adquiere, evalúa o puede llegar a usar tecnologías comerciales capaces de convertir datos publicitarios, identificadores móviles y señales de ubicación en herramientas de vigilancia.
Este caso muestra un problema más amplio. Bajo etiquetas como “inteligencia”, OSINT, análisis de datos masivos o seguridad pública pueden agruparse tecnologías muy distintas, algunas útiles para investigar delitos graves y otras con una capacidad evidente para invadir la vida privada de la población. La diferencia entre una herramienta legítima de investigación y un sistema de vigilancia abusivo no está solo en la tecnología, sino en quién la usa, con qué autorización, bajo qué control judicial, con qué límites y con qué nivel de transparencia pública.
La privacidad no es un derecho accesorio. Cuando una persona actúa bajo la premisa de que puede estar siendo vigilada de forma constante, su libertad queda condicionada.
También sería ingenuo negar que estas herramientas pueden tener usos legítimos. En investigaciones contra células terroristas, delitos violentos u organizaciones criminales, la geolocalización y el análisis de datos pueden aportar información relevante. Pero cuanto mayor es la capacidad de vigilancia, mayor debe ser también el nivel de control. Sin garantías estrictas, una tecnología creada para investigar amenazas concretas puede terminar normalizando el seguimiento masivo, preventivo o indiscriminado.
Por eso este debate no debería reducirse a PenLink, Cobwebs o Webloc. La cuestión de fondo es el rumbo que están tomando los Estados en su relación con la vida privada de sus ciudadanos. Al margen de que los gobiernos europeos sean o no clientes de estas empresas, la tendencia apunta hacia una ampliación progresiva de las capacidades de control, como también se ha visto en debates recientes sobre propuestas de vigilancia digital como Chat Control, donde España se ha posicionado como a favor.
En general, la pregunta clave es qué nivel de acceso queremos conceder al Estado sobre nuestra vida privada y qué límites estamos dispuestos a exigir se impongan antes de que estas tecnologías se normalicen. En una democracia, la seguridad no puede convertirse en una excusa permanente para vaciar de contenido la privacidad.
