TikTok suele ser noticia por su faceta más lúdica, como debería corresponder a la plataforma de vídeos cortos más popular del mundo. Pero una investigación que acaba de salir a la luz está llevando en estos días a los titulares una faceta mucho menos conocida y amable de esta red: el rastreo sistemático de la actividad de los usuarios fuera de la propia aplicación, incluyendo hábitos de compra y el uso de apps de citas, así como posibles violaciones graves del Reglamento General de Protección de Datos (RGPD).

TikTok sabe más de lo que aparenta

La alarma saltó cuando un usuario europeo ejerció su derecho de acceso a los datos, amparado por el artículo 15 del RGPD. Lo que recibió inicialmente fue una respuesta incompleta, canalizada a través de una herramienta de descarga que TikTok presenta como un resumen de la información personal almacenada. 

Sin embargo, tras insistir, emergió una realidad más inquietante: TikTok no solo recopilaba datos de su actividad dentro de la plataforma, sino también información procedente de otras aplicaciones, entre ellas apps de comercio electrónico y la aplicación de citas Grindr.

Estos datos incluían acciones concretas, como añadir productos a un carrito de compra o el simple uso de una app de citas. En el caso de Grindr, la información inferida podía revelar orientación sexual y vida íntima, categorías consideradas datos especialmente protegidos por el artículo 9 del RGPD, cuyo tratamiento está prohibido salvo en circunstancias muy excepcionales.

En Genbeta

Solo hacen falta 35 minutos para engancharse a TikTok: los documentos internos de la red social son estremecedores

Activistas e intermediarios

Hace catorce años, un estudiante de derecho austríaco, Max Schrems, inició una desigual batalla legal contra la red social Facebook al comprobar que ésta mantenía aún a 'buen' recaudo datos personales que él mismo ya había eliminado de su perfil.

Esto acabó en dos sentencias históricas del máximo tribunal europeo y en la caída de 'Safe Harbor', los acuerdos que permitían transferir datos personales desde la UE a Estados Unidos. Schrems, por su parte, terminó fundando la organización europea sin ánimo de lucro 'Noyb' (acrónimo de "None of Your Business", 'no es asunto tuyo' en inglés) dedicada a la defensa de la privacidad y la protección de datos personales, especialmente frente a grandes empresas tecnológicas.

Ahora, Noyb ha presentado la investigación que señala directamente el uso de datos privados de TikTok... y también que dicha red no habría obtenido esta información directamente, sino a través de AppsFlyer, una empresa israelí especializada en analítica y atribución publicitaria.

Así, AppsFlyer actuaría como intermediario, recibiendo datos desde otras aplicaciones —como la app de citas gay Grindr— y reenviándolos a TikTok para su explotación comercial.

El problema central es jurídico:

• No existe base legal válida bajo el artículo 6 del RGPD para compartir estos datos con terceros.
• Mucho menos para transferir datos sensibles, prohibidos por el artículo 9 sin consentimiento explícito.
• El usuario afectado nunca otorgó su consentimiento para este intercambio de información.

El derecho vulnerado a acceder a tu propia información

Más allá del rastreo en sí, la investigación subraya otro punto crítico como es la falta de transparencia. TikTok dirige a los usuarios a una herramienta de descarga que, según la propia empresa, solo contiene los datos que considera "más relevantes".

En Genbeta

Nos venden la red Tor como baluarte de la privacidad online. Muchos no están nada de acuerdo (y recuerdan que la creó el Pentágono)

Esto contradice frontalmente los artículos 12 y 15 del RGPD, que obligan a las empresas a proporcionar una copia completa y comprensible de todos los datos personales tratados.

Lisa Steinfeld, asesora jurídica de Noyb, califica esta práctica como engañosa y advierte que miles de usuarios podrían haber recibido información incompleta, sin saber realmente qué datos se recogen ni con qué fines.

El frente legal: dos denuncias en Austria

Ante estos hechos, noyb presentó dos denuncias formales ante la autoridad de protección de datos de Austria (DSB):

1. Contra TikTok, por no responder adecuadamente a una solicitud de acceso a datos.
2. Contra TikTok, AppsFlyer y Grindr, por el intercambio ilegal de datos, el tratamiento de información sensible y la ausencia de base legal válida.

La organización solicita no solo el cese inmediato de estas prácticas, sino también la imposición de multas "efectivas, proporcionadas y disuasorias", tal como permite el artículo 83 del RGPD.

¿Un caso aislado o un síntoma de algo mayor? Aunque TikTok es ahora el protagonista del escándalo, incluso muchos críticos reconocen que el problema es sistémico. La economía digital actual se apoya en redes de intermediarios publicitarios, perfiles sombra y flujos de datos opacos que superan con creces la comprensión del usuario medio.

Vía | Noyb

Imagen | Marcos Merino mediante IA

En Genbeta | Los creadores de vídeo están dando la espalda masivamente a CapCut, la app de edición de vídeo de TikTok, tras sus últimos cambios

Con el propósito de "lograr una mejor en cuanto la seguridad vial y la reducción de accidentes", ha nacido el dispositivo V16 que a partir del 1 de enero va a reemplazar a los tradicionales triángulos de preseñalización de peligro, tal y como indica la DGT española. Sin embargo, se descubrió que puede atraer a otros peligros en cuanto a seguridad. 

Hace unos días, en Genbeta publicamos que Luis Miranda Acebedo (ingeniero de telecomunicaciones, cofundador de Vigo SC Robotics e investigador independiente de ciberseguridad o hacker ético), sacó a la luz que uno de los modelos más vendidos de este tipo de dispositivos —con más de 250.000 unidades en circulación— adolece de serias vulnerabilidades que permitirían manipular sus comunicaciones, falsear avisos de emergencia o incluso controlar el dispositivo de forma remota. Se trata del V16 Help Flash IoT.

En Genbeta

"No hay que dar datos personales a la administración": la AEPD zanja el debate sobre la baliza V16 obligatoria desde enero de 2026

Xataka también se hizo eco de la investigación y recordando que es el enésimo desastre que afecta a estos dispositivos. Con esta información en circulación, los fabricantes de la baliza han tenido que aclarar la situación. Con un comunicado han explicado qué es lo que ha sucedido con esa baliza que un cuarto de millón de personas ya han comprado.

Cabe recordar, para que los usuarios sepan si están entre las más de 250.000 personas que han comprado este dispositivo, que la Netun Help Flash IoT es la baliza que comercializa Vodafone. Ellos mismos anunciaron hace unos meses que habían vendido más de 250.000 unidades, por eso se conoce la cifra del alcance. También se puede conseguir en otras tiendas, ya que no es exclusiva de la operadora.

Aclaraciones de Netun

Desde el gabinete de prensa de Netun Solutions, comentan que la baliza Help Flash IoT no almacena ni envía datos personales del conductor. "Cuando se activa en una incidencia de tráfico, transmite: una geoposición (latitud/longitud del vehículo detenido);  un identificador del dispositivo; y algunos parámetros técnicos de red necesarios para la comunicación".

En Genbeta

¿Pueden rastrearnos en todo momento las nuevas balizas V16? La DGT es tajante al respecto

Añaden que "estos datos son anónimos y no se vinculan a nombre, matrícula, DNI, teléfono, póliza de seguro u otra información que identifique directamente a la persona usuaria". Por tanto, hablar de “exponer tus datos” puede inducir a pensar en datos personales o sensibles, cuando lo que realmente se transmite es la posición de un dispositivo anónimo y su identificador técnico, afirman los portavoces de Netun. 

En Genbeta

La Generación Z está hackeando España, literalmente: así son los hackers y estafadores adolescentes que atacan con éxito a la DGT o al CGPJ

Por su parte, Vodafone, que vende y da cobertura a este modelo de balizas, ha ofrecido declaraciones a Xataka sobre este tema. Según ellos, "Help Flash IoT está certificada conforme a la normativa exigida por la Dirección General de Tráfico (DGT) para balizas V16 conectadas, cumpliendo los requisitos técnicos necesarios en cuanto a visibilidad (intensidad luminosa suficiente), resistencia, fiabilidad del destello, duración de la señal, etc. Dichos requisitos incluyen también los protocolos de comunicación de datos de la baliza con los servidores”.

Según el correo compartido por los representantes de la operadora, "la comunicación que transita por Vodafone lo hace en todo momento por una red privada lo que garantiza la protección de la información que emite la baliza".

Vía | Xataka y Xataka Móvil

Imagen | DGT

En Genbeta | Tu chatbot te delata: un fallo en su diseño permite que otros deduzcan tus temas de conversación, incluso en conversaciones cifradas

Los ciudadanos de 42 países del mundo, incluidos los de España, no necesitamos visado para entrar en Estados Unidos. Si queremos viajar al país, necesitamos rellenar nuestros datos para obtener la llamada autorización ESTA, un sistema electrónico que determina si los visitantes cumplen con los requisitos para viajar a Estados Unidos en el marco del Programa de Exención de Visado (VWP) y que cuesta 40 dólares. A todo esto, los ciudadanos de Estados Unidos vienen a España sin visado y sin pagar por un permiso.

En Genbeta

Airbnb me ha quitado lo que más me gustaba de viajar en los 2010. Tengo nostalgia de los años donde el consumo colaborativo reinaba

De todos modos, el presidente del país norteamericano tiene una nueva propuesta y, si se aprueba, los turistas tendrán que mostrar, además de sus datos, las historias de sus redes sociales de los últimos cinco años. 

La propuesta incluye, además, pedir mucha más información a los viajeros, como los números de teléfono y direcciones de correo electrónico que la persona haya utilizado durante los últimos diez años o datos de la familia del viajero, como nombres, fechas de nacimiento y lugar de nacimiento.

El debate está servido

Hay que tener en cuenta que en el año 2026 se celebra el Mundial masculino de Fútbol entre México, Estados Unidos y Canadá y este tipo de eventos mueve a muchísimos turistas más para ver los diferentes encuentros deportivos. La Oficina de Aduanas y Protección Fronteriza de Estados Unidos (CBP) justifica la iniciativa citando una orden de Trump, emitida en enero pasado para proteger a EE.UU. contra amenazas a la seguridad nacional y seguridad pública.

Por su parte, la Electronic Frontier Foundation, un grupo que trabajo por la defensa de la seguridad y privacidad online, creen que hay algo más en esta medida. Por ejemplo, que los estudiantes que quieren llevar a cabo sus carreras en Estados Unidos o tienen allí becas supriman su actividad en sus redes sociales o que dejen de compartir información sobre ciertos temas si son contrarios a las opiniones del Gobierno (véase quejarse por un genocidio o por las decisiones de atacar a otros países).  

En Genbeta

Airbnb y Booking me han quitado lo que más me gustaba de viajar en los 2000. La Gen Z tiene nostalgia de aquellos años... y yo también

El colectivo ha afirmado, en concreto, que la restricción estadounidense tiene como objetivo "vigilar y suprimir la actividad en redes sociales de los estudiantes extranjeros". Sophia Cope, abogada sénior de la Electronic Frontier Foundation, está convencida de que esta medida "exacerbaría los perjuicios a las libertades civiles". 

Y añade que este tipo de medidas "no ha demostrado ser eficaz para detectar terroristas ni otros delincuentes" (porque una persona terrorista no compartirá sus intenciones en redes sociales). Pero explica que sí "ha socavado la libertad de expresión e invadido la privacidad de viajeros inocentes, así como la de sus familiares, amigos y colegas estadounidenses".

Ha caído el interés en visitar Estados Unidos

En la presentación del plan, un periodista le preguntó al presidente Donald Trump si cree que eso afectaría a la llegada de turistas al país, siendo esta una fuente importante de dinero para EE.UU y él ha dicho que no será así porque al país le está yendo muy bien. 

En la práctica, el pasado verano, fecha de más afluencia turística, se registró un notable descenso en el turismo en el país. El país experimentó una caída interanual del 14% en las visitas internacionales. Eso se traduce, según Global Statistics en una pérdida estimada de 12.500 millones de dólares en el gasto de los visitantes internacionales. 

En Genbeta

México firmó en 2022 un acuerdo con Airbnb para atraer a los nómadas digitales, entre más medidas. Así les va 3 años después

El Consejo Mundial de Viajes y Turismo, una organización global de defensa del turismo, proyectó en mayo que Estados Unidos sería el único país de las 184 economías analizadas por el Consejo que vería una caída del turismo este año 2025. 

Didier Arino, director general de la consultora de viajes Protourisme en Francia, ha dicho que esto es algo "inaudito" y una caída "sin precedentes del interés por viajar a Estados Unidos". Afirma que estas caídas tan drásticas suelen suceder en contextos cuando un país está en guerra o son grandes riesgos de seguridad o riesgos de crisis sanitarias. 

Imagen | Foto de Polina Kuzovkova en Unsplash

En Genbeta | Esta web recoge cuáles son los destinos turísticos a los que no ir en 2024 y explica sus razones

Si hace un año nos hacíamos eco de que en Corea del Sur el porno deepfake se había convertido en una "epidemia", hoy la noticia son un puñado de coreanos que prefería ver desnudas a personas reales... y para eso montaron una de las mayores tramas de espionaje digital de sus conciudadanos: más de 120.000 cámaras IP fueron hackeadas por cuatro individuos que actuaban, en principio, de manera independiente. Las autoridades describen el caso como una de las intrusiones más masivas de la última década.

La Agencia Nacional de Policía anunció las detenciones el domingo, desvelando el alcance de una actividad criminal que ha puesto en entredicho la seguridad de millones de usuarios y que expone, nuevamente, los riesgos de la cultura digital hiperconectada del país.

Según las autoridades, los implicados explotaron vulnerabilidades básicas como contraseñas predefinidas o extremadamente simples, permitiéndoles acceder sin dificultad a los dispositivos de miles de ciudadanos.

Los sospechosos —todos ellos sin relación entre sí— infiltraron cámaras que se encontraban en viviendas particulares y en diversos locales privados.

Indignación social y una llamada urgente a reformar la cultura digital

El anuncio de las detenciones ha provocado una ola de indignación entre los ciudadanos, colectivos feministas y expertos en privacidad digital. Las organizaciones sociales advierten que las víctimas de este tipo de delitos pueden enfrentarse a traumas duraderos, agresiones, acoso y daños irreparables a su reputación.

La propia policía ha calificado estos ataques como "crímenes graves que causan un dolor enorme", y ha prometido una ofensiva más amplia para erradicar la práctica. Mientras continúa la investigación, permanece abierta la interrogante más inquietante: ¿cuántas personas fueron grabadas sin saberlo? 

El número de víctimas podría ser imposible de determinar, ya que muchas cámaras infiltradas estaban instaladas en espacios privados con presencia ocasional de menores, o de pacientes/clientes vulnerables.

En Genbeta

Ya estábamos acostumbrados a la amenaza de "Tengo vídeos tuyos viendo porno", pero con este nuevo malware podría ir en serio

Un negocio clandestino de explotación sexual

De acuerdo con las investigaciones, dos de los arrestados llevaron a cabo la mayoría de las intrusiones. Uno habría comprometido alrededor de 63.000 cámaras, mientras que otro habría vulnerado 70.000 dispositivos. Ambos elaboraron cientos de vídeos de carácter sexual —545 en un caso, 648 en el otro— que vendieron a través de un sitio web extranjero dedicado a distribuir material ilegal. Las ganancias obtenidas oscilaron entre 12.200 y 23.800 dólares.

La policía surcoreana señaló que tres compradores de estos vídeos también fueron arrestados, y que ya se trabaja con organismos internacionales para bloquear la plataforma donde se comercializaba el contenido y perseguir a su operador.

La magnitud del ataque ha reavivado una preocupación profundamente arraigada en el país. Y es que Corea del Sur lleva más de una década enfrentándose a los llamados molka —grabaciones sexuales no consentidas captadas mediante cámaras ocultas—, un tipo de delito que ha acumulado casi 50.000 detenciones entre 2011 y 2022, según datos policiales.

Aunque inicialmente los casos se centraban en baños públicos, moteles o vagones de metro, el fenómeno se ha desplazado hacia el ámbito privado, donde las cámaras IP se han convertido en un objetivo fácil para ciberdelincuentes.

Vulnerabilidades elementales, consecuencias devastadoras

La explotación de cámaras domésticas no es exclusiva de Corea del Sur. En los últimos años, se han documentado casos similares en gran parte de los países avanzados. Por ejemplo, en 2024, la Comisión Federal de Comercio de Estados Unidos multó a la empresa Verkada con unos tres millones de dólares tras un ataque que comprometió 150.000 cámaras, incluidas aquellas ubicadas en hospitales, prisiones y centros infantiles.

Pero, en el caso surcoreano, los investigadores describen un patrón preocupante: la mayoría de los dispositivos fueron intervenidos mediante contraseñas débiles, secuenciales o repetitivas, muchas de ellas no modificadas desde la instalación original. Este hallazgo confirma que los usuarios suelen dejar activada la configuración por defecto, incluso cuando la propia industria tecnológica y las autoridades recomiendan encarecidamente reemplazarla.

En un intento por contener el daño, la policía visitó 58 ubicaciones para notificar directamente a las víctimas y ofrecer instrucciones para proteger sus dispositivos y evitar nuevas intrusiones.

El Ministerio de Ciencia surcoreano anunció que evalúa nuevas regulaciones que podrían impedir que las cámaras operen hasta que el usuario configure un nombre de usuario y una contraseña compleja, una medida que intenta corregir fallos de diseño que dejan expuestos a millones de consumidores.

Vía | BBC

Imagen | Marcos Merino mediante IA

En Genbeta | Las alarmas conectadas y webcams hacen tu hogar menos seguro si no las usas bien: tus datos quedan a disposición de los cibercriminales

La caída del sistema de comunicaciones encriptadas Encrochat en 2020 supuso un terremoto para organizaciones criminales de toda Europa, entre las que se había puesto de moda como canal supuestamente seguro para sus comunicaciones.

Pero, con el tiempo, las ramificaciones de esa intervención policial de la Gendarmería francesa (que instaló un malware en el servidor que iba copiando mensajes en tiempo real, método que ha generado debates legales desde entonces) han resultado tener repercusiones mucho más amplias.

Así, lo que entonces parecía 'sólo' un éxito contra el narcotráfico ha terminado convirtiéndose, en España, en la pista clave para destapar una presunta red de corrupción política vinculada a la adquisición de material sanitario en plena pandemia.

El mensaje que lo inició todo

El 12 de junio de 2020, miles de usuarios de Encrochat —un sistema de móviles encriptados al servicio del crimen organizado— recibieron una inesperada advertencia:

"Hemos sufrido una incautación ilegal. Apague y deseche físicamente su dispositivo de inmediato".

La Gendarmería francesa había logrado infiltrarse en el servidor central y extraer millones de mensajes. Entre ellos, uno aparentemente menor: un empresario español afirmaba necesitar "pagar una comisión en efectivo".

Esa frase se convertiría en el inicio del hilo del que tiraría la Guardia Civil para revelar otro escándalo político más.

La información intervenida fue distribuida a distintos países. En España, la Fiscalía Antidroga remitió los datos a Guardia Civil y Policía Nacional para apoyar investigaciones en curso o iniciar nuevas. Fue en este contexto cuando la Unidad Central Operativa (UCO) detectó la citada conversación, que no estaba relacionada con narcotráfico, pero sí con posibles delitos económicos.

Comisiones, mascarillas y precios inflados

Según desvela El Diario, el usuario de Encrochat identificado como Owldonut, cuyo nombre real es Gustavo G. G., recibió el 6 de abril de 2020 un mensaje de Kilian López, empresario catalán con raíces en Almería. Este le explica que debe sacar 200.000 euros en efectivo para cerrar una operación y que necesita contactar con alguien que pudiera blanquear dinero mediante un sistema de préstamos. La comisión debía entregarse también en efectivo.

A los investigadores les llamó la atención la conversación. Al analizar el perfil de López, descubrieron su estrecha relación con Óscar Liria, vicepresidente tercero de la Diputación de Almería y figura destacada del PP en la provincia. Lo que parecía un comentario aislado empezó entonces a adquirir otra dimensión.

Los 200.000 euros mencionados no eran un detalle menor: según la Guardia Civil, formaban parte de una comisión total de 945.297,24 euros generada por un contrato público de emergencia para adquirir medio millón de mascarillas, medio millón de guantes y 15.570 monos de protección.

En Genbeta

El cifrado de WhatsApp es fiable. El fiscal general ha descubierto que para no dejar rastro hay que tener algo más en cuenta

El coste para la Diputación de Almería había sido de 2,06 millones de euros, y casi la mitad habría acabado en manos de López, Liria y otros colaboradores.

El estallido de la pandemia permitió realizar adjudicaciones urgentes sin apenas controles, y ese clima fue aprovechado —según la investigación— para "pegar un pepinazo a los precios", en palabras del propio empresario enviadas a través de Encrochat.

López admitía que en una operación de dos millones, 400.000 euros habían ido para él y otros 400.000 para los políticos implicados, cobrando aproximadamente un 10% del total facturado como comisión. El empresario incluso reconoce que el éxito del negocio había sido rotundo:

"Estos meses he ganado bastante dinero con ellos metiendo material sanitario. Las comisiones que se llevan son altas".

Todo ello derivó en una investigación judicial en el Juzgado de Instrucción número 1 de Almería, que se ha ido ampliando con nuevos descubrimientos. La operación ha crecido hasta alcanzar a figuras de primer nivel de la política provincial, que quedaron en libertad con cargos por delitos como malversación, cohecho, blanqueo, tráfico de influencias y corrupción en contratación pública.

Polémica jurídica (más allá del caso almeriense)

Sin embargo, son numerosas las voces que se han alzado contra el 'visto bueno' del Supremo para usar como evidencias los mensajes intervenidos a Encrochat; el abogado penalista Víctor Ávila, por ejemplo, "discrepa profundamente" del criterio del Tribunal Supremo y lo considera "un aval peligroso a la injerencia masiva":

"Si había sospechosos concretos, la medida no debía ser masiva; si era la única forma posible, entonces no existían sospechosos individualizados. Y eso, en nuestro Derecho, encaja de lleno en el concepto de 'investigación prospectiva', expresamente prohibida".

El Tribunal Supremo español cita numerosas resoluciones de otros países europeos —entre ellas, de los tribunales de Países Bajos, Francia o Reino Unido— para justificar la validez de las pruebas intervenidas a EncroChat, pero omite la sentencia del Tribunal Regional de Berlín que declaró ilícitas las pruebas obtenidas de EncroChat, porque consideró que la actuación de las autoridades francesas había vulnerado el artículo 31 de la Directiva 2014/41/UE.

Ávila explica que el 'principio de especialidad' impide interceptar comunicaciones "a ver qué se encuentra":

"Solo pueden autorizarse cuando ya existen indicios objetivos sobre un delito concreto y respecto de personas determinadas. EncroChat hizo justo lo contrario: primero se accedió a todas las comunicaciones y después se empezó a buscar delitos dentro de ellas".

"[...] Si seguimos el razonamiento del Supremo, ¿por qué no desencriptar masivamente WhatsApp, Telegram o Gmail para ver si alguien ha cometido un delito?".

Imagen | Marcos Merino mediante IA

En Genbeta | La Unión Europea se prepara para suprimir la privacidad de las comunicaciones online. Mañana mismo podría aprobarse, y España lo apoya 

Durante casi dos décadas ya, navegar por Internet en Europa ha sido sinónimo de un ritual agotador: abrir una página web, cerrar un banner de cookies; acceder a otra, cerrarlo de nuevo; volver días después y repetir la operación.

Nuestra experiencia de usuario ha quedado marcada por una sucesión interminable de avisos, clics forzados y pop-ups intrusivos que prometían proteger nuestra privacidad… pero que, en la práctica, han logrado poco en ese sentido, generando más bien fatiga y, paradójicamente, decisiones menos informadas.

Ahora, la Comisión Europea está ultimando una reforma histórica que podría poner fin a este modelo, transformando por completo el consentimiento de cookies tal y como lo conocemos. Los navegadores serían los responsables de gestionar nuestras preferencias, eliminando la mayor parte de los avisos y simplificando radicalmente la experiencia online.

Una década y media de fatiga: así llegamos hasta aquí

La situación actual nace de dos grandes hitos legislativos: la ePrivacy Directive de 2009 (que inauguró el uso de banners para cookies) y el Reglamento General de Protección de Datos (GDPR) de 2018: la combinación de ambos permitió obligar a que las webs obtuvieran un consentimiento explícito antes de colocar cookies no esenciales.

Sobre el papel era un avance en derechos digitales; en la práctica, se convirtió (y sigue siendo) en un mecanismo poco eficaz y profundamente molesto para millones de usuarios.

En Genbeta

Cookies y tokens: qué son exactamente estas piezas de información que nos permiten interactuar con las plataformas web

Las investigaciones confirman los problemas: un análisis citado en los documentos muestra que el 54% de los sitios web estudiados incumplía al menos un aspecto del consentimiento. Paralelamente, los usuarios rara vez leen los textos del banner: aceptan para quitarlo de en medio. La Comisión Europea reconoce que esta dinámica genera lo que se denomina 'fatiga de consentimiento', que vacía de sentido la protección que pretendía ofrecer la normativa.

El coste colectivo del sistema actual es enorme. Según las estimaciones recogidas en las fuentes, los europeos emplean 575 millones de horas al año en gestionar avisos de cookies, lo que equivale a 72 minutos por persona solo en cerrar banners repetitivos.

Todo este esfuerzo no solo no mejora realmente la privacidad: también genera inseguridad. Como advierten los expertos, los banners falsos pueden ser utilizados por ciberdelincuentes para camuflar descargas o permisos engañosos, aprovechando lo acostumbrados que estamos a hacer clic sin pensar.

El cambio que propone Bruselas: una configuración única en el navegador

La reforma —parte del paquete legislativo digital conocido como Digital Package o Digital Omnibus— plantea una solución aparentemente simple: centralizar el consentimiento en el navegador.

En lugar de mostrar un aviso en cada página, Chrome, Firefox, Safari y otros navegadores permitirían a los usuarios fijar sus preferencias de cookies una sola vez. Después, los sitios web estarían obligados a respetar esas preferencias automáticamente, evitando la aparición de pop-ups salvo casos muy concretos.

El nuevo esquema funcionaría así:

• El usuario configura sus opciones (qué cookies admite y cuáles no) desde el navegador.
• El navegador envía una señal automática, legible por máquinas, a cada página web.
• Los sitios deben obedecerla durante al menos seis meses, respetando ese consentimiento unificado.

Los banners que sobrevivan a esta reforma quedarían reducidos a un simple sí o no de un solo clic, mucho menos intrusivo que la situación actual .

Además, se eliminará la obligación de mostrar avisos para cookies 'inofensivas', como aquellas destinadas a estadísticas básicas de tráfico, algo que también reducirá interrupciones innecesarias .

Qué cambia para los usuarios: adiós a los clics repetitivos

La medida promete resolver algunos de los problemas más criticados del sistema actual:

• Menos interrupciones y navegación más fluida: El usuario dejará de interactuar con banners casi a diario. Esta experiencia más limpia es uno de los mayores atractivos de la reforma, y podría mejorar también la calidad del consentimiento al evitar decisiones impulsivas o por mero hartazgo.
• Mayor seguridad: Menos pop-ups implica menos oportunidades para que atacantes intenten suplantar avisos de cookies con fines maliciosos, como advierten los expertos en ciberseguridad .
• Preferencias coherentes y modificables: La decisión se toma una sola vez y es aplicable a toda la web, aunque siempre puede ajustarse manualmente desde el navegador.

En Genbeta

Ya no es sólo Movistar: estas operadoras también ofrecen ya tus datos a los anunciantes si aceptas esta 'supercookie'

Qué cambia para empresas y medios: entre el alivio y la preocupación

La propuesta también tiene un impacto enorme en la industria digital:

• Menos costes y menos complejidad legal: Las empresas llevan años invirtiendo tiempo y dinero en adaptarse a múltiples legislaciones, diseñar banners personalizados, implementar gestores de consentimiento y superar auditorías. Un sistema unificado promete reducir costes y simplificar el cumplimiento en los 27 Estados miembros .
• ¿Un golpe a la publicidad personalizada?: La transición hacia un modelo menos basado en el consentimiento individualizado puede disminuir la precisión de la segmentación publicitaria. Algunos estudios estiman una posible pérdida del hasta 40% de los ingresos programáticos con este nuevo enfoque.
• La excepción polémica... los medios quedan fuera: Los documentos revelan que los medios de comunicación estarían exentos de respetar las señales automáticas del navegador, argumentando que necesitan el consentimiento directo para financiar el periodismo mediante publicidad personalizada.

¿Menos banners o menos derechos?

Aunque la medida se presenta como una mejora evidente para usuarios y empresas, no faltan voces críticas que advierten del riesgo de que podríamos estar apostando por la comodidad en detrimento de la privacidad.

Y es que reducir los avisos no implica automáticamente más privacidad. Todo depende de que las webs respeten estrictamente las señales del navegador y de que la normativa establezca límites claros sobre qué cookies quedan exentas.

Si la Unión Europea no logra equilibrar comodidad y protección, esta nueva era post-banner podría caer, como la actual, en el cajón de los experimentos fallidos.

Vía | The Verge

Imagen | Marcos Merino mediante IA

En Genbeta | Esta web te dice toda la información que tu navegador comparte a otras webs y las soluciones a tu alcance

A partir del 1 de enero de 2026, todos los coches en España deberán llevar una baliza V16. Con este nuevo dispositivo, la Dirección General de Tráfico (DGT)  busca reemplazar a los triángulos de emergencia (que han sido obligarios entre 1999 y 2023). Según el organismo, las V16 prometen mejorar la seguridad en carretera, pero hay dudas sobre privacidad, coste y eficacia. Sobre lo primero, la gran duda que tienen muchos usuarios es si la DGT podría rastrearnos a través de él, como cuando el INE nos rastreó en acuerdo con las operadoras.

Equipamiento. Las balizas V16 homologadas cuentan con GPS y una tarjeta SIM integrada, con conexión activa durante hasta doce años. Esto significa que pueden transmitir nuestra posición a un receptor. Y es justo lo que hacen cuando se activan. Sin embargo, no es un sistema de vigilancia continua: la transmisión se limita a situaciones de emergencia, por ejemplo, cuando se produce un accidente. 

La DGT ha dejado claro que este es el único objetivo y que no se pueden incorporar funcionalidades adicionales. "La baliza solo transmite la posición exacta de nuestro vehículo al objeto de evitar siniestros viales, pero no recoge ni emite información personal nuestra ni de nuestro vehículo", recuerdan. Para recibir homologación, las balizas deben cumplir con este requisito. Para aprovechar todo el potencial de las balizas V16 sí que hace falta recurrir a apps, pero según la DGT no es obligatorio. Si nos interesa, mediante apps como SOS Alert o MyIncidence podemos hacer que el dispositivo se ponga en contacto con la aseguradora en caso de accidente.

Mitos. Otro de los rumores es es que la DGT pueda asociar los datos de la baliza con nuestra identidad o el vehículo. En realidad, no hay conexión entre la baliza y los datos personales del conductor. Esto significa que incluso si la baliza emitiera nuestra ubicación de forma constante, no habría manera de saber quién lleva el coche.

En Xataka Móvil

Tu baliza V16 tiene una SIM con 12 años de conexión. Cambiar esa tarjeta al móvil parece buena idea hasta que topas con la realidad

La DGT no puede usar las balizas como un sistema de rastreo según la normativa de tráfico y las reglas de homologación: la baliza solo puede emitir información puntual para prevenir accidentes y mejorar la seguridad vial. Cualquier intento de usar estos datos para multar o vigilar a conductores violaría la Ley de Protección de Datos y el GDPR.

Sanciones. La legislación es clara: puedes recibir una multa de hasta 200 euros si no llevas la baliza en el vehículo. También puede multarse la activación indebida sin accidente, aunque las balizas homologadas tienen un periodo de gracia de 100 segundos para permitir comprobar su funcionamiento sin generar un falso aviso.

Críticas. Como decía mi compañero Alberto de la Torre, de Xataka Movilidad, las balizas son una idea interesante, pero con problemas de ejecución. Y por ello afirma que "ni se le ocurre tirar los triángulos". A Alberto le parece una buena idea tener un dispositivo que se puede colocar sin bajar del vehículo, pero critica la opacidad de las cifras de la DGT usadas para argumentar sobre la necesidad de acabar con los triángulos. 

Sobre todo cuando, afirma, "su nivel de visibilidad de día y con buena luz tiende a cero". "A plena luz del día, las diferencias entre poner la baliza V-16 de la DGT y activar las intermitencias del coche es: ninguna", añade. Otras críticas al producto en sí tienen que ver con su autonomía máxima (30 minutos) los posibles intereses de obligar a adquirir masivamente un producto de unos 40€ para hacer negocio. La realidad es que son perfectas para la industria china, y la gran mayoría se están fabricando en el gigante asiático.

Imagen | GeoJango Maps y Seat

En España se ha impuesto por primera vez una sanción administrativa relacionada con la creación y difusión de imágenes falsas generadas con inteligencia artificial. Los padres de un menor deberán pagar a la AEPD una multa de 1.200 euros (originalmente 2.000, reducidos por pronto pago y asunción de responsabilidad), según ha informado elDiario.es. Todo ello en un caso que recuerda los riesgos de los "deepfakes" sexuales y marca un precedente en la protección de datos de menores en Europa.

En 2023, en Almendralejo, provincia de Badajoz, cuando varias alumnas denunciaron que fotos manipuladas en las que aparecían desnudas circulaban por los móviles del instituto. Las imágenes fueron creadas con la conocida app ClothOff. Esta combina caras reales con cuerpos desnudos generados por inteligencia artificial, teniendo en cuenta rasgos físicos como complexión y tono de piel. Algunos de estos montajes incluso llegaron a webs de contenido adulto como OnlyFans.

Polémica. Sobre ClothOff pesan denuncias como la de una menor estadounidense de 17 años que, que sufrió un caso parecido al de Badajoz: sus compañeros de instituto la usaron para "desnudarla", compartir las imagenes y luego acosarla. Pese a lo que comentamos hace poco con Sora, sí, los deepfakes siguen centrados en suplantar la identidad.

La AEPD no tardó en abrir el expediente. Dos días después de que el caso saltara a la prensa y pudo identificar a los responsables gracias a la colaboración con la Fiscalía. La institución subraya que "la imagen de una persona es un dato personal con protección reforzada cuando se trata de menores", y que esta sanción administrativa se suma a las medidas judiciales previamente impuestas por vía penal.

En Genbeta

"Publicas tus momentos más felices, y alguien los convierte en porno". Hannah descubrió que un 'amigo' creaba deepfakes con sus fotos

En el juicio, los menores implicados, de entre 12 y 14 años, recibieron un año de libertad vigilada y cursos formativos. Según Miriam Al Adib, madre de una de las víctimas y divulgadora en educación sexual, "la sentencia fue ejemplar: los niños cumplieron un año de libertad vigilada y realizaron un curso de formación para concienciarse sobre el daño que provocaron".

Hay debate sobre la vía administrativa. Jorge García Herrero, abogado y delegado de protección de datos, afirma en declaraciones a El País que "muy pocos riesgos relacionados con la IA provocan tanta alarma social como la creación de deepfakes sexuales no consentidos de menores" y sugiere que una sanción ejemplarizante sería lo mínimo que se podría pedir. 

Por su parte, Borja Adsuara considera que “este es un delito contra la intimidad, que va por la vía penal y que ya está sentenciado. ¿Qué añade multa administrativa?”, advirtiendo que la ampliación del ámbito sancionador podría generar un exceso de casos a gestionar.

Imagen | Etienne Girardet en Unsplash

En Xataka | Ya no hay famosos "muertos", simplemente famosos que no han pasado por Sora 2: y eso es un problema para OpenAI

LaLiga vuelve a situarse en el centro del debate sobre los límites entre la protección del copyright, por un lado, y el de la libertad de navegación y la privacidad, por otro.

Y es que, en una carta firmada junto con otras 36 organizaciones del sector audiovisual y deportivo europeo, la patronal española del fútbol profesional ha pedido a la Comisión Europea la adopción de una batería de medidas legislativas de gran calado: bloqueos de IP a escala continental, eliminación exprés de emisiones no autorizadas, y la obligación de que las VPN y otros intermediarios tecnológicos identifiquen a sus usuarios de forma verificable.

Una ofensiva continental contra la emisión no autorizada de eventos deportivos

La iniciativa surge del descontento con los resultados de la 'Recomendación sobre la lucha contra la piratería en línea de deportes y otros eventos en directo' adoptada por la Comisión Europea en 2023. Aquella recomendación, de carácter no vinculante, pretendía coordinar esfuerzos entre plataformas, proveedores de red y titulares de derechos para combatir la retransmisión ilegal de eventos deportivos.

Sin embargo, ahora los firmantes del nuevo manifiesto aseguran que la situación no sólo no ha mejorado, sino que se ha agravado: sólo el 3% de los contenidos no autorizados son retirados en menos de 30 minutos, mientras que el 81% de las emisiones de esa clase nunca llegan a ser interrumpidas.

En Genbeta

Ya no basta con los bloqueos masivos de cada fin de semana: LaLiga quiere que competidores y clientes denuncien a los bares

Afirman que, sólo en 2024, las pérdidas derivadas de la piratería ascendieron a 2.200 millones de euros en Italia, 1.800 millones en Alemania y 1.500 millones en Francia. En España, LaLiga estima un impacto anual de 600 a 700 millones de euros sólo en los clubes de fútbol profesional. 

Tres medidas clave: derribos en 30 minutos, bloqueos en tiempo real y control de identidad

La carta —dirigida a Henna Virkkunen, vicepresidenta ejecutiva de la Comisión Europea para la Soberanía Tecnológica, y a Glenn Micallef, comisario de Juventud, Cultura y Deporte— propone tres medidas legislativas de aplicación inmediata:

1. Eliminación exprés de contenidos ilegales: Los proveedores de servicios de Internet, plataformas de streaming y redes de distribución de contenido (CDN) estarían obligados por ley a retirar las transmisiones infractoras en un máximo de 30 minutos desde su notificación. La industria considera que este margen es incluso "una exigencia de mínimos", pues la tecnología actual permitiría hacerlo mucho más rápido.
2. Bloqueos dinámicos paneuropeos: LaLiga aboga por la creación de un sistema europeo similar al 'Piracy Shield' italiano, capaz de ejecutar bloqueos en tiempo real de dominios y direcciones IP asociadas a retransmisiones ilícitas. Este sistema implicaría que los operadores de telecomunicaciones en todos los Estados miembros impidieran automáticamente el acceso a los recursos bloqueados desde sus redes fijas y móviles. Es, en esencia, una expansión del modelo de bloqueo de IP que LaLiga ya aplica en España —y que ha sido criticado por afectar de manera masiva a sitios web legítimos—.
3. Identificación obligatoria de usuarios: La medida más polémica, sin lugar a dudas. La propuesta contempla que servicios como las VPN, CDN, plataformas de alojamiento y tiendas de aplicaciones mantengan registros de identidad verificable de sus clientes, al estilo del sistema Know Your Customer usado en banca y criptomonedas. El objetivo sería "saber quién está detrás" de un mal uso de estas herramientas. En la práctica, esto implicaría que los servicios de VPN, tradicionalmente usados para preservar la privacidad online, deberían vincular cada conexión a una identidad real.

En Genbeta

Lo último de LaLiga: amenazar a los usuarios de Cloudflare para que sean ellos quienes denuncien a Cloudflare. No tiene ni pies ni cabeza

Denunciantes privilegiados

Los firmantes también reclaman que la Ley de Servicios Digitales (DSA) se aplique "de forma integral", y que los coordinadores nacionales de los Estados miembros concedan a entidades privadas como las ligas y estudios audiovisuales el estatus de 'denunciante de confianza', lo que les permitiría el privilegio de ordenar directamente la retirada o bloqueo de contenidos, sin necesidad de pasar por los procedimientos judiciales convencionales.

De materializarse, esto supondría extender a todo el continente la actual situación que sufre España: una delegación parcial de funciones de censura o supervisión digital en manos privadas, lo que ha despertado críticas entre defensores de los derechos digitales y organizaciones por la neutralidad de la red.

¿Seguridad jurídica o prohibición de la privacidad digital?

Los críticos advierten que el modelo propuesto se asemeja a un sistema de vigilancia preventiva en Internet. Obligar a los proveedores de VPN a identificar a sus usuarios atentaría contra la esencia de estas herramientas, diseñadas para garantizar la privacidad y la libertad de conexión. Por otro lado, las empresas del sector defienden que la medida es proporcional ante el auge del streaming ilegal y que el anonimato "no puede ser un escudo para el delito".

En Genbeta

Empecé usando las VPNs para saltarme restricciones geográficas. Ahora son imprescindibles para mí en otras cosas que no me esperaba

El pulso que plantea LaLiga y sus aliados va más allá del fútbol o del entretenimiento. Se trata de un test crucial sobre qué modelo de Internet quiere Europa: uno centrado en la protección estricta de los derechos de autor, incluso a costa de la privacidad, o uno que preserve el anonimato y la neutralidad, aunque eso complique la persecución de los infractores.

La Comisión Europea deberá decidir si da el paso hacia una legislación vinculante que institucionalice el bloqueo de IPs y la identificación de usuarios en toda la Unión. De hacerlo, marcaría un precedente con implicaciones profundas para las libertades digitales, la soberanía tecnológica y la propia arquitectura de la red europea.

Vía | LaLiga

Imagen | Marcos Merino mediante IA

En Genbeta | LaLiga mete miedo: si ves fútbol sin pagar, el micrófono de tu móvil te espiará. Saben mucho de eso porque ya lo hicieron con su app 

La llegada del navegador ChatGPT Atlas, lanzado recientemente por OpenAI para macOS (está previsto su lanzamiento también en otros SO), ha marcado un nuevo hito en la integración entre inteligencia artificial y navegación web. Sin embargo, junto con el entusiasmo inicial por sus funciones 'inteligentes', comienzan a aflorar serias preocupaciones sobre la seguridad y la privacidad de los usuarios.

El lanzamiento de Atlas coloca a OpenAI en competencia directa con gigantes como Google, Microsoft o Brave, que también están explorando potenciar sus navegadores con IA. Sin embargo, la magnitud de las capacidades de Atlas —su autonomía, su memoria y su integración con ChatGPT— lo convierten en un experimento mucho más ambicioso y, según algunos expertos, más peligroso.

De hecho, expertos en ciberseguridad, investigadores y organizaciones defensoras de la privacidad ya advierten que esta nueva generación de navegadores basados en IA podría abrir una caja de Pandora de riesgos inéditos en el entorno digital.

Un navegador con inteligencia propia

ChatGPT Atlas no es un navegador convencional. Según el anuncio oficial de OpenAI, su principal atractivo radica en la posibilidad de mantener una conversación con ChatGPT directamente junto a la página web que el usuario visita. Esta función permite al asistente comprender el contexto de lo que se está viendo, resumir, analizar o incluso ejecutar acciones dentro del propio sitio.

Además, introduce dos características revolucionarias —y potencialmente problemáticas—:

1. Las 'memorias del navegador', que permiten a ChatGPT recordar información de las búsquedas y del comportamiento del usuario a lo largo del tiempo para ofrecer respuestas más personalizadas.
2. El 'modo agente', mediante el cual ChatGPT puede navegar e interactuar de forma autónoma con sitios web, desde hacer compras online hasta reservar un hotel o completar formularios.

En teoría, estas funciones están diseñadas para mejorar la productividad. En la práctica, implican que el navegador debe acceder, interpretar y almacenar grandes cantidades de datos personales, lo que eleva de manera exponencial la superficie de ataque para ciberdelincuentes y el riesgo de fugas de información.

En Genbeta

Los agentes de IA se están convirtiendo en extensiones para tu navegador. Eso sólo aumenta la probabilidad de que te lo secuestren

Las alertas de la comunidad de seguridad

Según un informe de Axios, Atlas recopila más datos sobre sus usuarios que cualquier otro navegador del mercado, lo que despertó alarmas entre defensores de la privacidad. Investigadores de SquareX incluso lograron engañar al navegador para que visitara un sitio malicioso camuflado como la página de inicio de sesión de Binance, la popular plataforma de criptomonedas.

Entre los problemas más preocupantes destaca la vulnerabilidad ante ataques de 'prompt injection': una técnica mediante la cual un atacante esconde instrucciones maliciosas en una página web o correo electrónico, con el objetivo de hacer que la IA ejecute acciones no autorizadas o revele información sensible. En el caso de Atlas, eso podría significar que el asistente compre un producto no deseado, borre archivos del sistema o incluso acceda a contactos personales.

Steve Wilson, cofundador del proyecto OWASP Gen AI Security, resumió la situación con estas palabras:

"Las guerras de los navegadores ya no giran en torno a pestañas o motores de búsqueda; sino sobre si podemos evitar que nuestros nuevos asistentes digitales se vuelvan contra nosotros".

Cuando la memoria del navegador se convierte en una amenaza

Uno de los aspectos más inquietantes es la función de 'memorias' del navegador. Aunque OpenAI afirma que los datos se almacenan de forma privada y controlada por el usuario, las pruebas realizadas por la tecnóloga Lena Cohen, de la Electronic Frontier Foundation, revelaron que Atlas llegó a memorizar búsquedas sobre salud reproductiva e incluso el nombre de una médico real. Este tipo de información, que en algunos estados de EE. UU. ha sido utilizada con fines judiciales, plantea un grave riesgo en contextos donde los derechos a la privacidad médica o reproductiva están en disputa.

En Genbeta

Llevo usando el nuevo navegador de ChatGPT toda la semana y me ha dejado fría: este Atlas no es rival para Google Chrome

OpenAI asegura que Atlas no debería recordar información médica, financiera o administrativa sensible, y ofrece opciones para eliminar recuerdos o impedir que el navegador los almacene. Pero la sola existencia de esa memoria persistente abre interrogantes sobre su gestión, posibles filtraciones y el alcance real del control que el usuario puede ejercer sobre ella.

La defensa de OpenAI

Ante el creciente escrutinio, OpenAI ha salido a explicar las medidas implementadas para mitigar riesgos. En un comunicado publicado por el CISO de la compañía, Dane Stuckey, se reconocen las limitaciones actuales de la tecnología:

"Las inyecciones de prompt siguen siendo un problema de seguridad no resuelto. Nuestros adversarios dedicarán tiempo y recursos significativos para intentar engañar al agente de ChatGPT".

No obstante, la empresa detalla una serie de capas de protección integradas en Atlas:

• Entrenamiento del modelo para ignorar instrucciones maliciosas, mediante técnicas de refuerzo.
• Modos de seguridad como 'logged out mode', donde el agente actúa sin acceder a las credenciales del usuario, ideal para tareas que no requieren iniciar sesión.
• 'Watch mode', que exige que el usuario mantenga activa la pestaña cuando el agente interactúa con sitios sensibles, pausando las acciones si el usuario cambia de ventana.
• Controles de eliminación de recuerdos y restricciones de sistema, que impiden al agente ejecutar código o descargar archivos.

Estas medidas apuntan a construir una relación de confianza entre el usuario y su asistente digital, pero incluso el propio Stuckey reconoce que el desafío está lejos de resolverse por completo.

Vía | Axios

Imagen | Marcos Merino mediante IA

En Genbeta | Un puñado de documentos maliciosos basta para 'intoxicar' un modelo de IA y alterar sus respuestas, según este estudio de Anthropic