
¿Impide una VPN que vendan tu ubicación? Qué funciona en 2026
¿Impide una VPN que los intermediarios de datos vendan tu ubicación? Qué funciona de verdad en 2026
Si compraste una VPN para impedir que los intermediarios de datos vendan dónde vives, trabajas y duermes, gastaste dinero en la herramienta equivocada para esa tarea concreta. Una VPN es realmente útil: oculta tu ubicación basada en IP a los sitios web que visitas e impide que tu proveedor de internet elabore un perfil de tu navegación. Pero los datos de ubicación que los intermediarios empaquetan y revenden casi nunca provienen de tu dirección IP. Provienen del chip GPS de tu teléfono y de los permisos de apps que concediste hace años.
Esa distinción lo explica todo, y la mayoría del marketing de VPN la esquiva discretamente. Esta guía traza la línea con honestidad y luego te muestra los mecanismos que sí funcionan en 2026, empezando por la nueva herramienta de eliminación unificada de California, que entró en funcionamiento en enero y obliga a cientos de intermediarios registrados a borrarte a partir de una sola solicitud.
La respuesta corta: una VPN oculta el tipo de ubicación equivocado
Una VPN cifra la conexión entre tu dispositivo y un servidor remoto y, a continuación, envía tu tráfico desde la dirección IP de ese servidor. Los sitios web y rastreadores que intentan geolocalizarte a partir de tu IP verán la ciudad del servidor VPN en lugar de la tuya, y tu ISP solo ve que te conectaste a una VPN, no qué sitios cargaste. Ese es un valor de privacidad real, y es la capa para la que está diseñada una VPN.
Pero los intermediarios de datos no construyen sus perfiles de ubicación principalmente a partir de direcciones IP. La geolocalización por IP es imprecisa (a menudo solo una ciudad o una gran área metropolitana) y se rompe fácilmente precisamente con este tipo de proxy. El producto de alto valor que venden los intermediarios —el rastro que muestra a un dispositivo concreto visitando una clínica, un lugar de culto o una dirección específica noche tras noche— se deriva de coordenadas GPS y sensores del dispositivo, recolectados por las apps y transmitidos a través de la cadena de suministro publicitaria. Una VPN nunca toca esos datos, porque nunca viajan por la ruta de red que la VPN controla.
Una VPN cambia el remitente de tu tráfico de internet. No llega hasta la app que ya leyó tu GPS y vendió las coordenadas.
De dónde provienen realmente tus datos de ubicación
Para entender por qué el cifrado no puede solucionar esto, tienes que ver las dos tuberías que alimentan la economía de los datos de ubicación. Ninguna de ellas pasa por tu navegador ni por tu dirección IP.
SDK de apps que recolectan el GPS en segundo plano
Apps corrientes —del tiempo, juegos casuales, navegación, cupones y apps de utilidad "gratuitas"— a menudo incorporan kits de desarrollo de software (SDK) de terceros cuyo verdadero negocio es la recopilación de datos. Cuando concedes a una app el permiso de ubicación, ese SDK puede leer coordenadas GPS precisas y enviarlas a su central, junto con el identificador publicitario de tu dispositivo y una marca de tiempo. La app que realmente querías funciona; el SDK del que nunca has oído hablar es el cliente. Empresas como Gravy Analytics, Venntel, Mobilewalla y Kochava construyeron sus inventarios de esta manera, agregando miles de millones de señales de ubicación de miles de apps.
Las pujas en tiempo real que filtran tus coordenadas
La segunda tubería es el flujo de pujas de los intercambios publicitarios. Cada vez que una app o un sitio te muestra un anuncio programático, transmite una "solicitud de puja" a decenas de empresas de tecnología publicitaria para que puedan pujar por mostrarte algo. Esas solicitudes de puja pueden incluir tu ubicación aproximada o precisa, el ID de tu dispositivo y otros atributos. Se supone que los pujadores solo deben usar los datos para decidir si pujan, pero la solicitud en sí es una manguera de datos personales, y algunas empresas simplemente recopilan y revenden lo que pasa ante ellas. Por eso los datos de ubicación acaban en manos de intermediarios que nunca estuvieron en ninguna app que instalaste.
El hilo conductor: la recopilación ocurre en tu dispositivo (GPS + permisos) y en la cadena de suministro publicitaria (flujos de pujas). La solución, por tanto, tiene que ver con los permisos y la eliminación, no con el cifrado de red.
DROP de California: una solicitud, más de 500 intermediarios, activa desde enero de 2026
La herramienta nueva más poderosa llegó el 1 de enero de 2026: la Plataforma de Solicitud de Eliminación y Exclusión (DROP, por sus siglas en inglés) de la Agencia de Protección de la Privacidad de California. Fue creada por la Delete Act de California (SB 362, firmada en 2023) y hace algo que ninguna exclusión empresa por empresa logró jamás: convierte una única solicitud verificada en una orden de eliminación permanente contra todos los intermediarios de datos registrados en el estado, más de 500 empresas.
Creas una cuenta con la CPPA, verificas tu identidad y envías una sola solicitud de eliminación. Los intermediarios de datos registrados están entonces obligados a consultar DROP, eliminar la información personal que tienen sobre ti, dejar de venderla o compartirla y ordenar a sus propios proveedores de servicios que hagan lo mismo. No tienes que localizar a cada intermediario, rellenar cada formulario ni hacer seguimiento de cada respuesta. Puedes consultar el registro estatal y la plataforma a través de la Agencia de Protección de la Privacidad de California.
Los mecanismos de aplicación que lo hacen real
Una exclusión solo vale lo que valga su plazo. La Delete Act fija plazos estrictos. A partir del 1 de agosto de 2026, todo intermediario de datos registrado deberá acceder a DROP al menos una vez cada 45 días, procesar las solicitudes de eliminación que esperan allí y seguir eliminando los datos coincidentes en ese ciclo recurrente de 45 días, no solo una vez. Esa obligación recurrente es la decisión de diseño clave: significa que los intermediarios no pueden simplemente borrarte hoy y volver a incluirte el mes que viene sin dejar de cumplir la ley.
El incumplimiento conlleva sanciones administrativas aplicadas por la CPPA, incluidas multas para los intermediarios que no se registren (la ley establece una sanción de 200 dólares diarios por fallos de registro) y medidas coercitivas por ignorar los deberes de eliminación. El registro en sí es obligatorio y anual, y así es como el estado mantiene la lista de más de 500 intermediarios a los que DROP difunde tu solicitud.
La ofensiva de la FTC que le dio dientes a todo el asunto
La herramienta de California no apareció en el vacío. Durante los dos años anteriores, la Comisión Federal de Comercio de EE. UU. (FTC) llevó a cabo una oleada de medidas coercitivas específicamente contra la venta de datos de ubicación sensibles, estableciendo que esta práctica es una responsabilidad legal, no una zona gris:
Kochava — la FTC demandó a este intermediario de datos de ubicación en 2022, alegando que vendía datos de geolocalización precisos capaces de rastrear a personas hasta lugares sensibles como clínicas de salud reproductiva y lugares de culto; el litigio siguió su curso en un tribunal federal de Idaho.
Gravy Analytics / Venntel — en órdenes anunciadas en diciembre de 2024 y finalizadas en 2025, la FTC prohibió a las empresas vender datos de ubicación sensibles y les exigió establecer un programa de datos de ubicación sensibles. (Gravy Analytics reveló por separado una importante filtración de datos en enero de 2025.)
Mobilewalla — la acción de la FTC, anunciada en diciembre de 2024 y finalizada en 2025, restringió a la empresa la venta de datos de ubicación sensibles y la recopilación de datos de consumidores mediante pujas en tiempo real para fines distintos de la propia participación en la subasta.
Este último punto importa: la orden contra Mobilewalla nombró directamente a las pujas en tiempo real como canal de recopilación y las limitó, una confirmación oficial de que la tubería del flujo de pujas descrita más arriba es exactamente la forma en que los intermediarios adquieren datos de ubicación.
Cómo lograr que te eliminen de verdad, y seguir eliminado
Aquí está la secuencia concreta. El primer paso depende de tu jurisdicción; el resto sirve para todo el mundo y es lo que de verdad frena la recopilación futura en su origen.
Presenta una solicitud DROP de California (si resides en California). Crea una cuenta con la CPPA, verifica tu identidad y envía una sola solicitud de eliminación. Se enruta a todos los intermediarios registrados. Su uso es gratuito.
Si estás fuera de California, activa el Control Global de Privacidad (GPC) y usa exclusiones por intermediario. El GPC es una señal a nivel de navegador que indica a los sitios que te excluyes de la venta y el intercambio de tus datos; bajo la CCPA debe respetarse como una exclusión válida. Actívalo en un navegador o extensión compatible. Para los intermediarios más grandes, todavía tendrás que enviar formularios individuales de exclusión o eliminación.
Revoca los permisos de ubicación de las apps. Repasa los ajustes de tu teléfono y configura el acceso a la ubicación como "Nunca" o "Preguntar la próxima vez" para cada app que no lo necesite de verdad, y "Al usar la app" (nunca "Siempre") para las pocas que sí. Este es el paso más eficaz contra la recopilación futura, porque corta el SDK en el origen.
Desactiva o restablece tu identificador publicitario móvil. En Android, elimina por completo el Identificador de Publicidad (Ajustes › Privacidad › Anuncios). En iPhone, la Transparencia de Seguimiento de Apps ya obliga a las apps a pedir permiso antes de rastrear: desactiva "Permitir que las apps soliciten seguimiento" para que la respuesta sea siempre no. Sin un ID publicitario estable, a los intermediarios les cuesta hilvanar tu rastro de ubicación.
Restablece el historial de ubicaciones y audita el uso compartido previo. Desactiva y elimina el historial de ubicaciones almacenado en tus cuentas de Google y Apple, y revisa las funciones de tipo "Cronología". Esto borra los rastros históricos que esas plataformas conservaron.
Dónde encaja legítimamente una VPN
Nada de esto significa que una VPN sea inútil: significa que debes usarla para lo que realmente hace. Una VPN reduce de forma significativa el rastreo entre sitios basado en IP, de modo que las firmas de tecnología publicitaria que te identifican en parte por la IP reciben una señal más ruidosa. Impide que tu ISP construya un perfil de navegación para venderlo o entregarlo, que es una categoría real de monetización de datos. Y protege el tráfico en redes no confiables. Considérala una capa de privacidad complementaria que refuerza tu ruta de red, no la herramienta que te saca de la economía de los intermediarios de ubicación. Ese trabajo corresponde a la eliminación y a los permisos.
Los límites honestos con los que deberías contar
DROP es específica de California. Su fuerza legal cubre a los residentes de California. Otros estados de EE. UU. dependen de sus propias leyes de privacidad, señales GPC y exclusiones por intermediario, que son más fragmentarias.
La eliminación no siempre es permanente. Estás eliminando los datos que los intermediarios tienen actualmente. Se recopilan datos nuevos constantemente desde apps y flujos de pujas, que es exactamente por lo que la Delete Act exige un ciclo recurrente de 45 días, y por lo que revocar los permisos importa tanto como eliminar.
La cobertura se limita a los intermediarios registrados. DROP llega a los intermediarios registrados en California. Una firma que opera ilegalmente fuera del registro es un asunto de aplicación de la ley, no de la herramienta.
Se requiere verificación. Las solicitudes de eliminación deben ser verificables, lo que significa entregar a la plataforma suficiente información de identidad para confirmar que eres tú: un compromiso razonable, pero un compromiso al fin y al cabo.
Conclusión práctica
Si tu objetivo es impedir que los intermediarios vendan tu ubicación, haz primero el trabajo a nivel de origen: revoca los permisos de ubicación de las apps, elimina tu identificador publicitario y restablece el historial de ubicaciones; eso detiene la nueva recopilación. Después elimina lo que ya existe: presenta una solicitud DROP de California si cumples los requisitos, o apóyate en el Control Global de Privacidad más las exclusiones por intermediario si no. Mantén una VPN si valoras ocultar tu IP a los sitios y a tu ISP, pero reconócela como una capa complementaria, no como la respuesta. La herramienta que por fin hace que la eliminación de intermediarios sea exigible a gran escala es una plataforma de privacidad con plazos legales que la respaldan, no un túnel cifrado.
Preguntas frecuentes
¿Una VPN impide que los intermediarios de datos vendan mi ubicación?
No. Una VPN oculta tu ubicación basada en IP a los sitios web y a tu ISP, pero los intermediarios de datos construyen perfiles de ubicación a partir de coordenadas GPS recopiladas por los SDK de las apps y filtradas a través de los flujos de pujas de los intercambios publicitarios. Esos datos se recogen en tu dispositivo y en la cadena de suministro publicitaria, donde una VPN no tiene alcance. Para detenerlo necesitas cambios de permisos y solicitudes de eliminación, no cifrado de red.
¿Qué es una solicitud de eliminación DROP de California y quién puede usarla?
DROP (Plataforma de Solicitud de Eliminación y Exclusión) es una herramienta gestionada por la Agencia de Protección de la Privacidad de California, activa desde el 1 de enero de 2026. Los residentes de California crean una cuenta, verifican su identidad y envían una sola solicitud de eliminación que se enruta a todos los intermediarios de datos registrados en el estado, más de 500 empresas. Es gratuita, y los intermediarios deben respetarla bajo la Delete Act.
¿Cómo me excluyo de los intermediarios de datos en 2026 si no vivo en California?
Activa el Control Global de Privacidad (GPC) en un navegador o extensión compatible para que los sitios reciban una señal automática de exclusión de venta, que está reconocida legalmente bajo la CCPA y es respetada por muchas empresas en todo el país. Para los intermediarios más grandes todavía tendrás que presentar formularios individuales de exclusión o eliminación. Combina eso con revocar los permisos de ubicación de las apps y desactivar tu identificador publicitario para cortar la nueva recopilación.
¿Cómo elimino mi información personal de los intermediarios de datos de forma permanente?
No existe una eliminación permanente de una sola vez, porque los intermediarios recopilan continuamente datos desde apps y flujos de pujas. Por eso la Delete Act de California exige que los intermediarios registrados reprocesen las eliminaciones en un ciclo recurrente de 45 días a partir del 1 de agosto de 2026. Para que la eliminación perdure, combina tus solicitudes DROP o de exclusión con desactivar los permisos de ubicación de las apps y restablecer tu identificador publicitario móvil.
¿Desactivar mi identificador publicitario impide que se venda mi ubicación?
Debilita significativamente la capacidad de los intermediarios de venderla. El identificador publicitario es la clave que les permite vincular un rastro de ubicación a un único dispositivo a lo largo del tiempo; sin un ID estable, resulta mucho más difícil hilvanar las coordenadas en un perfil. En Android puedes eliminar el Identificador de Publicidad por completo, y en iPhone puedes desactivar el seguimiento de apps para que no puedan solicitarlo.
¿La herramienta DROP de California es gratuita y cuánto tarda la eliminación?
Sí, DROP es gratuita para los consumidores de California. Después de que envíes una solicitud verificada, los intermediarios de datos registrados están obligados a comenzar a procesar las eliminaciones y, a partir del 1 de agosto de 2026, a acceder a la plataforma al menos una vez cada 45 días para eliminar los datos coincidentes de forma continua. Espera que la eliminación se despliegue a lo largo de semanas en lugar de al instante, ya que depende de la próxima revisión de 45 días de cada intermediario.
Entonces, ¿debería seguir usando una VPN para la privacidad?
Sí, para lo que realmente hace. Una VPN reduce el rastreo entre sitios basado en IP e impide que tu ISP perfile y monetice tu navegación, lo cual tiene un valor real. Solo trátala como una capa complementaria: las herramientas de eliminación como DROP, las señales GPC y los restablecimientos de permisos son lo que aborda directamente el problema de los intermediarios de ubicación.



