This article was originally published in English in March 2025. We have translated it into Spanish and are making it free to access due to the public interest in the material. You can read more about this project here.
Un contratista que trabaja para el Servicio de Inmigración y Control de Aduanas (ICE) y para varias otras agencias del gobierno estadounidense desarrolló una herramienta que les permite a los analistas acceder fácilmente a los datos públicos de una persona en más de 200 sitios web, redes sociales, aplicaciones y plataformas. Según una lista filtrada obtenida por 404 Media, la herramienta accede a servicios tan diversos como Bluesky, OnlyFans y distintas plataformas de Meta.
El contratista, llamado ShadowDragon, les permite a sus clientes gubernamentales recopilar esta información para trazar mapas de la actividad, los movimientos y las relaciones personales de un individuo.
Esta revelación se conoce poco después de que ICE detuviera a Mahmoud Khalil (sitio en inglés), un destacado manifestante de la Universidad de Columbia y residente legal permanente de EE.UU. con tarjeta verde, e hiciera evidente sus planes de deportarlo. Esto ocurrió al mismo tiempo que se hicieran públicos informes sobre una nueva iniciativa del Secretario de Estado, Marco Rubio, bajo la cual se lanzaría una operación denominada “Catch and Revoke” basada en tecnología de inteligencia artificial. Según Axios (sitio en inglés), esta operación escanearía las redes sociales de decenas de miles de estudiantes con visa en busca de extranjeros que aparentasen apoyar a Hamas u otros grupos catalogados como terroristas.
No hay evidencia de que ShadowDragon o su herramienta de análisis de redes sociales, SocialNet, estén directamente involucrados en ese programa. Sin embargo, la propia empresa afirma en su material publicitario que sus herramientas pueden usarse para monitorear protestas y asegura haber detectado las manifestaciones (video en inglés) cerca de la estación Union Station en Washington D.C. antes de que ocurrieran, esto en el marco de la visita de Benjamin Netanyahu en 2023.
Durante un podcast (sitio en inglés), el CEO de ShadowDragon, Daniel Clemens, declaró que los manifestantes “no deberían sorprenderse cuando la gente quiera investigarlos por haberles complicado la vida”.
Varias empresas tecnológicas y sitios web desde los que ShadowDragon extrae datos públicos dijeron a 404 Media que el contratista podría estar violando sus términos de uso al recolectar información de manera automatizada (scraping).
Jeramie Scott, asesor principal y director del “proyecto de supervisión de la vigilancia” del Centro de Información sobre Privacidad Electrónica (EPIC), comentó a 404 Media por correo electrónico: “La extensa lista de sitios y servicios a los que tiene acceso la herramienta SocialNet de ShadowDragon pone en evidencia la magnitud con la que se recolectan y analizan nuestros datos para fines de vigilancia, tanto por parte del gobierno como de terceros. SocialNet es solo un ejemplo del ecosistema de vigilancia descontrolado, sin transparencia ni supervisión, que permite al gobierno eludir protecciones constitucionales y legales para acceder a datos personales de carácter delicado.”
El material publicitario disponible en línea (en inglés) indica que SocialNet, la herramienta de ShadowDragon, puede mapear identidades para encontrar conexiones entre ellas, crear mapas de actividad sospechosa y “seguir el rastro de un objetivo y las huellas que deja su vida digital para encontrar correlaciones ocultas que ayuden a la investigación”. En uno de sus videos promocionales, ShadowDragon explica que los usuarios pueden ingresar “un correo electrónico, un alias, un nombre, un número de teléfono o una variedad de otros datos, y obtener de inmediato información sobre su objetivo,” incluidos intereses, amistades, fotos y videos.
La lista filtrada de sitios y servicios desde los que SocialNet extrae datos incluye plataformas de grandes empresas tecnológicas como Apple, Amazon, Meta, Microsoft y TikTok; herramientas de comunicación como Discord y WhatsApp; sitios centrados en actividades o pasatiempos como AllTrails, BookCrossing, Chess.com y la página de reseñas de puros Cigar Dojo; servicios de pago como Cash App, BuyMeACoffee y PayPal; plataformas de contenido sexual como OnlyFans y JustForFans, y redes sociales como Bluesky y Telegram. Incluso redes relativamente desconocidas, como BeReal, están incluidas.
ShadowDragon también recolecta datos desde sitios orientados a demografías específicas o intereses altamente personales, como la red social Black Planet, dirigida a la comunidad afroamericana, o la plataforma fetichista FetLife, tal como ya había informado 404 Media (en inglés).
La lista incluye incluso a Roblox, y en un video reciente publicado en el canal de YouTube de ShadowDragon, miembros del equipo discuten cómo Roblox y otras aplicaciones dirigidas a menores pueden ser el escenario de casos de acoso infantil (grooming).
El tipo y la cantidad de datos que se consiguen cuando un cliente de ShadowDragon consulta uno de estos sitios depende del servicio específico: algunos probablemente entregan mucha más información que otros.
Puedes revisar la lista completa de sitios publicada por 404 Media aquí.
De acuerdo con bases de datos de adquisiciones del gobierno estadounidense, entre los clientes de ShadowDragon se encuentran el Departamento de Estado, el Ejército, el Servicio de Pesca y Vida Silvestre, la DEA y, por supuesto, el ICE. Este último renovó su contrato con ShadowDragon hace muy poco tiempo: los registros de compras ofrecen la fecha del 24 de febrero, y detallan que el acuerdo incluye acceso a SocialNet.
Un documento de requerimientos técnicos de ICE, obtenido por el Centro de Información sobre Privacidad Electrónica (EPIC) bajo el amparo de la ley FOIA, describe por qué el ICE —y en particular su división de Investigaciones de Seguridad Nacional (HSI)— debió valerse del uso de SocialNet en uno de sus procesos.
El documento señala: “Los analistas del ICE realizan investigaciones basadas en información disponible públicamente en dominios abiertos que van más allá del ciberespacio estadounidense. Esto requiere que el ICE pueda rastrear e investigar de manera efectiva elementos y ubicaciones criminales conocidos con el fin de mitigar el flujo de bienes y personas ilegales hacia los territorios y fronteras de Estados Unidos”. Luego, agrega: “SocialNet es un servicio de suscripción que mapea conexiones en redes sociales para identificar otros apodos asociados y generar inferencias sobre el estilo de vida y ubicación física de amenazas. SocialNet realiza búsquedas conectadas y visualiza las conexiones para identificar rápidamente identidades, relaciones y redes de contactos.”
“HSI Intelligence debe mantenerse alerta y en constante búsqueda de nuevas y mejores herramientas para enfrentar los desafíos que encuentran nuestros agentes e investigadores de inteligencia cuando deben identificar, rastrear y neutralizar entidades criminales. Los datos de SocialNet potencian la capacidad de HSI Intelligence de cumplir con estos objetivos y con su responsabilidad pública mediante el uso de herramientas con resultados comprobados tanto en investigaciones físicas como cibernéticas de investigaciones criminales y análisis forense de redes sociales”, continúa el documento. En este caso, el texto indica que HSI buscaba utilizar SocialNet a través de Maltego, un software ampliamente usado en el campo de la inteligencia de fuentes abiertas (OSINT).
404 Media ya había informado previamente (en inglés) que algunas divisiones del ICE comenzaron a utilizar SocialNet luego de dar de baja la herramienta usada hasta entonces, Babel X.
Este medio contactó a varias de las empresas cuyos sitios figuran en la lista filtrada desde los que ShadowDragon recolecta datos. La respuesta de Pinterest señala sus Condiciones de servicio, que prohíben a los usuarios “extraer, recopilar, buscar, copiar o acceder a contenido o datos de Pinterest de formas no autorizadas”. Cash App también hizo referencia a sus propias condiciones de servicio (en inglés), que prohíben el monitoreo de cualquier material de su sistema, tanto de forma manual como automática.
Consultados sobre la inclusión de Facebook, Instagram y Threads en la lista, Meta indicó en una declaración: “El scraping no autorizado infringe nuestras condiciones de uso, y de manera frecuente investigamos y tomamos acciones para hacerlas cumplir cuando descubrimos que alguien está cometiendo infracciones”.
Snap fue tajante y enfatizó que cualquier forma de scraping viola sus términos de servicio.
Por su parte, LinkedIn declaró: “Estamos probando de forma constante nuevas maneras de garantizar que el control de los datos de nuestros miembros siga en sus manos. No se permite el scraping no autorizado, y nuestros equipos invierten en tecnología y toman acciones legales cuando es necesario para detectar y prevenir que la información de nuestros usuarios sea recolectada y usada sin su consentimiento.”
Desde Chess.com afirmaron: “No teníamos conocimiento previo de que ShadowDragon estuviera extrayendo datos de Chess.com. Para aclarar nuestra posición: no permitimos el uso de información personal de nuestros usuarios sin una base legal válida o sin la garantía de que se cumplen las leyes aplicables, incluso si dicha información está disponible públicamente. Si las actividades de ShadowDragon se realizan de manera legal y con una base jurídica legítima (por ejemplo, en respuesta a una orden gubernamental o como parte de una investigación autorizada), no objetaríamos. Sin embargo, si se están recolectando datos personales sin autorización legal adecuada, eso no se alinea con nuestras políticas”.
Consultado sobre si la actividad de recolección constituye scraping, y tras recibir la lista de sitios involucrados, Sandy MacKay, vicepresidente de operaciones de ShadowDragon, respondió a 404 Media por correo electrónico: “ShadowDragon no almacena las consultas de sus clientes ni los datos obtenidos, por lo que no podemos entregar información que infringe las preferencias de privacidad de los usuarios de estas redes. Esto incluye aquellos datos que ya hayan eliminado.” En otras palabras, las búsquedas se realizan en tiempo real y directamente en los sitios cuando el usuario de ShadowDragon las solicita. Aun así, esta práctica podría entrar en conflicto con las condiciones de uso de muchas de esas plataformas.
En el podcast de ShadowDragon en el que Daniel Clemens hizo sus declaraciones sobre los manifestantes, también agregó que estos “probablemente no están logrando ningún cambio real”. En cuanto a esto, ahondó: “Mi consejo para cualquiera que se sienta invitado a unirse a la turba furiosa de moda es: oye, salte de las redes sociales. Cómprate una cabaña en un lago, una casa en la playa. Haz algo. Endéudate y salte de las redes. No te metas en todo ese enojo.”
Cuando 404 Media informó previamente sobre esos comentarios, Clemens respondió por correo electrónico: “Mis declaraciones en el podcast se refieren a TODOS los grupos, sin importar afiliación o causa. Fue un recordatorio de que todo lo que hacemos en público —incluidas nuestras publicaciones en redes sociales— suele carecer de una expectativa legal de privacidad, tal como indican las recomendaciones de la Guía de Autoprotección Digital contra la Vigilancia de la EFF para quienes participan en protestas.”
