White House App: ¿Privacidad o Tracking?
La aplicación oficial de la Casa Blanca, lanzada el 27 de marzo de 2026, integra el servicio OneSignal para push notifications, que según análisis técnicos incluye código capaz de rastrear ubicación cada 4,5 minutos en foreground y enviar datos a servidores fuera de EE.UU., aunque reportes posteriores indican que el rastreo activo aún no está habilitado (pero el código está ahí, listo para activarse).
En 30 segundos
- La app de la Casa Blanca lanzada en marzo 2026 usa OneSignal, que incluye código de tracking de GPS cada 4,5 minutos en foreground
- Captura ubicación exacta (latitud, longitud, timestamp), aunque desarrolladores reportan que el rastreo aún no está activo
- Los datos se procesan en servidores AWS globales, fuera de jurisdicción estadounidense, según políticas de OneSignal
- La app solicita permisos inusuales: GPS preciso, borrar archivos, dibujar sobre otras apps (mucho más allá de lo que necesita una app de noticias)
- El precedente es preocupante: el código existe y podría activarse sin aviso
OneSignal es una plataforma de push notifications que permite a las aplicaciones enviar mensajes a usuarios. Ofrece segmentación, personalización y, según su documentación técnica, funcionalidades de analytics incluyendo tracking de ubicación GPS—aunque este último es opcional en la configuración de cada app.
¿Qué pasó con la aplicación oficial de la Casa Blanca?
El 27 de marzo de 2026, se lanzó la app oficial de la Casa Blanca en iOS y Android. La idea: acceso directo a noticias, proclamaciones y eventos de la administración (actualización: un usuario lo vio en Twitter, bajó la app, tardó tres minutos en notar que pedía permisos anormales).
Casi inmediatamente, desarrolladores independientes y expertos en seguridad descompilaron el APK y encontraron OneSignal embebido. Ojo acá: no es que OneSignal esté prohibido. Es que OneSignal, cuando se configura de cierta forma, trae consigo funcionalidades de tracking que van mucho más allá de lo que una app de noticias necesita.
OneSignal: tracking de ubicación cada 4,5 minutos
La parte que explota todo es esta: el código de OneSignal dentro de la app contiene un request loop configurado para consultar la ubicación GPS cada 4,5 minutos cuando la app está en primer plano (foreground) y cada 9,5 minutos cuando está en segundo plano. No es una estimación burda. Son números específicos encontrados en el binario compilado.
¿Qué captura exactamente? Latitud, longitud, timestamp de la lectura, y accuracy (margen de error en metros). Para cada consulta. Cada 4,5 minutos. Mientras usás la app.
El análisis técnico de Atomic Computer detalla el payload exacto que se envía: {“lat”: valor, “lng”: valor, “timestamp”: unix_ms, “accuracy”: metros}. Los datos se etiquetan con device_id único y session_id, lo que permite reconstruir movimientos completos del usuario a lo largo del tiempo.
Ahora bien, acá hay un detalle importante que cambia un poco el panorama (aunque no tanto): el análisis posterior de TechDirt y community notes en X muestran que, aunque el código de tracking está presente en el binario, no hay evidencia de que esté siendo *invocado* activamente en este momento. O sea: la functionality existe, pero no está encendida.
¿Lo cual significa que estamos tranquilos? Eh, no exactamente (ahí viene lo bueno). El código está ahí. Compilado. Listo. Podría activarse con una actualización de OneSignal, una reconfiguración del servidor backend, o una direct call desde la API de OneSignal sin que vos, usuario final, te des cuenta.
¿Se está activando realmente el rastreo? La verdad técnica
La situación es un poco más matizada de lo que sale en los titulares. El código existe. Los parámetros de polling (cada 4,5 minutos) están hardcodeados. Pero actualmente, según los reportes técnicos que pudimos verificar, el método que activa el tracking startLocationTracking() no está siendo llamado en la app instalada hoy.
Pero—y esto es grande—eso no significa que no pueda pasar mañana. OneSignal es un servicio remoto. La configuración puede cambiar server-side. El backend que controla qué features habilita en qué usuarios es opaco. Así que cuando dicen “no se ve que esté rastreando”, lo que realmente significa es “no ahora”, no “nunca”.
El problema verdadero es este: ¿por qué el código existe de entrada? ¿Quién lo incluyó? ¿Fue un copy-paste de otra app? ¿Un desarrollador que usó un template de OneSignal sin revisar? ¿O es una funcionalidad dormida a propósito, esperando el momento indicado?
Servidores extranjeros: ¿dónde van realmente tus datos?
Cuando tu ubicación se captura, ¿dónde termina? OneSignal usa infraestructura AWS distribuida globalmente. Eso significa que tus datos de GPS podrían procesarse en servidores en Frankfurt, Tokio, São Paulo o cualquier otro data center donde OneSignal tiene nodos.
La documentación oficial de OneSignal dice explícitamente que los datos de usuarios se pueden procesar en múltiples jurisdicciones, con “transferencias internacionales de datos” como práctica estándar. Traducción: tus coordenadas GPS de cada 4,5 minutos salen de EE.UU., cruzan el océano, y se guardan en servidores en jurisdicciones donde Google, Meta, Amazon y otros tienen data centers.
¿Qué información viaja además de las coordenadas? Device ID (número de serie único de tu teléfono), IDFA (identificador publicitario), IP address, timezone, información de sesión (cuánto tiempo usaste la app, qué viste). Todo junto, todo vinculable al mismo user_id.
Ahora, la política de privacidad de OneSignal dice que no venden datos a terceros (suena bien), pero sí usan datos “para mejorar nuestros servicios” y “con proveedores de servicios”, que es una puerta bastante abierta.
El punto crítico: una app de la Casa Blanca enviando ubicación precisa a servidores multinacionales abre un agujero de seguridad enorme (spoiler: no es lo primero que se me ocurriría como política de privacidad de una institución federal).
Permisos anormales: GPS, borrar archivos, superponer apps
Bajás la app, te aparece la pantalla de permisos, y ahí empieza lo raro. Una app de noticias debería pedir: internet (obvio), notificaciones (push notifications, de acuerdo). Y tal vez fotos si quiere que guardes imágenes.
La app de la Casa Blanca pide:
- Ubicación precisa (ACCESS_FINE_LOCATION en Android): necesario para rastreo GPS. No necesario para leer noticias.
- Ubicación aproximada (ACCESS_COARSE_LOCATION): redundante si ya tenés la precisa. Probablemente para fallback si GPS falla.
- Permiso para modificar/borrar archivos (WRITE_EXTERNAL_STORAGE): ¿por qué una app de noticias necesita borrar archivos de tu teléfono?
- Superponer otras apps (SYSTEM_ALERT_WINDOW): permite dibujar ventanas flotantes sobre cualquier otra app. Típico de adware.
- Acceso a estado del dispositivo (READ_PHONE_STATE): para saber cuándo estás en llamada, cuándo el teléfono está en reposo, etc.
Cada uno de estos permisos tiene una razón técnica posible (OneSignal podría argumentar que necesita READ_PHONE_STATE para saber si está en background, que necesita WRITE_STORAGE para logs, etc.). Pero conjunto, forma un patrón de recopilación de datos que va muy lejos de “app de noticias”. Lo explicamos a fondo en cómo manejan la privacidad las plataformas principales.
Casos similares: cuando el rastreo es secreto
Esto no es la primera vez que pasa. El rastreo de apps es un iceberg donde lo visible es apenas la punta.
Apps de citas: En 2024, un análisis independiente encontró que apps populares de dating filtraban ubicación exacta a data brokers. A veces con el permiso del usuario (que nadie lee), a veces sin él.
Estadísticas globales: Un informe de 2025 de Privacy International reveló que el 96% de apps gratuitas contienen al menos un tracker. De esos trackers, el 87% enviaba datos a Google, 68% a Facebook, 45% a otros data brokers. El rastreo de ubicación específicamente aparece en 1 de cada 3 apps que no debería necesitarlo.
El patrón típico es este: app incluye un SDK (software development kit) para analytics o push notifications, ese SDK viene con tracking de ubicación por defecto, el desarrollador nunca se molesta en deshabilitar la funcionalidad, el usuario nunca se entera. Pasamos, publicamos, circulamos. Y seis meses después, un investigador independiente descompila el binario y se arma el quilombo.
En el caso de la app de la Casa Blanca, es especialmente raro porque es una institución que dice estar *en contra* de la vigilancia masiva (si hablamos de las leak de 2013 en adelante). Pero acá está, permitiendo que OneSignal rastree. O al menos, permitiendo que el código exista aunque no esté activado. El mensaje es confuso, por decirlo amablemente.
Cómo protegerse: revisa permisos y usa herramientas de control
Si bajaste la app, acá hay qué hacer:
En configuración del teléfono: Anda a Settings → Apps → Casa Blanca (o similar) → Permissions. Desactiva manualmente: Location (both precise y approximate), Storage, Overlay, Phone state. Es probable que la app pida de nuevo cuando se actualice, pero por ahora estaría bloqueado.
Herramientas especializadas: Kaspersky documentó en marzo 2026 las herramientas más efectivas: TrackerControl (Android, open-source, te muestra en tiempo real cada conexión que hace cada app), DuckDuckGo App Tracking Protection (integrado en el navegador DDG, pero también tiene extension), o Privacy Dashboard de iOS (si usás iPhone, es nativa).
Auditoría periódica: Revisá cada app que instalaste en los últimos 6 meses. Desinstala las que no usás. Para las que sí usás, ve a permisos y preguntate: ¿realmente necesita esto? Si la respuesta es “no sé” o “probablemente no”, desactiva.
Herramientas DNS-level: Servicios como NextDNS o Adguard Home te permiten bloquear conexiones a dominios conocidos de trackers. No es a prueba de balas, pero reduce bastante.
Lo más efectivo: Simplemente no descargar apps que no necesitás. Usar versión web cuando existe. Cuando tengas que descargar algo, averigua primero en Reddit o comunidades de seguridad si la app tiene reputación. Una búsqueda rápida de “[app name] tracking” generalmente devuelve reportes si hay drama.
Confirmado vs. Pendiente
| Punto | Estado | Evidencia |
|---|---|---|
| Código de OneSignal en la app | Confirmado | Análisis de binario APK, reverse engineering |
| Código incluye polling de GPS cada 4,5 min | Confirmado | Bytecode descompilado, parámetros hardcodeados |
| Datos se envían a servidores multinacionales | Confirmado | Documentación OneSignal, política de privacidad |
| Rastreo está activado ahora mismo | Pendiente | Community notes dicen que no, pero no hay verificación independiente completa |
| Podría activarse sin actualización de app | Confirmado (técnicamente) | OneSignal controla config server-side |
| La Casa Blanca lo sabía | Pendiente | No hay comunicado oficial aclarando si fue intencional o negligencia |
Preguntas Frecuentes
¿La aplicación de la Casa Blanca rastrea mi ubicación ahora mismo?
Según análisis técnicos actuales, el rastreo no está activado en este momento. Pero el código que lo haría está presente en la app. Es como tener una cerradura en tu puerta pero no está puesta la llave—técnicamente, hoy estás seguro, pero la capacidad de rastreo existe y podría activarse sin que vos lo sepas.
¿Qué es OneSignal y por qué rastrea usuarios?
OneSignal es una plataforma legítima de push notifications. El rastreo de ubicación es técnicamente opcional, pero muchos desarrolladores lo incluyen para “analytics avanzados” o “segmentación por ubicación”. En este caso, no está claro si fue intencional o un copy-paste de un SDK que vino con todo habilitado.
¿Por qué las apps envían datos a servidores en el extranjero?
OneSignal usa infraestructura AWS global porque es más rápido servir notificaciones desde un data center cercano al usuario que desde un único data center centralizado. Pero eso significa que tus datos salen de EE.UU. y entran a jurisdicciones donde Google, Amazon y otros tienen menos restricciones de privacidad que la ley estadounidense.
¿Cómo puedo saber si otras apps me están rastreando?
Instalá TrackerControl (Android) o monitoreá permisos en Settings. Buscá patrones: si una app solicita ubicación, almacenamiento y varios otros permisos pero su función principal no necesita nada de eso, es sospechosa. También podés buscar “[app name] tracking” en Reddit—si hay drama, probablemente alguien lo documentó.
¿Qué tan difícil es activar el rastreo después del hecho?
Si OneSignal lo controla server-side (que es el modelo típico de estas plataformas), es cuestión de cambiar un boolean en un config. Cero cambios en tu teléfono, cero actualización de app, cero notificación a usuarios. Por eso el caso es preocupante—aunque ahora no esté rastreando, técnicamente podría empezar mañana sin que vos te des cuenta.
Conclusión
La controversia de la app de la Casa Blanca no es un escándalo de rastreo activo (por ahora), pero es una advertencia clara sobre cuán casualmente los desarrolladores incluyen código invasivo sin pensarlo demasiado. OneSignal es un producto legítimo, pero la presencia de GPS polling cada 4,5 minutos en una app que debería solo servir noticias es Red Flag de categoría máxima.
Lo importante que cambió: ahora sabemos que el código existe. Sabemos que los parámetros están configurados. Sabemos que los datos irían a servidores multinacionales. Y sabemos que todo eso podría activarse sin que haya actualización de app visible. La pelota está del lado de la Casa Blanca—o desactivan el código, o publican un comunicado explicando por qué está ahí, o esperan a que alguien más haga noise.
Mientras tanto, la lección para cualquiera que descargue apps: revisá los permisos, desconfiá de peticiones que no tienen sentido con la función de la app, y usá herramientas de tracking. El Instituto Nacional de Ciberseguridad de España tiene una guía bastante clara sobre qué hacer si te preocupa la ubicación. Spoiler: la privacidad en apps es un espacio donde todavía falta mucha regulación.
