Tu anonimato en internet ya no existe: la IA te identifica

Un equipo de investigadores de ETH Zurich y Anthropic ha demostrado que una inteligencia artificial puede identificar a usuarios anónimos de internet con un 67% de acierto y un 90% de precisión. El coste: entre 1 y 4 dólares por persona. En este artículo analizamos el estudio, los precedentes y las implicaciones legales para empresas y usuarios.

El estudio que lo cambia todo: desanonimización con LLMs

El paper “Large-scale online deanonymization with LLMs”, publicado en febrero de 2026 por investigadores de ETH Zurich (entre ellos Simon Lermen) y Nicholas Carlini de Anthropic, demuestra algo que muchos intuíamos pero nadie había probado a escala: los modelos de lenguaje pueden descubrir quién eres a partir de lo que escribes online.

Los investigadores utilizaron un agente de IA comercial para analizar posts de usuarios pseudónimos en Hacker News, un foro de tecnología. El agente leía los posts, extraía pistas, buscaba información en internet, cruzaba datos con LinkedIn y determinaba la identidad real de cada usuario.

Los resultados fueron demoledores: 67% de identificaciones correctas con un 90% de precisión. Dos tercios de los usuarios desanonimizados. Los métodos clásicos sin IA conseguían prácticamente un 0%. Incluso ampliando la búsqueda a 89.000 candidatos posibles, el sistema seguía identificando correctamente al 55% de los usuarios.

Los propios investigadores lo dicen en el paper: “La oscuridad práctica que protegía a los usuarios pseudónimos online ya no se sostiene.”

Precedentes: Netflix, AOL y los taxis de Nueva York

La desanonimización no es nueva. Lo que cambia es la escala y el coste.

En 2006, Netflix publicó 100 millones de valoraciones de películas de medio millón de usuarios para un concurso. Eliminaron los nombres y pusieron números aleatorios. Dos investigadores de la Universidad de Texas demostraron que podían identificar a los usuarios cruzando esas valoraciones con perfiles públicos de IMDB. Netflix tuvo que cancelar el concurso y pagar un acuerdo extrajudicial.

Ese mismo año, AOL publicó 20 millones de búsquedas web de sus usuarios con identificadores numéricos. El New York Times identificó a una mujer de 62 años de Georgia en cuestión de días, simplemente analizando sus búsquedas. Dimisión del director de tecnología y escándalo nacional.

En 2014, la ciudad de Nueva York publicó 173 millones de registros de viajes en taxi anonimizados con hash. Un investigador revirtió el hash en una hora e identificó los viajes de famosos, incluyendo destinos que esas personas preferían mantener en privado.

La diferencia clave: en todos esos casos se necesitaba un investigador dedicado, días de trabajo y un dataset específico. Con los LLMs, se automatiza todo y cuesta entre 1 y 4 dólares por persona.

Qué dice la ley: RGPD y anonimización

El RGPD distingue entre datos pseudonimizados (con alias, hash o número) y datos anonimizados. Los primeros siguen siendo datos personales y el RGPD aplica completamente. Los segundos, si están bien anonimizados, dejan de serlo.

El test clave es el Considerando 26 del RGPD: hay que tener en cuenta “todos los medios que razonablemente pueda utilizar cualquier persona para identificar a otra persona”. Si una IA puede identificarte por 4 dólares, esos datos nunca estuvieron realmente anonimizados.

El Tribunal de Justicia de la UE confirmó en septiembre de 2025, en el caso del Supervisor Europeo de Protección de Datos contra la Junta Única de Resolución, que la evaluación de si los datos son personales debe hacerse caso por caso, considerando si el receptor puede razonablemente re-identificar a los sujetos.

El Comité Europeo de Protección de Datos, en sus directrices sobre pseudonimización de enero de 2025, insiste: los datos pseudonimizados siguen siendo datos personales en toda circunstancia.

Qué significa esto para las empresas

Si tu empresa vende o comparte datos “anonimizados” basados en pseudonimización, y un LLM puede revertir esa anonimización por un coste irrisorio, podrías estar incumpliendo el RGPD sin saberlo.

El mercado global de data brokers mueve aproximadamente 300.000 millones de dólares al año. Una parte significativa vende datos como “anonimizados” que con esta tecnología podrían no serlo.

Sectores especialmente expuestos

Salud: Un estudio de febrero de 2026 demostró que la IA puede re-identificar pacientes a partir de notas clínicas desidentificadas. Si compartes datos de pacientes “anonimizados” con terceros, tu modelo de negocio está en riesgo.
Finanzas: Cuatro transacciones de tarjeta de crédito bastan para identificar al 90% de las personas en un dataset. Con LLMs, el coste de hacerlo a escala se desploma.
Redes sociales y foros: Reddit tiene 100 millones de usuarios activos al mes, la mayoría con seudónimo. Al 9% de recall del estudio, eso son potencialmente 9 millones de identidades expuestas.
Vigilancia: Gobiernos autoritarios podrían usar esta tecnología para identificar a periodistas, activistas y disidentes por un coste ridículo.

Qué podemos hacer

A nivel personal: todo lo que escribes online, aunque sea con seudónimo, puede ser vinculado a tu identidad real. No dejes de opinar, pero hazlo sabiendo que el anonimato práctico que teníamos ya no existe.

A nivel empresa: revisa hoy mismo si tus técnicas de anonimización aguantan un ataque con LLMs. La única técnica con garantías matemáticas reales es la privacidad diferencial, y aún así tiene trade-offs importantes.

El Comité Europeo de Protección de Datos identifica tres pruebas que debe superar cualquier técnica de anonimización: que no se pueda singularizar a un individuo, que no se puedan vincular registros del mismo individuo, y que no se pueda inferir información a partir de otros datos. Si cualquiera falla, los datos no están realmente anonimizados.

A nivel regulatorio: el Reglamento Europeo de Inteligencia Artificial ya está en vigor. Un sistema de IA diseñado para re-identificar personas anónimas constituye perfilado, con obligaciones específicas de transparencia y supervisión.

Tu empresa trabaja con datos: actúa ahora

El contrato social del anonimato online se ha roto. Ni las leyes ni las empresas se han adaptado todavía. Si tu empresa depende de datos “anonimizados”, necesitas revisar tu modelo antes de que la regulación (o un incidente) te obligue.

Solicita una consultoría personalizada y saldrás con un diagnóstico claro de tu situación y un plan de acción concreto para proteger tu negocio.

Tu anonimato en internet ya no existe (y la IA tiene la culpa)

El estudio que lo cambia todo: desanonimización con LLMs

Precedentes: Netflix, AOL y los taxis de Nueva York

Qué dice la ley: RGPD y anonimización

Qué significa esto para las empresas

Sectores especialmente expuestos

Qué podemos hacer

Tu empresa trabaja con datos: actúa ahora

Reglamento Europeo de IA: lo que tu empresa tiene que hacer antes de agosto de 2026

Si usas IA estás perdiendo el tiempo: lo que Harvard acaba de descubrir

Contratos para negocios digitales: por qué la IA no puede sustituir a un abogado (con casos reales)

Agentes IA y protección de datos: lo que la AEPD acaba de exigir.

OpenAI ficha al creador de OpenClaw: ¿Qué significa?

Cómo ahorré 8 horas de trabajo a la semana con un asistente de IA

Deja una respuesta Cancelar la respuesta

El estudio que lo cambia todo: desanonimización con LLMs

Precedentes: Netflix, AOL y los taxis de Nueva York

Qué dice la ley: RGPD y anonimización

Qué significa esto para las empresas

Sectores especialmente expuestos

Qué podemos hacer

Tu empresa trabaja con datos: actúa ahora

Publicaciones Similares

Deja una respuesta Cancelar la respuesta