
Una nota sobre la financiación: CypherpunkGuide no lleva publicidad de vigilancia. Nada de redes publicitarias, píxeles de rastreo ni contenido patrocinado. Nos sostienen fuentes transparentes: hoy, las donaciones de los lectores; más adelante, una suscripción y afiliados alineados con nuestra línea editorial. Respondemos ante quienes nos leen, no ante los anunciantes.
Publico bajo un seudónimo y con un retrato generado por IA, así que «basta con no salir de cara» nunca iba a resolver por sí solo mi privacidad de ubicación. Lo incómodo es lo que hay detrás de la cara. En abril de 2025, un desarrollador enfrentó al modelo o3 de OpenAI contra un Master de GeoGuessr —GeoGuessr es el juego de adivinar dónde se tomó una imagen de Street View, y un Master es un humano de primerísimo nivel— y ganó la máquina: 23.179 puntos contra 22.054. Acertó el país en las cinco rondas y, en dos de ellas, cayó a unos pocos cientos de metros del lugar exacto. En esas mismas pruebas, o3 ignoró unas coordenadas GPS falsas plantadas en los metadatos del archivo y dedujo la ubicación real usando solo los píxeles.
Ese último detalle lo resume todo. Durante veinte años, el consejo estándar para la privacidad de las fotos fue «borra el EXIF» —el EXIF son los datos que la cámara incrusta en la foto, que pueden incluir la ubicación—; en concreto, quitar la etiqueta GPS oculta que tu teléfono escribe en el archivo. Era un buen consejo contra lo que hoy es la mitad fácil del problema. La mitad difícil es que una máquina puede leer los tejados, las plantas, la pintura del asfalto, el ángulo del sol y la tipografía del letrero de una tienda, y ubicarte sin un solo metadato. Un modelo de Stanford llamado PIGEON —un sistema de geolocalización— identifica el país de una foto corriente el 91,96 % de las veces y venció a un campeón mundial de GeoGuessr en seis partidas seguidas. En un test de 2025, un modelo Gemini de propósito general acertó la ciudad exacta el 64,3 % de las veces; los humanos con los que se comparó llegaron al 1,7 %.
Así que la pregunta aquí no es «si la IA puede encontrar tu ubicación» —puede—, sino qué cambia de verdad tu exposición una vez que puede. Repasando los benchmarks públicos y las guías de campo de Bellingcat —el medio de investigación de fuentes abiertas—, rastreé cómo un localizador va acotando una foto y luego recorrí esa cadena al revés para convertirla en defensa. En resumen: la ubicación se filtra ahora en dos capas, y cada una se arregla de otra manera. La capa de metadatos puedes limpiarla. La capa visible solo puedes gestionarla: controlando qué entra en la imagen y cuándo sale, igual que un investigador de fuentes abiertas trabajaría el problema a la inversa.
Lo que delata una sola foto ahora que la IA la lee#
La geolocalización con IA es deducir dónde se tomó una foto a partir de su contenido visible —edificios, vegetación, marcas viales, ángulo del sol, letreros— y no de una etiqueta GPS. Ese es el cambio que importa: hasta hace poco esto era «una afición para humanos con talento» y ha pasado a ser «una conjetura barata, rápida y automática», y el salto se dio frente a jugadores expertos, no novatos. Las cifras que siguen vienen de benchmarks con revisión por pares y de un duelo directo muy reproducido, no del marketing de ningún fabricante.
El tamaño de la brecha entre máquina y humano es lo que casi todo el mundo subestima. En un benchmark académico de 2025, un modelo Gemini alcanzó un 83,7 % de acierto a nivel de país y un 64,3 % a nivel de ciudad, mientras que las personas que hicieron el mismo test sacaron un 9,5 % y un 1,7 %. Alguien a quien esto se le da bien —un jugador de GeoGuessr con ranking— todavía compite de tú a tú, y precisamente por eso resulta alarmante que o3 venciera a un Master y que PIGEON barriera a un campeón: lo que alquila un adversario es el techo, no la media.
| Sistema | Nivel de país | Nivel de ciudad | Nota |
|---|---|---|---|
| PIGEON (Stanford, 2024) | 91,96 % | mediana del error ~44 km | Barrió a un campeón de GeoGuessr por 6 a 0 |
| Gemini (benchmark de 2025) | 83,7 % | 64,3 % | Mismo benchmark; humanos: 9,5 % / 1,7 % |
| GPT-4o (benchmark de 2025) | 74,0 % | 63,3 % | Modelo de consumo, mismo conjunto de comparación con humanos |
| o3 (2025, duelo directo) | las 5 rondas | a unos cientos de m ×2 | Venció a un Master humano; ignoró EXIF falso |
Dos matices, para no exagerar. Primero, el acierto es desigual: los modelos rinden mucho mejor en Norteamérica y Europa Occidental que en regiones poco representadas, así que «la IA no sabría situar mi pueblo» a veces es cierto y nunca es algo con lo que puedas contar. Segundo, las herramientas especializadas llegan más lejos que los chatbots generales. GeoSpy, un sistema comercial de Graylark Technologies, se entrenó con decenas de millones de imágenes a pie de calle; la empresa asegura precisión a nivel de calle cuando las imágenes de entrada son buenas. Su historia es su propia advertencia: tras el lanzamiento, hubo usuarios que subieron vídeos pidiéndole que localizara a mujeres concretas, y la empresa retiró el acceso público y limitó la herramienta a clientes policiales, empresariales y gubernamentales. La capacidad es tan real que sus propios creadores decidieron que no podían confiársela al público.
Cómo localiza una foto un investigador — y por qué eso te ayuda#
Un investigador de fuentes abiertas no necesita IA para ubicar una foto; la disciplina de la geolocalización —confirmar dónde se tomó una imagen a partir de pruebas visibles— le lleva una década de ventaja a estos modelos. Entender su método importa porque una buena defensa no es más que su método al revés: las pistas que ellos cazan son exactamente las que tú quieres fuera de tu encuadre. Bellingcat, el medio de investigación que formalizó buena parte de esta práctica, lo enseña como una lista de comprobación por capas.
Las capas van de lo grueso a lo fino. La cronolocalización usa las sombras: la longitud y la dirección de una sombra, cruzadas con una calculadora de posición solar para una fecha candidata, acotan a la vez la hora del día y la latitud. La arquitectura y la infraestructura acotan el país: el diseño de los postes de electricidad, la forma de los semáforos, los estilos de bordillos y bolardos cambian según la jurisdicción, y hay bases de datos de referencia que catalogan esas diferencias. La vegetación distingue climas y regiones. Los letreros y la escritura muchas veces entregan la ciudad, o una calle concreta, sin más. Y los reflejos —el escaparate de una tienda, el retrovisor de un coche, unas gafas de sol— pueden revelar aquello a lo que la cámara daba la espalda. Cuando Bellingcat confirmó la ruta del convoy del MH17 —el rastreo del camión que transportó el misil que derribó un avión de pasajeros sobre Ucrania en 2014—, lo hizo exactamente con este apilamiento: análisis de sombras más coincidencia de puntos de referencia, fijado a un tramo exacto de carretera.
Lo que la IA cambió no es el método, sino el coste. Un investigador humano dedica horas a cada imagen; un modelo hace la misma inferencia en segundos por unos céntimos, y se le puede poner a analizar miles de imágenes a la vez. La conclusión defensiva es concreta y hasta libera un poco: no tienes que derrotar a un genio, tienes que retirar las pistas que se acumulan. Cada capa que niegas —ningún letrero, ninguna silueta urbana reconocible, ninguna superficie reflectante, ninguna sombra despejada— es una capa que el localizador, humano o máquina, ya no puede usar.
Las dos capas por las que se filtra la ubicación#
Este es el marco que reordena todo lo demás, y el que casi todas las guías dejan borroso: una foto filtra la ubicación por dos capas independientes, y solo una de ellas es un problema resuelto. Confundirlas es la razón por la que «ya borré los metadatos» da a la gente una confianza que no se ha ganado.
La Capa 1 son los metadatos: el bloque EXIF que tu cámara escribe en el archivo, con las coordenadas GPS exactas incluidas si tenías la ubicación activada. Esta capa tiene solución. Es un dato concreto, ocupa un lugar conocido dentro del archivo y puedes eliminarlo por completo antes de que la foto salga siquiera de tu dispositivo. Lo borras y esa coordenada, sencillamente, deja de existir.
La Capa 2 es el contenido: la escena visible en sí. Es lo que leen los modelos de visión, y no se puede quitar, porque no está pegada a la foto: es la foto. No puedes borrar la arquitectura sin borrar la imagen. Cuando o3 ignoró la etiqueta GPS falsa y ubicó la imagen por sus píxeles, estaba demostrando que la Capa 2 ya se sostiene sola: un adversario que no saca nada de la Capa 1 aún tiene todo el encuadre visible con el que trabajar.
Eso replantea toda la defensa. La Capa 1 es un problema de limpieza: un solo gesto mecánico, repetido cada vez. La Capa 2 es un problema de composición: se decide cuando pulsas el disparador y cuando pulsas publicar, y ninguna herramienta posterior arregla una silueta urbana que ya publicaste. El resto de este artículo las trata por separado, porque tratarlas juntas es justo el error.
«Pero si ya borré los metadatos»: qué arregla eso en realidad#
Borrar los metadatos es necesario y ya no basta. Cierra la Capa 1 con limpieza y no hace nada por la Capa 2; y aun dentro de la Capa 1, eso en lo que casi todos confían —lo que hace la plataforma por su cuenta— es más limitado de lo que la gente cree. Hay que desmontar dos creencias: que las redes sociales ya se encargan de esto por ti, y que una captura rápida deja la foto limpia.
La mayoría de las grandes plataformas sí recodifican las subidas públicas y eliminan el bloque EXIF de la versión que otros usuarios pueden descargar, pero las garantías tienen condiciones. A fecha de 2026, los servicios independientes que analizan metadatos informan de que la excepción se repite en todas las apps: los modos «enviar como documento» o «enviar como archivo» saltan la recodificación y lo conservan todo, a un toque del camino seguro y sin ningún aviso. Y borrar la copia pública no es lo mismo que eliminarla: la propia política de privacidad de Meta señala que retiene los datos originales de la imagen en sus servidores para sus propios fines. La tabla de abajo combina el comportamiento probado y la política oficial; léela como «dónde están las trampas», no como una promesa sobre ninguna subida concreta.
| Vía | EXIF público | La trampa |
|---|---|---|
| Instagram / Facebook (publicación pública) | Se borra en la copia descargable | El original se retiene en el servidor; los envíos de mayor calidad por MD pueden variar |
| X (publicación pública) | Se borra | Retención interna; la programación y los clientes de API de terceros no están verificados |
Reddit (nativo i.redd.it) | Se borra al recodificar | Los alojamientos de imágenes externos (p. ej., enlaces de imgur) pueden conservar el GPS |
| TikTok (publicación) | Se borra | La app recoge la ubicación por otras vías; borrar ≠ sin rastreo |
| WhatsApp / Signal / Telegram (modo foto) | Se borra por compresión | «Documento / enviar como archivo» conserva el EXIF completo, sin aviso |
El mito de la captura merece su propia línea, porque los buscadores no dejan de recomendarlo. Hacer una captura sí genera un archivo nuevo sin la etiqueta GPS original: es un arreglo real de la Capa 1. Y no hace absolutamente nada por la Capa 2: la captura sigue mostrando la misma calle, la misma silueta urbana, el mismo letrero de la tienda, y un modelo los lee igual de bien en una captura que en el original. Una captura cambia el archivo, no lo que aparece en la imagen.
Un protocolo de defensa a la medida de tu modelo de amenazas#
Aquí no hay una única dosis correcta de cautela: el protocolo adecuado depende de quién podría estar mirando y de qué podría hacer con un acierto. Las reglas de brocha gorda tipo «no publiques nunca al aire libre» son invivibles y, para casi todo el mundo, innecesarias; lo útil es ajustar el esfuerzo a la amenaza, la misma lógica de modelado de amenazas sobre la que se construye Surveillance Self-Defense, el proyecto de la EFF —la Electronic Frontier Foundation—. Los niveles de abajo van subiendo: todo el mundo debería cumplir el básico, y cada nivel superior se suma al anterior en lugar de sustituirlo.
La línea que separa los niveles es la consecuencia. Para quien comparte de forma casual, una foto localizada es un rasguño en la privacidad. Para una creadora pública, o para una mujer que ya sufre acoso, es un paso hacia un encuentro en el mundo real; y esto no es hipotético, porque la geolocalización con IA alimenta las mismas amenazas de acecho y de violencia de pareja que Privacy International cataloga —Privacy International es una ONG británica de privacidad— en su taxonomía de riesgos, y porque ya vimos por qué los creadores de GeoSpy cerraron la puerta al público. Para un activista, un periodista o un superviviente de maltrato, un solo fotograma geolocalizado puede ser un asunto de seguridad física. Sitúate primero en esa escalera y aplica luego la fila que te corresponde.
| Nivel | Quién | Suma estos hábitos |
|---|---|---|
| Básico (todos) | Quien comparte de forma casual | Borra el EXIF en local antes de subir (no te fíes de la plataforma); no publiques nunca en tiempo real tu casa, tu trabajo ni el colegio de tu hijo; recuerda que una captura no es segura |
| Elevado | Figura pública, creadores, cualquiera que sufra acoso | Retrasa la publicación para que «aquí ahora» se vuelva «aquí la semana pasada»; limpia los fondos —ventanas, reflejos, matrículas, siluetas urbanas reconocibles—; evita los lugares recurrentes de tu rutina |
| Alto | Activista, periodista, superviviente de violencia de pareja, denunciante | Da por hecho que cualquier foto publicada es geolocalizable para siempre; haz una revisión de «qué revela este encuadre» antes de publicar, no después; mantén un dispositivo y una cuenta aparte que nunca lleven imágenes con ubicación |
Tres técnicas necesitan una etiqueta honesta para que no te fíes de ellas más de la cuenta. Borrar el EXIF conviene hacerlo en local y de forma mecánica: la herramienta de línea de comandos ExifTool lo quita todo de una pasada (exiftool -all= photo.jpg) y, como corre en tu máquina, la foto nunca sale de ella. Retrasar la publicación neutraliza la filtración en tiempo real —el adversario que quiere saber dónde estás ahora mismo—, pero no hace nada contra el análisis a posteriori, porque el fondo sigue resolviéndose a un lugar cada vez que alguien lo examina. Y desenfocar el fondo es más débil de lo que parece: un desenfoque suave puede revertirse en parte con técnicas de deblurring —que deshacen el desenfoque—, así que las opciones honestas son un pixelado fuerte o, sencillamente, no incluir el elemento. Nombra cada técnica por la capa que aborda y dejarás de confundir «hice algo» con «estoy a cubierto».
En conclusión: ¿cuánto deberías hacer en realidad?#
Para casi todo el mundo, el protocolo entero se reduce a dos hábitos: borrar los metadatos en local por reflejo, y dejar de publicar en tiempo real los sitios a los que vuelves —casa, trabajo, la ida al colegio—. Eso cierra la Capa 1 del todo y le niega a la Capa 2 su pista más valiosa, que es un lugar rutinario sobre el que un adversario puede actuar. Todo lo que va por encima depende de tu modelo de amenazas, y quienes necesitan el nivel alto suelen saber ya quiénes son.
El cambio de mentalidad es lo que perdura. La vieja pregunta —«¿me acordé de desactivar el geoetiquetado?»— es una pregunta de Capa 1, y la Capa 1 es casi automática en cuanto ExifTool se te hace costumbre. La pregunta que hoy te protege es de Capa 2: ¿qué dice este encuadre sobre dónde estoy, y se lo entregaría a un desconocido que quisiera encontrarme? Cuando reviso una foto antes de que salga, esa es la única pregunta que me hago, porque es la única que ya no puedo impedir que las máquinas respondan por mí.
Preguntas frecuentes#
¿Borrar los datos EXIF oculta mi ubicación?#
Resuelve la mitad del problema. Quitar el EXIF elimina la coordenada GPS exacta que incrustó tu cámara: un arreglo real y valioso. Pero los modelos de visión actuales deducen la ubicación a partir de la escena visible —arquitectura, vegetación, ángulo del sol, letreros— sin un solo metadato. En pruebas documentadas, el o3 de OpenAI ubicó fotos incluso después de sustituir sus etiquetas GPS por otras falsas. Borra los metadatos como base y trata luego el contenido real de la imagen como la capa más difícil y aún sin resolver.
¿Es seguro publicar una captura en vez de la foto original?#
Una captura quita el EXIF original, así que cierra la capa de metadatos, pero no cambia nada de la imagen en sí. La calle, la silueta urbana y cualquier letrero legible siguen en el encuadre, y una IA los lee en una captura igual de bien que en el archivo original. Una captura cambia el archivo, no lo que aparece en la imagen; no es una defensa de geolocalización.
¿De verdad la IA localiza una foto mejor que una persona?#
Sí, y frente a personas hábiles, no solo novatos. Un modelo de Stanford, PIGEON, identifica el país de una foto el 91,96 % de las veces y venció a un campeón mundial de GeoGuessr en seis partidas. En un benchmark de 2025, un modelo Gemini alcanzó un 64,3 % de acierto a nivel de ciudad donde las personas del test sacaron un 1,7 %. El acierto es desigual según la región, pero el techo —lo que un adversario decidido puede alquilar— es altísimo.
¿Desenfocar el fondo me protege?#
Solo si es lo bastante fuerte. Un desenfoque suave o un pixelado flojo pueden revertirse en parte con técnicas de deblurring, que recuperan texto y detalle. Si un elemento del fondo delataría tu ubicación —un letrero de calle, un edificio característico, un reflejo—, las opciones fiables son un pixelado fuerte o excluirlo por completo del encuadre, no un desenfoque leve.
¿Cuál es el hábito que más protege?#
Deja de publicar los lugares recurrentes de tu vida real —casa, trabajo, el colegio de tu hijo, el gimnasio al que vas con horario fijo—, sobre todo en tiempo real. Una foto suelta de vacaciones es menos riesgo que una rutina sobre la que un adversario puede actuar. Combínalo con borrar el EXIF en local antes de subir la foto y habrás cerrado la capa de metadatos y le habrás negado a la capa de contenido su pista más accionable.
| # | Fuente | URL | Archivo |
|---|---|---|---|
| 1 | Privacy International — “Nowhere to Hide? Privacy Risks and Policy Implications of AI Geolocation” (2026) | https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocation | https://web.archive.org/web/*/https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocation |
| 2 | Haas et al. — “PIGEON: Predicting Image Geolocations” (Stanford, CVPR 2024) | https://arxiv.org/abs/2307.05845 | https://web.archive.org/web/*/https://arxiv.org/abs/2307.05845 |
| 3 | Huang et al. — “AI Sees Your Location, But With A Bias Toward The Wealthy World” (VLMs as GeoGuessr Masters, arXiv, 2025) | https://arxiv.org/abs/2502.11163 | https://web.archive.org/web/*/https://arxiv.org/abs/2502.11163 |
| 4 | Sam Patterson — “Can o3 beat a GeoGuessr Master?” (2025) | https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/ | https://web.archive.org/web/*/https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/ |
| 5 | Simon Willison — “o3 beats a GeoGuessr master” (2025) | https://simonwillison.net/2025/Apr/28/o3-geoguessr/ | https://web.archive.org/web/*/https://simonwillison.net/2025/Apr/28/o3-geoguessr/ |
| 6 | Bellingcat — “Using the Sun and the Shadows for Geolocation” (2020) | https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ | https://web.archive.org/web/*/https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ |
| 7 | TechNADU — “GeoSpy Sparks Privacy Concerns After Public Misuse” (2025) | https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/ | https://web.archive.org/web/*/https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/ |
| 8 | Electronic Frontier Foundation — Surveillance Self-Defense | https://ssd.eff.org/ | https://web.archive.org/web/*/https://ssd.eff.org/ |
| 9 | Meta — Privacy Policy (image metadata retention) | https://www.facebook.com/privacy/policy/ | https://web.archive.org/web/*/https://www.facebook.com/privacy/policy/ |
Este artículo es el complemento —centrado en la foto— de un hilo más amplio en este sitio. La misma inferencia automática, aplicada a tu texto y no a tus imágenes, está trazada en Desanonimización con IA: cómo la inferencia deshace tu anonimato, y los supuestos que la IA rompe en todo tu modelo de amenazas quedan expuestos en OPSEC en la era de la IA: rehaz tu modelo de amenazas. Puesto que una foto localizada no se despublica una vez publicada, la auditoría de lo que de verdad sobrevive al borrado vive en Tu huella digital no se borra. Para esa misma amenaza apuntada a tu cuerpo y no a tu fondo, mira Tu voz y tu rostro ya son contraseñas; y para ver cómo estas técnicas convergen sobre un objetivo real, Cómo se hace doxxing a los streamers y el manual del seudónimo.


