El costo del antivirus gratuito de Avast: las empresas pueden espiar tus clics

Tu antivirus deber√≠a protegerte, pero ¬Ņy si entreg√°is el historial de tu navegador a una importante empresa de marketing? Rel√°jate. Eso es lo que Avast le dijo al p√ļblico despu√©s de que se descubrieran las extensiones de su navegador que recopilaban los datos de los usuarios. ¬ŅPara qu√©? Para suministrarlos a los vendedores. El mes pasado, la compa√Ī√≠a de antivirus intent√≥ justificar la pr√°ctica alegando que los historiales web recopilados fueron despojados de los datos personales de los usuarios antes de ser entregados.

¬ęLos datos est√°n completamente desidentificados y agregados. Adem√°s, no se pueden utilizar para identificarlo personalmente o apuntarle a usted¬Ľ, dijo Avast a los usuarios, que optan por compartir datos. A cambio, se preserva su privacidad, se paga a Avast y los vendedores en l√≠nea obtienen una gran cantidad de datos ¬ęagregados¬Ľ de los consumidores. ¬ŅPara qu√©? Para ayudarlos a vender m√°s productos.

Solo hay un problema: lo que deber√≠a ser un trozo gigante de datos an√≥nimos del historial web en realidad se puede separar. Y por si fuera poco, se puede vincular a los usuarios individuales de Avast, seg√ļn una investigaci√≥n conjunta de PCMag y Motherboard.

C√≥mo puede fallar la ‘desidentificaci√≥n’

 

La divisi√≥n Avast encargada de vender los datos es Jumpshot. Se trata de una subsidiaria de la compa√Ī√≠a que ha estado ofreciendo acceso al tr√°fico de usuarios desde 100 millones de dispositivos, incluidos PC y tel√©fonos. A cambio, los clientes, desde las grandes marcas hasta los proveedores de comercio electr√≥nico, pueden saber qu√© est√°n comprando los consumidores. Tambi√©n d√≥nde, ya sea de una b√ļsqueda de Google o Amazon, un anuncio de un art√≠culo de noticias o una publicaci√≥n en Instagram.

Los datos recopilados son tan granulares que los clientes pueden ver los clics individuales que los usuarios están haciendo en sus sesiones de navegación, incluido el tiempo hasta el milisegundo. Y aunque los datos recopilados nunca están vinculados al nombre, correo electrónico o dirección IP de una persona, cada historial de usuario se asigna a un identificador llamado ID del dispositivo. Esta persistirá a menos que el usuario desinstale el producto antivirus Avast.

Por ejemplo, un solo clic teóricamente puede verse así:

Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 Р2017 Model Р256GB, Rose Gold Behavior: Add to Cart

A primera vista, el clic parece inofensivo. No puede anclarlo a un usuario exacto. Es decir, a menos que sea Amazon.es, que podr√≠a descubrir f√°cilmente qu√© usuario de Amazon compr√≥ un iPad Pro a las 12:03:05 el 1 de diciembre de 2019. De repente, la identificaci√≥n del dispositivo: 123abcx es un usuario conocido. Y cualquier otra cosa que Jumpshot tenga sobre la actividad de 123abcx, desde otras compras de comercio electr√≥nico hasta b√ļsquedas en Google, ya no es an√≥nima.

PCMag y Motherboard aprendieron los detalles que rodean la recopilación de datos de una fuente familiarizada con los productos de Jumpshot. Y los expertos en privacidad con los que hablamos acordaron que la información de la marca de tiempo, las ID de dispositivos persistentes, junto con las URL recopiladas, podrían analizarse para exponer la identidad de alguien.

¬ęLa mayor√≠a de las amenazas planteadas por la anonimizaci√≥n, en la que se identifican personas, provienen de la capacidad de fusionar la informaci√≥n con otros datos¬Ľ, dijo Gunes Acar, un investigador de privacidad que estudia el seguimiento en l√≠nea.

Se√Īala que las principales empresas como Amazon, Google y los minoristas de marca y las empresas de marketing pueden acumular registros de actividad completos en sus usuarios. Con los datos de Jumpshot, las compa√Ī√≠as tienen otra forma de rastrear las huellas digitales de los usuarios en Internet.

¬ęQuiz√°s los datos (de Jumpshot) en s√≠ mismos no identifiquen a las personas¬Ľ, dijo Acar. ¬ęTal vez es solo una lista de ID de usuario hash y algunas URL. Pero siempre se puede combinar con otros datos de otros vendedores, otros anunciantes, que b√°sicamente pueden llegar a la identidad real¬Ľ.

El ‘Feed de todos los clics’

De acuerdo con documentos internos, Jumpshot ofrece una variedad de productos que sirven los datos recopilados del navegador de diferentes maneras. Por ejemplo, un producto se centra en las b√ļsquedas que realizan las personas, incluidas las palabras clave utilizadas y los resultados en los que se hizo clic.

Vimos una instant√°nea de los datos recopilados y vimos registros con consultas sobre temas cotidianos y mundanos. Pero tambi√©n hubo b√ļsquedas sensibles de pornograf√≠a, incluido el sexo de menores de edad, informaci√≥n que nadie querr√≠a vincular a ellas.

Otros productos de Jumpshot est√°n dise√Īados para rastrear qu√© videos est√°n viendo los usuarios en YouTube, Facebook e Instagram. Otro gira en torno al an√°lisis de un dominio de comercio electr√≥nico seleccionado para ayudar a los especialistas en marketing a comprender c√≥mo los usuarios lo est√°n alcanzando.

Pero en lo que respecta a un cliente en particular, Jumpshot parece haber ofrecido acceso a todo. En diciembre de 2018, Omnicom Media Group, un importante proveedor de marketing, firm√≥ un contrato para recibir lo que se denomina ¬ęTodos los clics¬Ľ, o cada clic que Jumpshot recopila de los usuarios de Avast. Normalmente, el feed de todos los clics se vende sin ID de dispositivo ¬ępara proteger contra la triangulaci√≥n de PII (informaci√≥n de identificaci√≥n personal)¬Ľ, dice el manual del producto de Jumpshot. Pero cuando se trata de Omnicom, Jumpshot est√° entregando el producto con ID de dispositivo adjuntas a cada clic, de acuerdo con el contrato.

Además, el contrato exige que Jumpshot suministre la cadena de URL a cada sitio visitado, la URL de referencia, las marcas de tiempo hasta el milisegundo, junto con la sospecha de edad y sexo del usuario. Esta se puede inferir en función de qué sitios es la persona visitando.

No est√° claro por qu√© Omnicom quiere los datos. La empresa no respondi√≥ a las preguntas que le hizo PCMag. Pero el contrato plantea la inquietante perspectiva de que Omnicom puede desentra√Īar los datos de Jumpshot para identificar a los usuarios individuales.

Aunque Omnicom en s√≠ no posee una importante plataforma de Internet, los datos de Jumpshot se env√≠an a una subsidiaria llamada Annalect, que ofrece soluciones tecnol√≥gicas para ayudar a las empresas a fusionar su propia informaci√≥n de clientes con datos de terceros. El contrato de tres a√Īos entr√≥ en vigencia en enero de 2019, y le da a Omnicom acceso a los datos diarios de clics en 14 mercados, incluidos EE. UU., India y el Reino Unido. A cambio, a Jumpshot se le paga $ 6.5 millones.

Qui√©n m√°s podr√≠a tener acceso a los datos de Jumpshot sigue sin estar claro. El sitio web de la compa√Ī√≠a dice que ha trabajado con otras marcas, incluidas IBM, Microsoft y Google. Sin embargo, Microsoft dijo que no tiene una relaci√≥n actual con Jumpshot. IBM, por otro lado, no tiene ¬ęning√ļn registro¬Ľ de ser cliente de Avast o Jumpshot. Google no respondi√≥ a una solicitud de comentarios.

Otros clientes mencionados en el marketing de Jumpshot cubren las compa√Ī√≠as de productos de consumo Unilever, Nestle Purina y Kimberly-Clark, adem√°s del proveedor de TurboTax Intuit. Tambi√©n se nombran las empresas de consultor√≠a e investigaci√≥n de mercado McKinsey & Company y GfK, que se negaron a comentar sobre su asociaci√≥n con Jumpshot. Los intentos de confirmar otras relaciones con los clientes se obtuvieron en gran medida sin respuestas. Pero los documentos que obtuvimos muestran que los datos de Jumpshot posiblemente ir√°n a empresas de capital de riesgo.

‘Es casi imposible desidentificar los datos’

 

Wladimir Palant es el investigador de seguridad que inicialmente provoc√≥ el escrutinio p√ļblico del mes pasado de las pol√≠ticas de recopilaci√≥n de datos de Avast. En octubre, not√≥ algo extra√Īo con las extensiones del navegador de la compa√Ī√≠a antivirus: registraban cada sitio web visitado junto con una identificaci√≥n de usuario y enviaban la informaci√≥n a Avast.

Los hallazgos lo llevaron a llamar a las extensiones como spyware. En respuesta, Google y Mozilla los eliminaron temporalmente hasta que Avast implement√≥ nuevas protecciones de privacidad. A√ļn as√≠, Palant ha estado tratando de entender qu√© quiere decir Avast cuando dice que ¬ędesidentifica¬Ľ y ¬ęagrega¬Ľ los historiales de navegaci√≥n de los usuarios cuando la compa√Ī√≠a antivirus se ha abstenido de revelar p√ļblicamente el proceso t√©cnico exacto.

¬ęLa agregaci√≥n normalmente significar√≠a que los datos de m√ļltiples usuarios se combinan. Si los clientes de Jumpshot a√ļn pueden ver datos de usuarios individuales, eso es realmente malo¬Ľ, dijo Palant en una entrevista por correo electr√≥nico.

Una protecci√≥n que Jumpshot usa para evitar que los clientes identifiquen las identidades reales de los usuarios de Avast es un proceso patentado dise√Īado para eliminar la informaci√≥n de PII, como nombres y direcciones de correo electr√≥nico, de aparecer en las URL recopiladas. Pero incluso con el despojo de PII, Palant dice que la recopilaci√≥n de datos sigue exponiendo innecesariamente a los usuarios de Avast a riesgos de privacidad.

¬ęEs dif√≠cil imaginar que cualquier algoritmo de anonimato pueda eliminar todos los datos relevantes. Simplemente hay demasiados sitios web y cada uno de ellos hace algo diferente¬Ľ, dijo.

Por ejemplo, Palant se√Īala c√≥mo visitar los enlaces URL recopilados para un usuario podr√≠a revelar constantemente qu√© tweets o v√≠deos coment√≥ la persona. Por lo tanto, exponer la identidad real del usuario.

¬ęEs casi imposible desidentificar los datos¬Ľ, dijo Eric Goldman, codirector del Instituto de Derecho de Alta Tecnolog√≠a de la Universidad de Santa Clara, quien tambi√©n cuestion√≥ que una compa√Ī√≠a de antivirus monetizara los datos de los usuarios. ¬ęEso suena como una pr√°ctica comercial terrible. Se supone que deben proteger a los consumidores de las amenazas, en lugar de exponerlos a las amenazas¬Ľ.

¬ŅTe importar√≠a compartir algunos datos con nosotros?

El costo del antivirus gratuito de Avast: las empresas pueden espiar tus clics

 

Le hicimos a Avast más de una docena de preguntas sobre el alcance de los datos recopilados, con quién se comparte, junto con información sobre el contrato de Omnicom. Se negó a responder la mayoría de nuestras preguntas o proporcionar un contacto para Jumpshot, que no respondió a nuestras llamadas o correos electrónicos. Sin embargo, Avast dijo que dejó de recopilar datos de usuario con fines de marketing a través de las extensiones de navegador Avast y AVG.

¬ęDescontinuamos por completo la pr√°ctica de usar cualquier dato de las extensiones del navegador para cualquier otro prop√≥sito que no sea el motor de seguridad central. Esto incluye el intercambio con Jumpshot¬Ľ, dijo la compa√Ī√≠a en un comunicado.

Sin embargo, la divisi√≥n Jumpshot de Avast a√ļn puede recopilar los historiales de su navegador a trav√©s de las principales aplicaciones antivirus de Avast en ordenadores de escritorio y tel√©fonos. Esto incluye el antivirus AVG, que tambi√©n posee Avast. La recolecci√≥n de datos ocurre a trav√©s del componente Web Shield del software. Esta tambi√©n escanear√° las URL en su navegador para detectar sitios web maliciosos o fraudulentos.

Por esta razón, PCMag ya no puede recomendar Avast Free Antivirus como Elección de los Editores en la categoría de protección antivirus gratuita.

Si la compa√Ī√≠a realmente necesita sus URL para protegerlo est√° en debate. Avast dice que tomar la informaci√≥n directamente y dejar que los servidores en la nube de Avast los escaneen de inmediato proporciona a los usuarios ¬ęcapas adicionales de seguridad¬Ľ. Pero el mismo enfoque tiene sus propios riesgos, seg√ļn el investigador de privacidad Gunes Acar, quien dijo que la forma m√°s segura de procesar las URL visitadas es nunca recopilarlas. La API de navegaci√≥n segura de Google, por ejemplo, env√≠a una lista negra actualizada de sitios web incorrectos al navegador de su m√°quina. As√≠ que lo que las URL se pueden verificar en su m√°quina en lugar de hacerlo a trav√©s de la nube.

¬ęSe puede hacer de una manera m√°s privada¬Ľ, dijo Acar. ¬ęAvast definitivamente deber√≠a adoptar eso. Pero parece que est√°n en el negocio de ganar dinero con las URL¬Ľ.

Por otro lado, Avast ofrece un producto antivirus gratuito. La compa√Ī√≠a tambi√©n se√Īala que la colecci√≥n del historial del navegador es opcional. Puede apagarlo en la instalaci√≥n o dentro del panel de configuraci√≥n.

¬ęLos usuarios siempre han tenido la posibilidad de optar por no compartir datos con Jumpshot. A partir de julio de 2019, ya hab√≠amos comenzado a implementar una opci√≥n de aceptaci√≥n expl√≠cita para todas las nuevas descargas de nuestro AV (antivirus). Ahora tambi√©n estamos solicitando nuestro usuarios libres existentes para hacer una elecci√≥n expl√≠cita. Se trata de un proceso que se completar√° en febrero de 2020¬Ľ, dijo la compa√Ī√≠a.

:)