Tu antivirus debería protegerte, pero ¿y si entregáis el historial de tu navegador a una importante empresa de marketing? Relájate. Eso es lo que Avast le dijo al público después de que se descubrieran las extensiones de su navegador que recopilaban los datos de los usuarios. ¿Para qué? Para suministrarlos a los vendedores. El mes pasado, la compañía de antivirus intentó justificar la práctica alegando que los historiales web recopilados fueron despojados de los datos personales de los usuarios antes de ser entregados.
«Los datos están completamente desidentificados y agregados. Además, no se pueden utilizar para identificarlo personalmente o apuntarle a usted», dijo Avast a los usuarios, que optan por compartir datos. A cambio, se preserva su privacidad, se paga a Avast y los vendedores en línea obtienen una gran cantidad de datos «agregados» de los consumidores. ¿Para qué? Para ayudarlos a vender más productos.
Solo hay un problema: lo que debería ser un trozo gigante de datos anónimos del historial web en realidad se puede separar. Y por si fuera poco, se puede vincular a los usuarios individuales de Avast, según una investigación conjunta de PCMag y Motherboard.
Cómo puede fallar la ‘desidentificación’
La división Avast encargada de vender los datos es Jumpshot. Se trata de una subsidiaria de la compañía que ha estado ofreciendo acceso al tráfico de usuarios desde 100 millones de dispositivos, incluidos PC y teléfonos. A cambio, los clientes, desde las grandes marcas hasta los proveedores de comercio electrónico, pueden saber qué están comprando los consumidores. También dónde, ya sea de una búsqueda de Google o Amazon, un anuncio de un artículo de noticias o una publicación en Instagram.
Los datos recopilados son tan granulares que los clientes pueden ver los clics individuales que los usuarios están haciendo en sus sesiones de navegación, incluido el tiempo hasta el milisegundo. Y aunque los datos recopilados nunca están vinculados al nombre, correo electrónico o dirección IP de una persona, cada historial de usuario se asigna a un identificador llamado ID del dispositivo. Esta persistirá a menos que el usuario desinstale el producto antivirus Avast.
Por ejemplo, un solo clic teóricamente puede verse así:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart
A primera vista, el clic parece inofensivo. No puede anclarlo a un usuario exacto. Es decir, a menos que sea Amazon.es, que podría descubrir fácilmente qué usuario de Amazon compró un iPad Pro a las 12:03:05 el 1 de diciembre de 2019. De repente, la identificación del dispositivo: 123abcx es un usuario conocido. Y cualquier otra cosa que Jumpshot tenga sobre la actividad de 123abcx, desde otras compras de comercio electrónico hasta búsquedas en Google, ya no es anónima.
PCMag y Motherboard aprendieron los detalles que rodean la recopilación de datos de una fuente familiarizada con los productos de Jumpshot. Y los expertos en privacidad con los que hablamos acordaron que la información de la marca de tiempo, las ID de dispositivos persistentes, junto con las URL recopiladas, podrían analizarse para exponer la identidad de alguien.
«La mayoría de las amenazas planteadas por la anonimización, en la que se identifican personas, provienen de la capacidad de fusionar la información con otros datos», dijo Gunes Acar, un investigador de privacidad que estudia el seguimiento en línea.
Señala que las principales empresas como Amazon, Google y los minoristas de marca y las empresas de marketing pueden acumular registros de actividad completos en sus usuarios. Con los datos de Jumpshot, las compañías tienen otra forma de rastrear las huellas digitales de los usuarios en Internet.
«Quizás los datos (de Jumpshot) en sí mismos no identifiquen a las personas», dijo Acar. «Tal vez es solo una lista de ID de usuario hash y algunas URL. Pero siempre se puede combinar con otros datos de otros vendedores, otros anunciantes, que básicamente pueden llegar a la identidad real».
El ‘Feed de todos los clics’
De acuerdo con documentos internos, Jumpshot ofrece una variedad de productos que sirven los datos recopilados del navegador de diferentes maneras. Por ejemplo, un producto se centra en las búsquedas que realizan las personas, incluidas las palabras clave utilizadas y los resultados en los que se hizo clic.
Vimos una instantánea de los datos recopilados y vimos registros con consultas sobre temas cotidianos y mundanos. Pero también hubo búsquedas sensibles de pornografía, incluido el sexo de menores de edad, información que nadie querría vincular a ellas.
Otros productos de Jumpshot están diseñados para rastrear qué videos están viendo los usuarios en YouTube, Facebook e Instagram. Otro gira en torno al análisis de un dominio de comercio electrónico seleccionado para ayudar a los especialistas en marketing a comprender cómo los usuarios lo están alcanzando.
Pero en lo que respecta a un cliente en particular, Jumpshot parece haber ofrecido acceso a todo. En diciembre de 2018, Omnicom Media Group, un importante proveedor de marketing, firmó un contrato para recibir lo que se denomina «Todos los clics», o cada clic que Jumpshot recopila de los usuarios de Avast. Normalmente, el feed de todos los clics se vende sin ID de dispositivo «para proteger contra la triangulación de PII (información de identificación personal)», dice el manual del producto de Jumpshot. Pero cuando se trata de Omnicom, Jumpshot está entregando el producto con ID de dispositivo adjuntas a cada clic, de acuerdo con el contrato.
Además, el contrato exige que Jumpshot suministre la cadena de URL a cada sitio visitado, la URL de referencia, las marcas de tiempo hasta el milisegundo, junto con la sospecha de edad y sexo del usuario. Esta se puede inferir en función de qué sitios es la persona visitando.
No está claro por qué Omnicom quiere los datos. La empresa no respondió a las preguntas que le hizo PCMag. Pero el contrato plantea la inquietante perspectiva de que Omnicom puede desentrañar los datos de Jumpshot para identificar a los usuarios individuales.
Aunque Omnicom en sí no posee una importante plataforma de Internet, los datos de Jumpshot se envían a una subsidiaria llamada Annalect, que ofrece soluciones tecnológicas para ayudar a las empresas a fusionar su propia información de clientes con datos de terceros. El contrato de tres años entró en vigencia en enero de 2019, y le da a Omnicom acceso a los datos diarios de clics en 14 mercados, incluidos EE. UU., India y el Reino Unido. A cambio, a Jumpshot se le paga $ 6.5 millones.
Quién más podría tener acceso a los datos de Jumpshot sigue sin estar claro. El sitio web de la compañía dice que ha trabajado con otras marcas, incluidas IBM, Microsoft y Google. Sin embargo, Microsoft dijo que no tiene una relación actual con Jumpshot. IBM, por otro lado, no tiene «ningún registro» de ser cliente de Avast o Jumpshot. Google no respondió a una solicitud de comentarios.
Otros clientes mencionados en el marketing de Jumpshot cubren las compañías de productos de consumo Unilever, Nestle Purina y Kimberly-Clark, además del proveedor de TurboTax Intuit. También se nombran las empresas de consultoría e investigación de mercado McKinsey & Company y GfK, que se negaron a comentar sobre su asociación con Jumpshot. Los intentos de confirmar otras relaciones con los clientes se obtuvieron en gran medida sin respuestas. Pero los documentos que obtuvimos muestran que los datos de Jumpshot posiblemente irán a empresas de capital de riesgo.
‘Es casi imposible desidentificar los datos’
Wladimir Palant es el investigador de seguridad que inicialmente provocó el escrutinio público del mes pasado de las políticas de recopilación de datos de Avast. En octubre, notó algo extraño con las extensiones del navegador de la compañía antivirus: registraban cada sitio web visitado junto con una identificación de usuario y enviaban la información a Avast.
Los hallazgos lo llevaron a llamar a las extensiones como spyware. En respuesta, Google y Mozilla los eliminaron temporalmente hasta que Avast implementó nuevas protecciones de privacidad. Aún así, Palant ha estado tratando de entender qué quiere decir Avast cuando dice que «desidentifica» y «agrega» los historiales de navegación de los usuarios cuando la compañía antivirus se ha abstenido de revelar públicamente el proceso técnico exacto.
«La agregación normalmente significaría que los datos de múltiples usuarios se combinan. Si los clientes de Jumpshot aún pueden ver datos de usuarios individuales, eso es realmente malo», dijo Palant en una entrevista por correo electrónico.
Una protección que Jumpshot usa para evitar que los clientes identifiquen las identidades reales de los usuarios de Avast es un proceso patentado diseñado para eliminar la información de PII, como nombres y direcciones de correo electrónico, de aparecer en las URL recopiladas. Pero incluso con el despojo de PII, Palant dice que la recopilación de datos sigue exponiendo innecesariamente a los usuarios de Avast a riesgos de privacidad.
«Es difícil imaginar que cualquier algoritmo de anonimato pueda eliminar todos los datos relevantes. Simplemente hay demasiados sitios web y cada uno de ellos hace algo diferente», dijo.
Por ejemplo, Palant señala cómo visitar los enlaces URL recopilados para un usuario podría revelar constantemente qué tweets o vídeos comentó la persona. Por lo tanto, exponer la identidad real del usuario.
«Es casi imposible desidentificar los datos», dijo Eric Goldman, codirector del Instituto de Derecho de Alta Tecnología de la Universidad de Santa Clara, quien también cuestionó que una compañía de antivirus monetizara los datos de los usuarios. «Eso suena como una práctica comercial terrible. Se supone que deben proteger a los consumidores de las amenazas, en lugar de exponerlos a las amenazas».
¿Te importaría compartir algunos datos con nosotros?
Le hicimos a Avast más de una docena de preguntas sobre el alcance de los datos recopilados, con quién se comparte, junto con información sobre el contrato de Omnicom. Se negó a responder la mayoría de nuestras preguntas o proporcionar un contacto para Jumpshot, que no respondió a nuestras llamadas o correos electrónicos. Sin embargo, Avast dijo que dejó de recopilar datos de usuario con fines de marketing a través de las extensiones de navegador Avast y AVG.
«Descontinuamos por completo la práctica de usar cualquier dato de las extensiones del navegador para cualquier otro propósito que no sea el motor de seguridad central. Esto incluye el intercambio con Jumpshot», dijo la compañía en un comunicado.
Sin embargo, la división Jumpshot de Avast aún puede recopilar los historiales de su navegador a través de las principales aplicaciones antivirus de Avast en ordenadores de escritorio y teléfonos. Esto incluye el antivirus AVG, que también posee Avast. La recolección de datos ocurre a través del componente Web Shield del software. Esta también escaneará las URL en su navegador para detectar sitios web maliciosos o fraudulentos.
Por esta razón, PCMag ya no puede recomendar Avast Free Antivirus como Elección de los Editores en la categoría de protección antivirus gratuita.
Si la compañía realmente necesita sus URL para protegerlo está en debate. Avast dice que tomar la información directamente y dejar que los servidores en la nube de Avast los escaneen de inmediato proporciona a los usuarios «capas adicionales de seguridad». Pero el mismo enfoque tiene sus propios riesgos, según el investigador de privacidad Gunes Acar, quien dijo que la forma más segura de procesar las URL visitadas es nunca recopilarlas. La API de navegación segura de Google, por ejemplo, envía una lista negra actualizada de sitios web incorrectos al navegador de su máquina. Así que lo que las URL se pueden verificar en su máquina en lugar de hacerlo a través de la nube.
«Se puede hacer de una manera más privada», dijo Acar. «Avast definitivamente debería adoptar eso. Pero parece que están en el negocio de ganar dinero con las URL».
Por otro lado, Avast ofrece un producto antivirus gratuito. La compañía también señala que la colección del historial del navegador es opcional. Puede apagarlo en la instalación o dentro del panel de configuración.
:)«Los usuarios siempre han tenido la posibilidad de optar por no compartir datos con Jumpshot. A partir de julio de 2019, ya habíamos comenzado a implementar una opción de aceptación explícita para todas las nuevas descargas de nuestro AV (antivirus). Ahora también estamos solicitando nuestro usuarios libres existentes para hacer una elección explícita. Se trata de un proceso que se completará en febrero de 2020», dijo la compañía.