… eres el producto. Es una faceta particularmente oscura de los programas y servicios «gratuitos» en la Web, y a pesar de los reclamos por una mayor transparencia, está claro que la práctica sigue vigente, aunque sea en segundo plano. La gente de Motherboard y PCMag acaba de publicar una investigación basada en documentos filtrados de una subsidiaria de Avast llamada Jumpshot. Los documentos confirman la venta de datos recolectados por el antivirus Avast, incluyendo búsquedas, clics, y compras hechas en línea, pero si hay algo tan preocupante como esta extracción, es la lista de compradores…
Avast reporta oficialmente unos 435 millones de usuarios activos. El motor principal detrás de ese número es su antivirus gratuito, y no es una locura imaginar que la compañía trate de monetizarlo. La pregunta es: ¿Hasta qué extremo está dispuesto a llegar? El primer punto de conflicto surgió en octubre del año pasado, cuando el creador de la extensión Adblock Plus Wladimir Palant publicó en su blog personal que las extensiones de Avast y AVG estaban recolectando una masiva cantidad de datos, a un nivel tal que era posible reconstruir historiales completos de navegación, y buena parte del comportamiento del usuario en la Web.
Después de un bloqueo inicial por parte de Firefox, Avast confirmó que lanzaría versiones más «transparentes» de sus extensiones… pero todo parece indicar que su maniobra definitiva fue mover la mecánica de recolección al propio antivirus. Una investigación publicada por Motherboard y PCMag, basada en documentos filtrados de la subsidiaria Jumpshot (a la que Avast adquirió en 2013), revela que Avast está vendiendo información sensible de sus usuarios a clientes de muy alto perfil, entre los que se destacan Google, Microsoft, Pepsi, IBM, Loreal, Condé Nast y Home Depot.
Ahora, se supone que la recolección de datos en Avast es opt-in, pero no son pocos los usuarios que ignoraban la venta de esa información a terceros. Un análisis más avanzado confirma la obtención de búsquedas en Google, ubicaciones y coordenadas GPS en Google Maps, visitas a perfiles de compañías en LinkedIn, vídeos de YouTube, e ingresos a portales de contenido para adultos (PornHub, YouPorn). De hecho, también aparecen los términos utilizados en dichos portales, y hasta vídeos específicos. Este mega-paquete de datos no incluye elementos de identificación personal, sin embargo, no es posible descartar la posibilidad de desanonimizar a algunos usuarios.
La comercialización de estos datos se lleva a cabo bajo diferentes líneas de productos que son ofrecidas por Jumpshot a sus clientes. Uno de los más perturbadores tiene el nombre de «All Click Feed», y permite a todos los interesados adquirir detalles sobre los clics que Jumpshot detecta en dominios particulares, como Amazon, Walmart, Target, Best Buy o eBay. Incluso en su cuenta de Twitter hablan de «Cada búsqueda. Cada clic. Cada compra. En cada sitio.».
Y están pagando una verdadera fortuna. Una compañía de márketing neoyorquina, Omnicon Media, abonó más de seis millones y medio de dólares por el acceso a datos en 2019, 2020 y 2021. Lo que recibió Omnicom hasta ahora son los feeds de clics en 14 países diferentes, desde los Estados Unidos hasta Nueva Zelanda. A partir del «comportamiento de navegación», el producto «deduce» el género del usuario, y su edad.
Y así llegamos a otro aspecto preocupante: Cada historial de usuario tiene un «Device ID» asignado de forma permanente. Si alguien combina la cantidad suficiente de datos, ese Device ID podría deshacer cualquier intento de anonimización. De acuerdo con Eric Goldman, director del Instituto de Leyes de Alta Tecnología en la Universidad de Santa Clara, es «casi imposible» anonimizar o des-identificar datos. En resumen, hasta que una política más avanzada de transparencia y privacidad no entre en efecto, sólo podemos recomendar la desinstalación de Avast, AVG, y todos sus productos asociados.
Fuente: Motherboard
Fuente: PCMag