Su antivirus debe protegerlo, pero ¿qué pasa si está entregando su historial del navegador a una importante empresa de marketing?
Relajarse. Eso es lo que Avast le dijo al público después de que se encontraran sus extensiones de navegador recolectando los datos de los usuarios para suministrarlos a los marketers. El mes pasado, la compañía de antivirus trató de justificar la práctica alegando que los historiales web recopilados fueron despojados de los datos personales de los usuarios antes de ser entregados.,
«Los datos están totalmente desidentificados y agregados, y no se pueden utilizar para identificarle personalmente ni para dirigirse a usted», dijo Avast a los usuarios, que optan por compartir los datos. A cambio, se preserva su privacidad, se paga a Avast y los vendedores en línea obtienen un tesoro de datos «agregados» de los consumidores para ayudarlos a vender más productos.
solo hay un problema: lo que debería ser una gran cantidad de datos anónimos del historial web en realidad se pueden separar y vincular a usuarios individuales de Avast, según una investigación conjunta de PCMag y Motherboard.,
cómo puede fallar la ‘desidentificación’
La división de Avast encargada de vender los datos es Jumpshot, una subsidiaria de la compañía que ha estado ofreciendo acceso al tráfico de usuarios desde 100 millones de dispositivos, incluidos PC y teléfonos. A cambio, los clientes, desde grandes marcas hasta proveedores de comercio electrónico, pueden aprender qué están comprando los consumidores y dónde, ya sea a través de una búsqueda de Google o Amazon, un anuncio de un artículo de noticias o una publicación en Instagram.,
los datos recopilados son tan granulares que los clientes pueden ver los clics individuales que los usuarios están haciendo en sus sesiones de navegación, incluido el tiempo hasta el milisegundo. Y aunque los datos recopilados nunca se vinculan al nombre, correo electrónico o dirección IP de una persona, cada historial de usuario se asigna a un identificador llamado ID de dispositivo, que persistirá a menos que el usuario desinstale el producto antivirus Avast.
por ejemplo, un solo clic teóricamente puede verse así:
a primera vista, el clic parece inofensivo. No se puede fijar a un usuario exacto., Eso es, a menos que estés Amazon.com, que podría averiguar fácilmente qué usuario de Amazon compró un iPad Pro a las 12: 03: 05 en diciembre. 1, 2019. De repente, device ID: 123abcx es un usuario conocido. Y cualquier otra cosa que Jumpshot tiene en la actividad de 123abcx, desde otras compras de comercio electrónico hasta búsquedas en Google, ya no es anónima.
PCMag y Motherboard aprendieron sobre los detalles que rodean la recopilación de datos de una fuente familiarizada con los productos de Jumpshot., Y los expertos en privacidad con los que hablamos acordaron que la información de la marca de tiempo, los identificadores de dispositivos persistentes y las URL recopiladas podrían analizarse para exponer la identidad de alguien.
«La mayoría de las amenazas que plantea la desanonimización, donde se identifican personas, proviene de la capacidad de combinar la información con otros datos», dijo Gunes Acar, un investigador de privacidad que estudia el seguimiento en línea.
señala que las principales compañías como Amazon, Google y los minoristas de marca y las empresas de marketing pueden acumular registros de actividad completos en sus usuarios., Con los datos de Jumpshot, las empresas tienen otra forma de rastrear las huellas digitales de los usuarios a través de internet.
¿Busca ofertas en la última tecnología?
este boletín puede contener publicidad, ofertas o enlaces de Afiliados. La suscripción a un boletín informativo indica su consentimiento a nuestros términos de uso y Política de privacidad. Puede darse de baja en cualquier momento.
«tal vez los datos (de salto) en sí no identifican a las personas», dijo Acar. «Tal vez sea solo una lista de ID de usuario con hash y algunas url., Pero siempre se puede combinar con otros datos de otros marketers, otros anunciantes, que básicamente pueden llegar a la identidad real.»
El ‘All Clicks Feed’
de acuerdo con los documentos internos, Jumpshot ofrece una variedad de productos que sirven los datos recopilados del navegador de diferentes maneras. Por ejemplo, un producto se centra en las búsquedas que las personas están haciendo, incluidas las palabras clave utilizadas y los resultados en los que se hizo clic.
vimos una instantánea de los datos recopilados y vimos registros con consultas sobre temas cotidianos y cotidianos., Pero también hubo búsquedas sensibles de pornografía, incluida la información sexual de menores de edad, que nadie querría atado a ellos.Facebook Instagram
otros productos Jumpshot están diseñados para realizar un seguimiento de los vídeos que los usuarios están viendo en YouTube, Facebook e Instagram. Otro gira en torno al análisis de un dominio de comercio electrónico selecto para ayudar a los marketers a comprender cómo los usuarios lo están alcanzando.
pero en lo que respecta a un cliente en particular, Jumpshot parece haber ofrecido acceso a todo., En diciembre de 2018, Omnicom Media Group, uno de los principales proveedores de marketing, firmó un contrato para recibir lo que se llama el «Feed de todos los clics», o cada salto de clic que se está recopilando de los usuarios de Avast. Normalmente, el Feed de todos los clics se vende sin ID de dispositivo «para proteger contra la triangulación de PII (información de identificación personal)», dice el manual del producto de Jumpshot. Pero cuando se trata de Omnicom, Jumpshot está entregando el producto con ID de dispositivo adjuntos a cada clic, de acuerdo con el contrato.,
Además, el contrato requiere que Jumpshot proporcione la cadena de URL a cada sitio visitado, la URL de referencia, las marcas de tiempo hasta el milisegundo, junto con la edad sospechada y el género del usuario, que se puede inferir en función de los sitios que la persona está visitando.
no está claro por qué Omnicom quiere los datos. La compañía no respondió a nuestras preguntas. Pero el contrato plantea la perspectiva inquietante Omnicom puede desentrañar los datos de Jumpshot para identificar a los usuarios individuales.,
aunque Omnicom no posee una plataforma de internet importante, los datos de Jumpshot se envían a una subsidiaria llamada Annalect, que ofrece soluciones tecnológicas para ayudar a las empresas a combinar su propia información de clientes con datos de terceros. El contrato de tres años entró en vigor en enero de 2019 y le da a Omnicom acceso a los datos de flujo de Clics diarios en 14 mercados, incluidos Estados Unidos, India y Reino Unido. A cambio, Jumpshot recibe paid 6.5 millones.
Quién más podría tener acceso a los datos de Jumpshot no está claro., El sitio web de la compañía dice que ha trabajado con otras marcas, incluidas IBM, Microsoft y Google. Sin embargo, Microsoft dijo que no tiene ninguna relación actual con Jumpshot. IBM, por otro lado, no tiene «registro» de ser un cliente de Avast o Jumpshot. Google no respondió a una solicitud de comentarios.
otros clientes mencionados en el marketing de Jumpshot cubren las compañías de productos de consumo Unilever, Nestlé Purina y Kimberly-Clark, además del proveedor de TurboTax Intuit., También se nombran las firmas de investigación de mercado y consultoría McKinsey & Company y GfK, que se negaron a comentar sobre su asociación con Jumpshot. Los intentos de confirmar otras relaciones con los clientes se encontraron en gran medida con ninguna respuesta. Pero los documentos que obtuvimos muestran los datos de salto posiblemente yendo a empresas de capital de riesgo.
‘es casi imposible Desidentificar los datos’
Wladimir Palant es el investigador de seguridad que provocó inicialmente el escrutinio público del mes pasado de las políticas de recopilación de datos de Avast., En octubre, notó algo extraño con las extensiones de navegador de la compañía antivirus: registraban cada sitio web visitado junto con un ID de usuario y enviaban la información a Avast.
Los hallazgos le llevaron a llamar a las extensiones como spyware. En respuesta, Google y Mozilla los eliminaron temporalmente hasta que Avast implementara nuevas protecciones de privacidad. Aún así, Palant ha estado tratando de entender lo que Avast quiere decir cuando dice que «desidentifica» y «agrega» los historiales del navegador de los usuarios cuando la compañía antivirus se ha abstenido de revelar públicamente el proceso técnico exacto.,
» la agregación normalmente significaría que los datos de múltiples usuarios se combinan. Si los clientes de Jumpshot todavía pueden ver los datos de los usuarios individuales, eso es realmente malo», dijo Palant en una entrevista por correo electrónico.
One safeguard Jumpshot utiliza para evitar que los clientes identifiquen las identidades reales de los usuarios de Avast es un proceso patentado diseñado para eliminar la información de PII, como nombres y direcciones de correo electrónico, de las direcciones URL recopiladas. Pero incluso con la eliminación de PII, Palant dice que la recopilación de datos sigue exponiendo innecesariamente a los usuarios de Avast a riesgos de privacidad.,
«es difícil imaginar que cualquier algoritmo de anonimización será capaz de eliminar todos los datos relevantes. Simplemente hay demasiados sitios web por ahí, y cada uno de ellos hace algo diferente», dijo. Por ejemplo, Palant señala cómo visitar los enlaces URL recopilados para un usuario podría revelar consistentemente qué tweets o videos comentó la persona y, por lo tanto, exponer la identidad real del usuario.,
«es casi imposible desidentificar los datos», dijo Eric Goldman, codirector del Instituto de derecho de alta tecnología de la Universidad de Santa Clara, quien también discrepó con una compañía de antivirus que monetizaba los datos de los usuarios. «Eso suena como una terrible práctica de negocios. Se supone que deben proteger a los consumidores de amenazas, en lugar de exponerlos a amenazas.»
‘ ¿te importa compartir algunos datos con nosotros?»
hicimos a Avast más de una docena de preguntas sobre el alcance de los datos recopilados, con quién se comparten, junto con información sobre el contrato de Omnicom., Se negó a responder a la mayoría de nuestras preguntas o proporcionar un contacto para Jumpshot, que no respondió a nuestras llamadas o correos electrónicos. Sin embargo, Avast dijo que dejó de recopilar datos de usuarios con fines de marketing a través de las extensiones de navegador Avast y AVG.
«hemos descontinuado por completo la práctica de utilizar los datos de las extensiones del navegador para cualquier otro propósito que el motor de seguridad central, incluyendo el intercambio con Jumpshot,» la compañía dijo en un comunicado.,
sin embargo, la División Jumpshot de Avast aún puede recopilar los historiales de su navegador a través de las principales aplicaciones antivirus de Avast en equipos de escritorio y móviles. Esto incluye AVG antivirus, que Avast también posee. La recolección de datos se produce a través del componente Web Shield del software, que también escaneará las URL de su navegador para detectar sitios web maliciosos o fraudulentos.
Por esta razón, PCMag ya no puede recomendar Avast Free Antivirus como opción de los editores en la categoría de protección antivirus gratuita.
si la empresa realmente necesita tus URLs para protegerte está abierto a debate., Avast dice que tomar la información directamente y permitir que los servidores en la nube de Avast la escaneen inmediatamente proporciona a los usuarios «capas adicionales de seguridad».»Pero el mismo enfoque tiene sus propios riesgos, según el investigador de privacidad Gunes Acar, quien dijo que la forma más segura de procesar las URL visitadas es nunca recopilarlas. La API de Navegación Segura de Google, por ejemplo, envía una lista negra actualizada de sitios web defectuosos al navegador de su máquina, por lo que las URL se pueden verificar en su máquina en lugar de en la nube.
«se puede hacer de una manera más privada», dijo Acar. «Avast definitivamente debería adoptar eso., Pero parece que están en el negocio de hacer dinero con las URL.»
Por otro lado, Avast ofrece un producto antivirus gratuito. La compañía también señala que la recopilación del historial del navegador es opcional. Puede apagarlo en la instalación o en el panel de configuración.
«Los usuarios siempre han tenido la posibilidad de optar por no compartir datos con Jumpshot., A partir de julio de 2019, ya habíamos comenzado a implementar una opción de suscripción explícita para todas las nuevas descargas de nuestro AV (antivirus), y ahora también estamos instando a nuestros usuarios gratuitos existentes a hacer una elección explícita, un proceso que se completará en febrero de 2020», dijo la compañía.
de hecho, cuando instale Avast o AVG antivirus en un PC con Windows, el producto le mostrará una ventana emergente que le preguntará: «¿le importa compartir algunos datos con nosotros?»La ventana emergente procederá a decirle que los datos recopilados serán desidentificados y agregados como una forma de proteger su privacidad.,
sin embargo, no se menciona cómo se pueden combinar los mismos datos con otra información para conectar su identidad con el historial del navegador recopilado. Tampoco menciona la ventana emergente cómo Jumpshot puede retener el acceso a los datos durante tres años. Para obtener ese detalle, tendrá que consultar la letra pequeña en la política de privacidad de Avast.
como resultado, los usuarios que ven la ventana emergente pueden asumir que sus datos estarán protegidos y optar cuando en realidad, las políticas de Privacidad en torno a los productos tecnológicos a menudo son deliberadamente vagas y simplificadas. «Quieres que el consumidor compre o use tu producto., Pero tampoco quieres asustarlos», dijo Kim Phan, socio de la firma legal Ballard Spahr, que trabaja en privacy and data security group.
la compensación es que las políticas pueden volverse opacas. «Es más difícil averiguar lo que estás haciendo», agregó. «La gente no será capaz de entender los detalles, o pensarán que estás tratando de ocultar algo.
en el caso de Avast, la controversia en torno a las prácticas de recopilación de datos en gran parte desconocidas provocó suficiente escrutinio que el senador estadounidense Ron Wyden decidió investigar., «Los estadounidenses esperan que el software de ciberseguridad y Privacidad proteja sus datos, no los venda a los vendedores», tuiteó en ese momento.
en un comunicado, Wyden dijo que se sentía alentado de que Avast está terminando la recopilación de datos a través de las extensiones del navegador de la compañía. «Sin embargo, me preocupa que Avast aún no se haya comprometido a eliminar los datos de usuario que se recopilaron y compartieron sin el consentimiento de sus usuarios, o a poner fin a la venta de datos confidenciales de navegación por internet», agregó., «El único curso de acción responsable es ser totalmente transparente con los clientes en el futuro, y purgar los datos que se recopilaron en condiciones sospechosas en el pasado.
actualización 1/30: después de que la investigación conjunta de PCMag y Motherboard hizo olas, incluido el senador Mark Warner reprendiendo a la FTC por dejar caer la pelota en la supervisión, Avast anunció que cerraría las operaciones en Jumpshot. «Como CEO de Avast, me siento personalmente responsable y me gustaría disculparme con todos los interesados», dijo Ondrej Vlcek en un comunicado.
