Avast vendía los datos privados de navegación de millones de usuarios

150
Avast

Hoy se celebra el Día de la Protección de Datos, una de las grandes preocupaciones de los ciudadanos, las empresas y los Estados. La vulnerabilidad es evidente, como han podido apreciar los usuarios de Avast. De ahí que tomemos nuestras precauciones y borremos, de cuando en cuando, mensajes y documentos de nuestro móvil o navegador.

El problema es que no siempre se borran del todo. Los usuarios de Avast borraban sus historiales, pero la compañía los iba recopilando para vender enormes cantidades de datos a numerosas grandes compañías de todo el mundo.

Se calcula que el antivirus Avast lo usan en torno a 435 millones de usuarios. En los últimos meses, como recuerda Genbeta, la compañía se ha visto inmersa en varias polémicas: primero fueron los hackeos y problemas de privacidad en su software CCleaner y después la retirada de su extensión antivirus de las tiendas oficiales de Mozilla, Chrome y Opera por problemas relacionados con la recopilación de datos.

Ahora, una investigación conjunta de dos medios tecnológicos estaodunidenses, PCMag y Motherboard, ha desvelado que Avast ha estado vendiendo datos de navegación privados de sus usuarios a algunas de las mayores compañías del mundo, a través de una compañía subsidiaria llamado Jumpshot. ¿Sus clientes? Google, Microsoft, Pepsi, Expedia, Yelp, Home Depot, Sephora, Loreal, McKinsey o Condé Nast, entre muchos otros.

Los datos extraídos de los historiales de navegación eran recopilados y empaquetados por Jumpshot en varios productos diferentes con los que prometía “proporcionar a las compañías una visión más completa de todo el recorrido online del usuario”. Entre ellos, uno denominado ‘All Clicks Feed’, que permite seguir de cerca el comportamiento de los usuarios con respecto a un dominio en particular.

La información recopilada no incluye los datos personales más obvios, pero sí una ingente cantidad sobre datos de navegación bastante específicos, que podrían facilitar la identificación de los usuarios. De hecho, según uno de los compradores de All Clicks Feed, la firma de marketing Omnicom Media Group, Jumpshot les habría proporcionado información sobre el género y edad de los usuarios, “inferidos en función del comportamiento de navegación”.

Avast reconstruye de una manera muy precisa tu comportamiento de navegación

Pero, potencialmente, la información personal que se podría deducir de esos datos es mucho más completa: para hacernos una idea de los fácil que esto podría ser y las consecuencias que podría tener, hablamos de búsquedas de ubicaciones y coordenadas GPS en Google Maps, de vídeos particulares en Youtube, de perfiles de LinkeIn, de búsquedas web de Google… y de accesos a páginas porno como YouPorn y PornHub. 

“La anonimización ha demostrado ser un proceso propenso a fallos: hay muchas maneras en que puede salir mal. La mayoría de las amenazas [en este sentido] provienen de la capacidad para fusionar la información con otros datos”, afirmaba en el reportaje Günes Acar, experto en ciberseguridad de la Universidad Católica de Lovaina.

No es tan difícil: dado que los datos que Jumpshot proporciona a las empresas incluyen marcas de tiempo detalladas hasta el milisegundo, cualquiera de ellas puede cruzar dicha información con sus propias bases de datos, e identificar al cliente X que hizo determinada compra a determinada hora en su propio sitio web y a partir de ahí reconstruir toda su sesión de navegación… y deducir de paso ideología política, parafilias sexuales, lecturas favoritas e incluso en qué proyectos está trabajando a nivel laboral.

De la extensión de Avast para navegadores, que oficialmente se limitaba a verificar si los sitios que visitaba el usuario eran o no de fiar, Wladimir Palant (creador de Adblock Plus) afirmaba que su funcionamiento “excede con creces lo que sería necesario”.

“Avast reconstruye de una manera casi precisa tu comportamiento de navegación: cuántas pestañas tienes abiertas, qué páginas visitas y cuándo, cuánto tiempo pasas leyendo/viendo contenidos, en qué haces clic y cuándo cambias a otra pestaña”.

Una vez que Mozilla, Opera y Google sacaron esas extensiones de circulación y ya no podían ser fuente de los datos de los que se alimenta Jumpshot, Avast empezó a solicitar a los usuarios de su antivirus que otorgaran su permiso para la recopilación de datos.

Como recuerda Genbeta, la compañía afirma que Jumpshot cumple tanto con el Reglamento General de Protección de Datos (GDPR) como con su equivalente californiano, la CCPA. Por su parte, pocas compañías respondieron a las preguntas de Motherboard y PCMag acerca del uso que le estaban dando a los datos comprador.