Hoy se celebra el Día de la Protección de Datos, una de las grandes preocupaciones de los ciudadanos, las empresas y los Estados. La vulnerabilidad es evidente, como han podido apreciar los usuarios de Avast. De ahí que tomemos nuestras precauciones y borremos, de cuando en cuando, mensajes y documentos de nuestro móvil o navegador.
El problema es que no siempre se borran del todo. Los usuarios de Avast borraban sus historiales, pero la compañía los iba recopilando para vender enormes cantidades de datos a numerosas grandes compañías de todo el mundo.
Se calcula que el antivirus Avast lo usan en torno a 435 millones de usuarios. En los últimos meses, como recuerda Genbeta, la compañía se ha visto inmersa en varias polémicas: primero fueron los hackeos y problemas de privacidad en su software CCleaner y después la retirada de su extensión antivirus de las tiendas oficiales de Mozilla, Chrome y Opera por problemas relacionados con la recopilación de datos.
Ahora, una investigación conjunta de dosmedios tecnológicos estaodunidenses, PCMag y Motherboard, ha desveladoque Avast ha estado vendiendo datos de navegación privados de sus usuariosa algunas de las mayores compañías del mundo, a través de una compañíasubsidiaria llamado Jumpshot. ¿Sus clientes? Google, Microsoft, Pepsi, Expedia,Yelp, Home Depot, Sephora, Loreal, McKinsey o Condé Nast, entre muchos otros.
Los datos extraídos de los historiales de navegación eran recopilados y empaquetados por Jumpshot en varios productos diferentes con los que prometía "proporcionar a las compañías una visión más completa de todo el recorrido online del usuario". Entre ellos, uno denominado 'All Clicks Feed', que permite seguir de cerca el comportamiento de los usuarios con respecto a un dominio en particular.
La información recopilada noincluye los datos personales más obvios, pero sí una ingente cantidad sobredatos de navegación bastante específicos, que podrían facilitar laidentificación de los usuarios. De hecho, según uno de los compradores de AllClicks Feed, la firma de marketing Omnicom Media Group, Jumpshot les habría proporcionadoinformación sobre el género y edad de los usuarios, "inferidos en funcióndel comportamiento de navegación".
Avast reconstruye de una manera muy precisa tu comportamiento de navegación
Pero, potencialmente, la información personal que se podría deducir de esos datos es mucho más completa: para hacernos una idea de los fácil que esto podría ser y las consecuencias que podría tener, hablamos de búsquedas de ubicaciones y coordenadas GPS en Google Maps, de vídeos particulares en Youtube, de perfiles de LinkeIn, de búsquedas web de Google... y de accesos a páginas porno como YouPorn y PornHub.
"La anonimización ha demostrado serun proceso propenso a fallos: hay muchas maneras en que puede salir mal. Lamayoría de las amenazas [en este sentido] provienen de la capacidad parafusionar la información con otros datos", afirmaba en el reportaje GünesAcar, experto en ciberseguridad de la Universidad Católica de Lovaina.
No es tan difícil: dado que losdatos que Jumpshot proporciona a las empresas incluyen marcas de tiempodetalladas hasta el milisegundo, cualquiera de ellas puede cruzar dicha informacióncon sus propias bases de datos, e identificar al cliente X que hizo determinadacompra a determinada hora en su propio sitio web y a partir de ahí reconstruirtoda su sesión de navegación... y deducir de paso ideología política,parafilias sexuales, lecturas favoritas e incluso en qué proyectos estátrabajando a nivel laboral.
De la extensión de Avast para navegadores, que oficialmente se limitaba a verificar si los sitios que visitaba el usuario eran o no de fiar, Wladimir Palant (creador de Adblock Plus) afirmaba que su funcionamiento "excede con creces lo que sería necesario".
"Avast reconstruye de una manera casi precisa tu comportamiento de navegación: cuántas pestañas tienes abiertas, qué páginas visitas y cuándo, cuánto tiempo pasas leyendo/viendo contenidos, en qué haces clic y cuándo cambias a otra pestaña".
Una vez que Mozilla, Opera y Googlesacaron esas extensiones de circulación y ya no podían ser fuente de los datosde los que se alimenta Jumpshot, Avast empezó a solicitar a los usuarios de suantivirus que otorgaran su permiso para la recopilación de datos.
Como recuerda Genbeta, la compañía afirma que Jumpshot cumple tanto con el Reglamento General de Protección de Datos (GDPR) como con su equivalente californiano, la CCPA. Por su parte, pocas compañías respondieron a las preguntas de Motherboard y PCMag acerca del uso que le estaban dando a los datos comprador.