El negocio de los datos no pierde fuerza y va mucho más allá de lo que nos espían altavoces inteligentes. Ahora la sorpresa ha sido un popular antivirus, ya que se ha podido saber que Avast ha recopilado y vendido cantidades ingentes de datos de los usuarios.
Se trata de un software muy popular en parte por ser gratuito, usado por unos 435 millones de usuario al mes. Con estas cifras de uso y teniendo en cuenta a lo que tiene acceso el antivirus en el equipo, la cantidad de información que la empresa puede obtener es considerable y todo apunta a que el negocio lo ha sido también.
Datos jugosos y clientes poderosos
La información se ha sabido gracias a una investigación conjunta de PCMag y Motherboard. Los medios estadounidenses han desvelado que Avast ha estado vendiendo datos de navegación privados de sus usuarios a través de la compañía subsidiaria Jumpshot, que ofrece acceso al tráfico de más de 100 millones de dispositivos incluyendo ordenadores y móviles.
¿Quién ha comprado esa información? Clientes que probablemente os serán familiares al ser empresas muy poderosas, tanto como Google, Microsoft, Pepsi, Expedia, Yelp, Home Depot, Sephora, L'Oreal, McKinsey o Condé Nast, entre muchas muchas.
Según explican los medios, los datos de navegación se recogían y empaquetaban por esta subsidiaria en varios productos con los que se prometía "proporcionar a las compañías una visión más completa de todo el recorrido online del usuario". Una manera de poder conocer dónde los usuarios hacen clic, a qué sitios web van, de qué sitios web vienen y qué es lo que visitan.
Información como qué vídeos vemos en YouTube, qué buscamos en Google, dónde abrimos el correo, los perfiles de LinkedIn e incluso las búsquedas en páginas pornográficas como PornHub. Una fuente de datos que sin llegar a ser estrictamente personales al final pueden dar muchas pistas.
Es decir, el tipo de datos que se han recogido son de navegación, pero pese a no ser datos personales per se (al no incluir el nombre, el correo o la IP) sí pueden facilitar la identificación de los usuarios atando cabos (al ser tan específicos) al asociarse con un identificador de dispositivo, que prevalece aunque se desinstale el antivirus. De hecho, Jumpshot llegó a proporcionar información sobre el género y edad de los usuarios al estar "inferidos en función del comportamiento de navegación", según la firma de marketing Omnicom Media Group (compradora de uno de los paquetes de datos, "All Clicks Feed").
Una práctica habitual, lucrativa y legal (hasta cierto punto)
No es la primera vez que este asunto salta a los titulares. De hecho, el pasado mes de diciembre os contábamos como Firefox y Opera vetaban al antivirus al recolectar datos sobre la navegación web de millones de usuarios, lo cual suponía en torno al 5% de los ingresos totales de Avast. Google se unía a ellos eliminando la extensión de Avast de la Chrome Web Store, y tampoco ayudaron el hackeo de CCleaner y los problemas de privacidad del mismo.
Desde Avast tampoco niegan nada en torno a estas prácticas, sino todo lo contrario. Explicaba su CEO Ondrej Vlcek en Forbes que esa información no puede ser usada para identificar a usuarios individualmente y que es una práctica habitual, empleada para detectar patrones de uso que son de interés de empresas publicitarias entre otras.
Aunque a este respecto era Günes Acar, experto en ciberseguridad de la Universidad Católica de Lovaina, quien apuntaba lo contrario en la investigación de PCMag y Motherboard. El experto explicaba que "la anonimización ha demostrado ser un proceso propenso a fallos", cruzando información entre bases de datos e identificando acciones e identidades.
También se incluyen los comentarios de Wladimir Palant, creador de Adblock Plus, quien afirma que esa extensión de Avast para navegadores que retiraron algunos de ellos permitía reconstruir "de manera casi precisa el comportamiento de navegación". Aunque Avast asegura que Jumpshot cumple con la Ley de Protección de Datos (GDPR) y la California Consumer Privacy Act (CCPA, el equivalente en este estado), aunque aquí ya hablamos a fondo de ellas y de la anonimización viendo que las empresas pueden jugar algunas cartas.