Un antivirus vende datos de navegación que permiten identificar a sus usuarios

Avast vende información sobre cada búsqueda, clic, compra y sitio web visitado por sus clientes. Dos periodistas han descubierto que estos datos se pueden asociar a usuarios concretos

En diciembre del año pasado, Ondrej Vlcek, CEO de Avast, reconoció que su compañía recopila y vende información sobre los hábitos de navegación de sus usuarios. “Esto no es ningún escándalo de privacidad”, dijo entonces. “La información que vendemos es anónima, no puede rastrearse y asociarse a usuarios concretos”, aseguró. Esta información incluye todos los clics y cada búsqueda, compra y visitas a páginas web, incluso a las pornográficas. Ahora, dos periodistas de PCMag y Motherboard han tenido acceso a documentos internos y han descubierto que los datos sí se pueden asociar a usuarios concretos.

Avast vende la información a través de Jumpshot, una compañía que ofrece datos recopilados de más de 100 millones de dispositivos móviles y ordenadores. La información recolectada está tan diseccionada que las empresas que la compran —entre las que se encuentran Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot y Condé Nast, según los dos medios citados— pueden ver todos los clics de los usuarios que tienen el antivirus instalado con un gran nivel de detalle. Un clic contiene todos estos elementos:

ID del dispositivo: abc123x Fecha: 2019/12/01 Hora-Minuto-Segundo: 12:03:05 Dominio: Amazon.com Producto: Apple iPad Pro 10.5 – 2017 Modelo – 256GB, Rose Gold Acción: Añadir al carro

En este caso, el clic hace referencia a una compra en Amazon. Pero también pueden saber qué palabras busca el usuario y en qué resultado de Google clica, búsquedas y localizaciones en Google Maps, qué vídeos de YouTube ve e incluso qué páginas porno visita. “Vimos los datos recopilados y tenían registros con consultas sobre temas cotidianos y mundanos. Pero también hubo búsquedas sensibles de pornografía”, cuentan en PCMag. “Es posible determinar a qué hora y qué día el usuario anónimo visitó YouPorn y, en algunos casos, qué términos de búsqueda usó y qué vídeo concreto vio”, detallan en Motherboard.

Aunque los datos recopilados no están asociados al nombre, email o la dirección IP de la persona (por eso Avast dice que son anónimos) si se combinan con otra información como las URLs recopiladas pueden analizarse para exponer la identidad de alguien, según cuentan PCMag y Motherboard. Varios estudios demuestran que es posible identificar a los usuarios de esta forma, entre ellos la investigación Desanonimizar datos de búsquedas web con redes sociales, llevada a cabo por la Universidad de Perth (Australia) en 2017.

“Efectivamente, se puede hacer un proceso de re-identification de los datos que señalan”, explica Óscar Lage, experto en ciberseguridad de Tecnalia. “Es sencillo, siempre que tengan otra información asociada”. Según Lage, una vez que tienes todos los detalles de la navegación, aunque sea bajo un pseudónimo como el del ejemplo (abc123x), ya tienes todos los movimientos del usuario y puedes relacionarlos con los datos que manejan otras empresas que pueden apuntar a su identidad.

Hay varias opciones para mantener esta información más segura. Una de ellas es recopilar datos más generales, aunque eso hace que pierdan valor. “Si se guardan menos detalles, es más difícil identificar al usuario que hay detrás, pero las empresas que los compran quieren inferir acciones y gustos así que le interesa tener datos muy detallados”, cuenta Sage.

Otra opción es que la empresa que recopila la información sea la única que la maneje. Es decir, que Avast dé un servicio de análisis. Si un comercio online quiere saber a qué hora se busca más su producto en Google, puede comprar la información y analizarla o, lo más recomendable, preguntar a Avast para que la analice y le dé la respuesta. Así, se evita que los datos se unan a otros que puedan poner en peligro la identidad del usuario.

Fuente: elpais