Avast recopiló y vendió datos privados de navegación de millones de usuarios… tan detallados que permiten identificarlos

Avast recopiló y vendió datos privados de navegación de millones de usuarios… tan detallados que permiten identificarlos
6 comentarios Facebook Twitter Flipboard E-mail

"¿Recuerdas la última vez que limpiaste el historial de tu navegador? Guardarlo durante mucho tiempo puede ocupar memoria en tu dispositivo y poner en riesgo tu información privada". No lo decimos nosotros, aunque estamos de acuerdo: lo decía hace sólo unos días el Twitter de AVG, subsidiaria de Avast, ambas marcadas estrechamente vinculadas al ámbito de los antivirus gratuitos.

El problema es que, por lo que parece, dio igual que los usuarios de Avast borraran sus historiales: la propia compañía los ha venido recopilando para vender enormes cantidades de datos a numerosas grandes compañías de todo el mundo.

Avast te protege... pero también te vigila

El antivirus Avast en bastante popular, tanto que cada mes lo usan en torno a 435 millones de usuarios. Pero en los últimos meses, la compañía se ha visto inmersa en varias polémicas: primero fueron los hackeos y problemas de privacidad en su software CCleaner; luego, la retirada de su extensión antivirus de las tiendas oficiales de Mozilla, Chrome y Opera por problemas relacionados con la recolección de datos.

Ahora, una investigación conjunto de dos medios tecnológicos estaodunidenses, PCMag y Motherboard, ha desvelado que Avast ha estado vendiendo datos de navegación privados de sus usuarios a algunas de las mayores compañías del mundo, a través de una compañía subsidiaria llamado Jumpshot. ¿Sus clientes? Google, Microsoft, Pepsi, Expedia, Yelp, Home Depot, Sephora, Loreal, McKinsey o Condé Nast, entre muchos otros.

Ningún dato estará nunca 100% anonimizado

Los datos extraídos de los historiales de navegación eran recopilados y empaquetados por Jumpshot en varios productos diferentes con los que prometía "proporcionar a las compañías una visión más completa de todo el recorrido online del usuario". Entre ellos, uno denominado 'All Clicks Feed', que permite seguir de cerca el comportamiento de los usuarios con respecto a un dominio en particular: cada una de sus visitas, dónde hace clics y los sitios web de origen y destino.

La información recopilada no incluye los datos personales más obvios, pero sí una ingente cantidad sobre datos de navegación bastante específicos, que podrían facilitar la identificación de los usuarios. De hecho, según uno de los compradores de All Clicks Feed, la firma de marketing Omnicom Media Group, Jumpshot les proporcionó información sobre el género y edad de los usuarios, "inferidos en función del comportamiento de navegación".

Pero, potencialmente, la información personal que se podría deducir de esos datos es mucho más completa: para hacernos una idea de los fácil que esto podría ser y las consecuencias que podría tener, hablamos de búsquedas de ubicaciones y coordenadas GPS en Google Maps, de vídeos particulares en Youtube, de perfiles de LinkeIn, de búsquedas web de Google... y de accesos a páginas porno como YouPorn y PornHub (con detalle de todos los vídeos consultados en las mismas).

"La anonimización ha demostrado ser un proceso propenso a fallos: hay muchas maneras en que puede salir mal. La mayoría de las amenazas [en este sentido] provienen de la capacidad para fusionar la información con otros datos", afirmaba en el reportaje Günes Acar, experto en ciberseguridad de la Universidad Católica de Lovaina.

No es tan difícil: dado que los datos que Jumpshot proporciona a las empresas incluyen marcas de tiempo detalladas hasta el milisegundo, cualquiera de ellas puede cruzar dicha información con sus propias bases de datos, e identificar al cliente X que hizo determinada compra a determinada hora en su propio sitio web y a partir de ahí reconstruir toda su sesión de navegación... y deducir de paso ideología política, parafilias sexuales, lecturas favoritas e incluso en qué proyectos está trabajando a nivel laboral.

Publicidad de Jumpshot Una imagen insertada en un tuit promocional que Jumpshot publicó el mes pasado afirma que recopilan "Cada búsqueda. Cada clic. Cada compra. EN CADA SITIO WEB".

Cuando las extensiones fallaron

De la extensión de Avast para navegadores, que oficialmente se limitaba a verificar si los sitios que visitaba el usuario eran o no de fiar, Wladimir Palant (creador de Adblock Plus) afirmaba que su funcionamiento "excede con creces lo que sería necesario".

"Avast reconstruye de una manera casi precisa tu comportamiento de navegación: cuántas pestañas tienes abiertas, qué páginas visitas y cuándo, cuánto tiempo pasas leyendo/viendo contenidos, en qué haces clic y cuándo cambias a otra pestaña".

Una vez que Mozilla, Opera y Google sacaron esas extensiones de circulación y ya no podían ser fuente de los datos de los que se alimenta Jumpshot, Avast empezó a solicitar a los usuarios de su antivirus que otorgaran su permiso para la recopilación de datos.

La compañía afirma que Jumpshot cumple tanto con el Reglamento General de Protección de Datos (GDPR) como con su equivalente californiano, la CCPA. Por su parte, pocas compañías respondieron a las preguntas de Motherboard y PCMag acerca del uso que le estaban dando a los datos comprador.

Vía | PCMag

Comentarios cerrados
Inicio