AVAST RECOPILO Y VENDIO DATOS DE MILLONES DE USUARIOS


El antivirus Avast, usado por unos 435 millones de usuarios, en los últimos meses se ha visto inmersa en varias polémicas: primero fueron los hackeos y problemas de privacidad en su software CCleaner; luego, la retirada de su extensión antivirus de las tiendas oficiales de Mozilla, Chrome y Opera por problemas relacionados con la recolección de datos.

Ahora, una investigación conjunto de dos medios tecnológicos estaodunidenses, PCMag y Motherboard, ha desvelado que Avast ha estado vendiendo datos de navegación privados de sus usuarios a algunas de las mayores compañías del mundo, a través de una compañía subsidiaria llamado Jumpshot. ¿Sus clientes? Google, Microsoft, Pepsi, Expedia, Yelp, Home Depot, Sephora, Loreal, McKinsey o Condé Nast, entre muchos otros.

Los datos extraídos de los historiales de navegación eran recopilados y empaquetados por Jumpshot en varios productos diferentes con los que prometía «proporcionar a las compañías una visión más completa de todo el recorrido online del usuario». Entre ellos, uno denominado ‘All Clicks Feed’, que permite seguir de cerca el comportamiento de los usuarios con respecto a un dominio en particular: cada una de sus visitas, dónde hace clics y los sitios web de origen y destino.

La información recopilada no incluye los datos personales más obvios, pero sí una ingente cantidad sobre datos de navegación bastante específicos, que podrían facilitar la identificación de los usuarios. De hecho, según uno de los compradores de All Clicks Feed, la firma de marketing Omnicom Media Group, Jumpshot les proporcionó información sobre el género y edad de los usuarios, «inferidos en función del comportamiento de navegación».

Pero, potencialmente, la información personal que se podría deducir de esos datos es mucho más completa: para hacernos una idea de los fácil que esto podría ser y las consecuencias que podría tener, hablamos de búsquedas de ubicaciones y coordenadas GPS en Google Maps, de vídeos particulares en Youtube, de perfiles de LinkeIn, de búsquedas web de Google… y de accesos a páginas porno como YouPorn y PornHub (con detalle de todos los vídeos consultados en las mismas).

«La anonimización ha demostrado ser un proceso propenso a fallos: hay muchas maneras en que puede salir mal. La mayoría de las amenazas [en este sentido] provienen de la capacidad para fusionar la información con otros datos», afirmaba en el reportaje Günes Acar, experto en ciberseguridad de la Universidad Católica de Lovaina.

No es tan difícil: dado que los datos que Jumpshot proporciona a las empresas incluyen marcas de tiempo detalladas hasta el milisegundo, cualquiera de ellas puede cruzar dicha información con sus propias bases de datos, e identificar al cliente X que hizo determinada compra a determinada hora en su propio sitio web y a partir de ahí reconstruir toda su sesión de navegación… y deducir de paso ideología política, parafilias sexuales, lecturas favoritas e incluso en qué proyectos está trabajando a nivel laboral.

De la extensión de Avast para navegadores, que oficialmente se limitaba a verificar si los sitios que visitaba el usuario eran o no de fiar, Wladimir Palant (creador de Adblock Plus) afirmaba que su funcionamiento «excede con creces lo que sería necesario».

«Avast reconstruye de una manera casi precisa tu comportamiento de navegación: cuántas pestañas tienes abiertas, qué páginas visitas y cuándo, cuánto tiempo pasas leyendo/viendo contenidos, en qué haces clic y cuándo cambias a otra pestaña».

Una vez que Mozilla, Opera y Google sacaron esas extensiones de circulación y ya no podían ser fuente de los datos de los que se alimenta Jumpshot, Avast empezó a solicitar a los usuarios de su antivirus que otorgaran su permiso para la recopilación de datos.

La compañía afirma que Jumpshot cumple tanto con el Reglamento General de Protección de Datos (GDPR) como con su equivalente californiano, la CCPA. Por su parte, pocas compañías respondieron a las preguntas de Motherboard y PCMag acerca del uso que le estaban dando a los datos comprador.

Fuente: Genbeta

Esta entrada ha sido publicada en Privacidad y etiquetada como , . Guarda el enlace permanente.