Mercado Secreto Avast. Cómo los antivirus venden su historial de navegación
Una subsidiaria del desarrollador de antivirus Avast vendió todos los términos de búsqueda. Cada clic. cada compra de cada sitio. Entre sus clientes estaban Google, Microsoft, Pepsi y otros.
Este episodio tuvo lugar hace un año. Tras una investigación, Avast declaró que dejaría de recopilar datos para Jumpshot y detendría todas las transacciones con él con carácter de urgencia. Hemos traducido esta apasionante historia en su totalidad y te invitamos a leerla y sacar tus propias conclusiones.
Usado por millones de personas en todo el mundo, Avast antivirus vende datos confidenciales de sus usuarios a grandes empresas, según descubrió una investigación conjunta de Motherboard y PCMag . Los documentos internos filtrados prueban el comercio de datos altamente confidenciales, incluido el historial de navegación de los usuarios.
Los documentos de una subsidiaria de Avast llamada Jumpshot arrojan luz sobre el comercio secreto y las cadenas de suministro de los historiales de navegación de los usuarios. Muestran que después de instalar Avast en su computadora, comienza a recopilar datos y los transfiere a Jumpshot, luego de lo cual se venden a muchas compañías globales como Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit y otros.. . Algunas de estas empresas pagan millones de dólares para recibir datos sobre cada clic que haces, lo que les permite analizar tu comportamiento en línea.
Avast tiene una base de usuarios de aproximadamente 435 millones de usuarios y 100 millones de dispositivos. Todos firmaron un acuerdo de usuario para recopilar datos, pero algunos de los usuarios le dijeron a Motherboard y PCMag que no sabían qué datos se estaban recopilando o que no se estaban recopilando en absoluto. Surge la pregunta, ¿qué tan bien informados estaban los usuarios?
¿De qué tipo de datos estamos hablando? Sobre búsquedas en Google, navegación en sitios web, coordenadas GPS de Google Maps, visitas a LinkedIn, YouTube y sitios pornográficos. Aunque estos datos no contienen nombres, los usuarios pueden identificarse fácilmente en función de ellos.
Jumpshot afirmó en julio que estaba divulgando los datos para brindar a los especialistas en marketing una comprensión más profunda del mercado en línea. Jumpshot ha enumerado públicamente previamente a algunos de sus clientes como Expedia, IBM, Intuit, TurboTax, Loreal y Home Depot. Se aconsejó a los empleados que no hablaran públicamente sobre la relación de Jumpshot con estas empresas.
Hasta hace poco, Avast recopilaba datos mediante una extensión de navegador creada para restringir el acceso a sitios web maliciosos. El investigador de ciberseguridad y creador de AdBlock Plus, Vladimir Palant, publicó una publicación de blog sobre esto. Un poco más tarde, Mozilla, Opera y Google Chrome eliminaron esta extensión de sus navegadores. Avast explicó previamente esta recopilación y el intercambio de datos en un blog y un foro en 2015. Desde entonces, Avast prometió dejar de enviar datos de navegación recopilados por estas extensiones a Jumpshot, dijo Avast en un comunicado a Motherboard y PCMag.
Sin embargo, la recopilación de datos continuó. Si antes Avast hacía esto a través de una extensión de navegador, ahora ha empezado a hacerlo a través de su antivirus
Motherboard y PCMag contactaron a más de dos docenas de empresas mencionadas en documentos internos. Pocos respondieron a las preguntas sobre qué hacen con los datos basados en el historial de búsqueda de los usuarios de Avast.
“A veces usamos información de proveedores externos para mejorar nuestro negocio, productos y servicios. Requerimos que estos proveedores tengan los derechos apropiados para compartir esta información con nosotros. En este caso, recibimos datos de usuarios anónimos que no se pueden usar para identificar a clientes individuales", escribió un portavoz de Home Depot en un comunicado enviado por correo electrónico.
Microsoft se negó a comentar los detalles de por qué compró datos de Jumpshot, pero dijo que actualmente no tiene ninguna relación con la empresa. Southwest Airlines dijo que había discutido la posibilidad de trabajar con Jumpshot, pero las compañías no llegaron a un acuerdo. IBM dijo que no era un cliente y Altria dijo que tampoco funcionaba con Jumpshot, aunque no especificó si lo había hecho anteriormente. Sephora ha declarado que no funciona con Jumpshot. Google nunca respondió a la solicitud.
En su sitio web y en comunicados de prensa, Jumpshot nombra como clientes a Pepsi y a los gigantes consultores Bain & Company y McKinsey. También enumera algunos ejemplos del uso de los datos del historial de navegación web. El editor y gigante de los medios digitales Condé Nast, por ejemplo, usó los productos de Jumpshot para ver si la publicidad de la empresa generaba más ventas en Amazon y en otros lugares.
Feed de todos los clics
Eso no es todo, había otro producto Jumpshot llamado All Click Feed. Le permite comprar información sobre todos los clics que Jumpshot registró en un dominio específico, como Amazon.com, Walmart.com, Target.com, BestBuy.com o Ebay.com.
Los datos de Jumpshot podrían mostrar cómo alguien con Avast instalado en su computadora buscó un producto en Google, hizo clic en un enlace a Amazon y luego posiblemente agregó el artículo a su carrito de compras en algún otro sitio web antes de realizar una compra.
Según una copia del contrato de Jumpshot, una de las empresas que compró All Clicks Feed es la empresa de marketing Omnicom Media Group, con sede en Nueva York. Jumpshot le dio a Omnicom acceso a todos los clics de usuarios en 14 países diferentes, incluidos EE. UU., Inglaterra, Canadá, Australia y Nueva Zelanda. Los datos también incluían el sexo estimado de los usuarios, su edad estimada y una "cadena de URL completa", pero sin información personal, dice el contrato.
De acuerdo con el contrato con Omnicom, la "identificación del dispositivo" de cada usuario se codifica, lo que significa que la empresa que compra los datos no tiene que poder identificar quién está exactamente detrás de cada vista. En cambio, los productos Jumpshot deberían ayudar a las empresas a descubrir qué productos son particularmente populares o qué tan efectiva es su campaña publicitaria.
Pero los datos de Jumpshot pueden no ser completamente anónimos. La guía interna del producto establece que las identificaciones de dispositivos no cambian por usuario a menos que el usuario desinstale y reinstale completamente el software de seguridad. Numerosos artículos y estudios académicos han puesto de manifiesto cómo se puede conocer la identidad de una persona utilizando datos supuestamente anónimos. Esto fue confirmado por reporteros del New York Times en 2006 y por investigadores de la Universidad de Stanford en 2017.
La eliminación del anonimato se convierte en un problema mucho mayor si considera que los usuarios finales de los datos de Jumpshot pueden combinarlos con sus propios datos.
“La mayoría de las amenazas que plantea la desanonimización provienen de la capacidad de combinar información con otros datos”.
Una marca de tiempo con precisión de milisegundos podría permitir que una empresa con su propia base de datos de clientes vea a un usuario visitar su propio sitio y luego seguirlo a través de otros sitios usando Jumpshot.
“Es casi imposible despersonalizar los datos”, dijo Eric Goldman, profesor de la Facultad de Derecho de la Universidad de Santa Clara.
Los periodistas de Motherboard y PCMag le hicieron a Avast una serie de preguntas detalladas sobre cómo protege el anonimato del usuario, así como detalles de algunos de los contratos de la empresa. Avast no respondió a la mayoría de las preguntas, pero escribió en un comunicado: "A través de nuestro enfoque, nos aseguramos de que Jumpshot no reciba ninguna información de identificación, incluido el nombre, las direcciones de correo electrónico o los datos de contacto, de las personas que utilizan nuestro popular software antivirus gratuito".
“Tenemos una amplia experiencia en la protección de los dispositivos y datos de los usuarios contra el malware, y entendemos y tomamos en serio la responsabilidad de equilibrar la privacidad del usuario con el uso necesario de los datos”, dice el comunicado.
La compañía también dijo que cumple con la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento Europeo de Protección de Datos (GDPR) para toda su base de usuarios.
Cuando el editor de PCMag instaló por primera vez el producto antivirus Avast, el programa les preguntó si querían participar en la recopilación de datos.
“Si da permiso, otorgaremos a nuestra subsidiaria Jumpshot Inc. recopilación de datos no identificados obtenidos de su historial de navegación para permitir que Jumpshot analice los mercados y las tendencias comerciales y recopile otra información valiosa”, sin embargo, la ventana emergente no dijo nada sobre cómo Jumpshot usa estos datos.
UPD: Respuesta oficial de Avast
“Avast cerró Jumpshot en enero de 2020, poniendo así fin a las transferencias de datos. Nuestro objetivo es hacer que Internet sea más seguro y proteger la información personal de las personas. Por lo tanto, en 2020 tomamos medidas para mejorar la protección de datos, contratando a un director de privacidad que continúa impulsando nuestra estrategia de protección de datos y compartiendo experiencias con organizaciones como TOR y Future of Privacy Forum. Nuestra política de privacidad ha sido certificada por TRUSTe. En el futuro, continuaremos tomando medidas para garantizar la privacidad de los usuarios”.