Constantemente filtramos datos personales mientras navegamos por la web o interactuamos con servicios web. Por ejemplo, tales filtraciones ocurren cuando usamos aplicaciones móviles o visitamos sitios web de compras y noticias, los cuales pueden mostrarnos publicidad.
Curiosamente, durante nuestra navegación, generalmente nos interpelan con anuncios específicos basados en el sitio web visitado (por ejemplo, un anuncio de un jacuzzi en un sitio web de piscinas), el perfil que hemos mostrado (por ejemplo, anuncios de coches caros para personas con altos ingresos), o compras actuales (por ejemplo, un anuncio de un par de zapatos específico para personas que mostraron interés en comprarlos).
En todos estos casos, los anunciantes recopilan datos personales y de comportamiento de los usuarios y utilizan dichos datos para mejorar su sistema, así como también comparten los datos con otras compañías de terceros, como plataformas para la gestión de datos, rastreadores, compañías de puntaje crediticio, etc.
Para proteger e informar a los usuarios en línea de tales prácticas, se necesitan nuevos métodos para detectar y detener la recopilación y el intercambio de datos personales. Durante los últimos dos años, un equipo liderado por Nicolas Kourtellis, del grupo científico de Telefónica, ha realizado un esfuerzo de investigación para diseñar, probar y ejecutar herramientas que fomentan la transparencia en la web y la detección de fugas de datos personales.
Estas herramientas ayudan a los usuarios a darse cuenta de las fugas de datos, medir la magnitud de las fugas en el ecosistema de anuncios (es decir, la cantidad de terceros que aprenden sobre los datos de un usuario en una sola fuga) y, en última instancia, proteger a los usuarios en línea de una mayor exposición.
Una de estas herramientas fue diseñada para analizar los anuncios mostrados a los usuarios mientras navegan por la web e identificar cuáles de ellos fueron impulsados por subastas instantáneas programáticas (los anunciantes pujan automáticamente en tiempo real cuánto están dispuestos a pagar para mostrar un anuncio específico a un usuario concreto en un momento dado). Dichos anuncios se han utilizado cada vez más en la web, tanto para dispositivos de escritorio como para dispositivos móviles, y cuestan un total de decenas de miles de millones.
Dado su creciente dominio en el ecosistema de anuncios, la relación que los anuncios tienen con los perfiles de los usuarios, y cuánto cuesta su publicación, los usuarios en línea deben saber cuánto gastan los anunciantes para ofrecerles publicidad o, en otras palabras, cuánto valen los usuarios para los anunciantes.
La herramienta propuesta, llamada YourAdValue (Figura 1), permite que un usuario calcule en tiempo real el coste individual de los anuncios que se le entregan, en CPM-Euros (es decir, el coste por mil impresiones de anuncios entregados).
Usando esta herramienta, los investigadores analizaron estos costes y encontraron que los anunciantes, en base a los datos personales de los usuarios, pagaron en un año un promedio de 25 CPM-Euros, y menos de 100 CPM-Euros para tres cuartas partes de los usuarios. También encontraron que una pequeña porción de usuarios muy “costosos” (aproximadamente un 2%) cuestan entre diez y cien veces más para el ecosistema de anuncios que el usuario promedio.
En otro estudio, los investigadores compararon los costes en publicidad digital para el anunciante y el usuario, en un intento por identificar cómo de comparables son estos costes. Sorprendentemente, los resultados muestran un desequilibrio, ya que la mayoría de los usuarios sufren una pérdida significativa de privacidad, cuando el coste monetario que pagan es, en promedio, tres veces más de lo que los anunciantes cobran por entregar los anuncios. O sea, ¡el anunciante promedio pagó 0,71 CPM-Euros, pero el usuario promedio pagó 2,2 CPM-Euros de su plan de datos para descargar estos anuncios!
Además, el tráfico relacionado con publicidad y análisis era 20% del tráfico total de los usuarios, y aproximadamente el 8,2% del volumen del plan de datos de un usuario móvil promedio. De hecho, este tráfico puede potencialmente consumir hasta un 9% de la potencia del teléfono de un usuario, ¡solo considerando la cantidad adicional de datos que representan los anuncios!
Otra herramienta, CONRAD, fue diseñada para detectar la fuga de datos privados del usuario a través de cookies y otros mecanismos de seguimiento de anuncios. Como es bien sabido, el mecanismo de identificación principal de los usuarios en la Web es a través de cookies, donde cada entidad web asigna un identificador a cada dispositivo del usuario.
Sin embargo, cada rastreador conoce al mismo usuario con un identificador diferente. Entonces, ¿cómo se pueden vender y combinar los datos recopilados de la entidad A con los datos de usuario asociados de un posible comprador B? La Sincronización de cookies facilita que dos o más entidades combinen los datos del usuario que poseen, además de reconstruir el historial de navegación del usuario, sin pasar por la misma política de origen (Figura 2).
CONRAD es capaz de detectar y exponer tales transacciones de sincronización y también detectar la fuga de datos personales del usuario, lo que lleva a algunos hallazgos interesantes:
• Omnipresencia: casi todos los usuarios (un 97%) están expuestos a la sincronización de cookies al menos una vez al año. De hecho, el usuario medio se sincroniza como mínimo una vez durante la primera semana de navegación, y su identificador de usuario se filtra a un promedio de 3,5 dominios de Internet.
• Grandes jugadores: tres de las principales compañías publicitarias llegan a conocer más del 30% de todas las identificaciones de usuario, cada una.
• Impacto en la privacidad: con la sincronización de cookies, las entidades web conocen casi 7 veces más características sobre un usuario promedio.
• Datos privados que pueden filtrarse con la sincronización de cookies: nombre, sexo, edad, fecha de nacimiento, dirección física/de correo electrónico, ubicación, nombre de usuario y contraseña, número de teléfono, etc.
Estos resultados indican que los usuarios en línea experimentan altos costes debido a los anuncios entregados: la batería del dispositivo, los datos consumidos debido a los bytes descargados para los anuncios y la pérdida de la ciber-privacidad debido a fugas de datos privados y a la sincronización de cookies. Todos estos costes superan significativamente tanto la eficiencia de los anuncios recibidos como el precio pagado por el ecosistema para entregarlos al dispositivo del usuario.
Por lo tanto, no está claro a quién beneficia el modelo de publicidad actual, aparte de a las empresas de entrega de anuncios y de venta de perfiles.
Una cosa es cierta: la recopilación de datos de los usuarios y las actividades de intercambio realizadas sin el consentimiento explícito de los mismos pueden ser ilegales, con fuertes sanciones según la normativa reciente de la Unión Europea (GDPR y ePrivacy).
En suma, es importante el diseño, desarrollo y distribución de herramientas prácticas de transparencia web, como YourAdValue y CONRAD, que están disponibles para los investigadores en privacidad, reguladores y usuarios finales. Tanto los usuarios promedio como los expertos en tecnología pueden utilizar estas herramientas para investigar la pérdida de datos personales y la pérdida de anonimato que experimentan durante la navegación.
Referencias
[1] P. Papadopoulos, N. Kourtellis, E. P. Markatos. Cookie Synchronization: Everything You Always Wanted to Know But Were Afraid to Ask. Under review, 2019. Preprint: https://arxiv.org/pdf/1805.10505.pdf
[2] P. Papadopoulos, N. Kourtellis, E. P. Markatos. The Cost of Digital Advertisement: Comparing User and Advertiser Views. The Web Conference (ACM WWW), Lyon, France, 2018. Preprint: http://www.protasis.eu/m/filerpublic/db/3e/db3ee56c-699f-4005-909c-392e1c2cdc32/www18papadopoulos.pdf
[3] P. Papadopoulos, N. Kourtellis, P. Rodriguez Rodriguez, N. Laoutaris. If you are not paying for it, you are the product: How much do advertisers pay to reach you? In Internet Measurements Conference (ACM IMC), London, United Kingdom, 2017. Preprint: https://arxiv.org/pdf/1701.07058.pdf