El antivirus Avast
utilizado por centenares de millones de personas recopila sin consentimiento expreso todo lo que hace un usuario en su PC y vende los datos a grandes empresas como Microsoft, Google, Home Depot y Pepsi, según la investigación conjunta de Motherboard y PCMag.
El pasado diciembre, el CEO de la compañía checa Avast, Ondrej Vlcek,
reconoció la recopilación de datos y su venta a marcas y compañías de publicidad, pero el caso es bastante peor de lo que se contó. Avast vende
«todas las búsquedas, cada clic, cada compra, cada movimiento del usuario en cada sitio», aseguran de un informe realizado con información de una fuente interna, contratos y otros documentos de la compañía que muestran que la venta de estos datos es altamente sensible y, en muchos casos, se suponía que eran confidenciales.
El antivirus Avast no es gratis
Avast utiliza una subsidiaria de nombre
Jumpshot para su negocio publicitario. Mientras que el antivirus Avast instalado en la computadora de un usuario recopila datos, Jumpshot los vuelve a empaquetar en varios productos diferentes que luego venden a las compañías más grandes del mundo. Algunos clientes, pasados, presentes y potenciales incluyen Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit y muchos otros. Algunos clientes pagaron millones de dólares por productos que incluyen el llamado
«Feed de todos los clics», que puede
rastrear de manera absoluta el comportamiento del usuario.
Los datos obtenidos por Motherboard y PCMag incluyen búsquedas en Google; búsquedas de ubicaciones; coordenadas GPS en Maps; visitas a las páginas de empresas de LinkedIn; vídeos particulares de YouTube y hasta las visitas a sitios web para adultos. A través de los datos recopilados, se puede conocer la fecha, hora, término de búsqueda utilizado y el vídeo que visualizó un usuario.
Aunque Avast aseguró que los datos no están vinculados con el nombre o la dirección IP ya que están recopiladas de manera anonimizada, contienen una gran cantidad de datos de navegación específicos, y los expertos dicen que combinando datos de otros anunciantes se podría conseguir la identidad real de un usuario. Además, cada historial de usuario tiene asignado un identificador único conocido como ID del dispositivo, que persistirá a menos que el usuario desinstale el antivirus Avast. Sería una instancia como la que ves en la imagen:
A primera vista este ID parece inofensivo y no puede asignarse a un usuario exacto… En teoría.
Amazon podría descubrir fácilmente qué usuario compró un producto a una hora y día determinado en su plataforma de comercio electrónico y cruzando datos con la ID identificarlo. De esta manera, cualquier otra cosa que Jumpshot tenga sobre la actividad de una ID determinada desde otras compras de comercio electrónico hasta búsquedas en Google, ya no es anónima. Hay amplia documentación al respecto de como se puede identificar a una persona específica a través de estos datos «anónimos», como el de la Universidad de Stanford.
Expertos en privacidad consultados por
PCMag estiman que la información de la marca de tiempo, las ID de dispositivos persistentes, junto con las URL recopiladas, podrían usarse para exponer la identidad de un usuario en concreto sin demasiadas complicaciones. Además, los términos y condiciones también permiten que Jumpshot
retenga los datos durante tres años.
Convirtiendo la seguridad en negocio nada transparente
Cuando un usuario instala un programa antivirus, incluso uno gratuito, supone razonablemente de que el software ayudará a mantener sus datos seguros. ¿De verdad?
Hasta hace poco, Avast estaba recopilando los datos de navegación de sus clientes que habían instalado el complemento para navegadores web diseñados para advertir a los usuarios de sitios web sospechosos. Mozilla, Opera y Google tuvieron que eliminarlo cuando el investigador de seguridad y creador de AdBlock Plus, Wladimir Palant, reveló que más que a mantener seguros a los usuarios el complemento estaba dedicado a recopilar datos.
Desde entonces, Avast dejó de enviar datos de navegación recopilados por estas extensiones a Jumpshot. Sin embargo, la recopilación de datos está en curso según las fuentes. En lugar de recopilar información a través del software conectado al navegador, Avast lo hace a través del antivirus en sí.
La semana pasada, meses después de que se destapara el caso, Avast comenzó a pedir a sus usuarios a través de una ventana emergente que permitieran la recopilación de datos. Pero los usuarios siguen si tener conocimiento de que esos datos no tienen nada que ver con la seguridad y Avast los cede a una subsidiaria para que los venda con fines publicitarios. O cualquiera sabe para qué. Sin consentimiento expreso ni conocimiento preciso de los usuarios. Y sin ningún compromiso a eliminar los datos del usuario que se recopilaron anteriormente, ni a finalizar la venta de datos confidenciales de navegación en Internet.
Es hora de poner coto a estos desmanes. El usuario cancelando el uso de software de estas compañías que practican con el tráfico de datos como mínimo de manera poco transparente y teniendo extremo cuidado a quién ceden sus datos. Lo gratis sale caro algunas veces. Y a los reguladores y gobiernos que tomen medidas definitivas para frenar todo esto con sanciones en tanto por ciento de los ingresos y no meras propinas como hasta ahora. Está en juego proteger un derecho fundamental como es el de la privacidad, violado semana tras semana.