El antivirus Avast te espió y vendió tus datos para identificarte por Internet
Una investigación ha revelado cómo se pueden usar los datos compartidos por Avast para identificar a los usuarios y todo lo que hacían en Internet.
28 enero, 2020 09:16Noticias relacionadas
"Si algo es gratis, tu eres el producto" es una frase con la que se puede estar más o menos de acuerdo, pero que lamentablemente encaja perfectamente con los tiempos que vivimos.
Si una app es gratuita, normalmente es por una de dos razones: o es de código abierto (y ha sido regalada por sus creadores sin esperar nada a cambio), o registra nuestros datos para venderlos al mejor postor. Unos datos que sirven para crear un perfil más extenso y detallado de nuestras vidas, incluyendo qué productos nos gustaría comprar o qué servicios querríamos disfrutar.
Ahora que somos más conscientes de ello, la mayoría de servicios que nos rastrean de esta manera intentan calmar nuestros miedos asegurando que la información es "anónima", y los datos que nos podrían identificar han sido eliminados. A esto se le conoce como "anonimización" de datos, y es cada vez más común en la industria.
Cómo Avast espía
Esa es la excusa que dieron los creadores del antivirus gratuito Avast, cuando se descubrió que sus extensiones para navegador estaban registrando las páginas que visitábamos.
No pasaba nada, afirmaban, porque los datos que registran no tienen nuestro nombre ni ningún identificador personal; así que los que reciben los datos pueden saber que alguien ha visitado Omicrono, por ejemplo, pero no exactamente quién lo ha hecho.
Esta es una práctica muy habitual en la industria, pero ¿es suficiente? Ahora una investigación de PCMag y Motherboard sobre la información recopilada por los antivirus Avast y AVG revela hasta qué punto es posible usarla para identificarte personalmente.
Avast y AVG son dos de los antivirus gratuitos más populares del mundo, la primera opción de muchos usuarios que necesitan algo de protección en sus ordenadores, pero no quieren, o pueden, pagar un antivirus completo. Para ser gratis, su rendimiento es bastante bueno y han recibido muchos elogios por la cantidad de amenazas que pueden parar.
Sin embargo, lo que Avast no publicita tanto es que posee una división, llamada Jumpshot, que se dedica a registrar información de los usuarios que usan sus productos. Jumpshot es una subsidiaria con contratos con empresas muy importantes, como Google, Unilever o Amazon, con la promesa de darles acceso a datos de 100 millones de usuarios que usan productos Avast.
Jumpshot presume de ofrecer a sus clientes la posibilidad de rastrear lo que hacen los usuarios, cómo interactúan con sus marcas y qué es lo que compraron. Sin embargo, la compañía también aclara que estos datos están "anonimizados"; es decir, que no contienen identificadores que podrían servir para rastrear a un usuario concreto.
Los datos "anónimos"
Lo que parece una práctica segura es, sin embargo, una trampa para nuestra privacidad. La clave es que la cantidad de datos generada es tan grande y detallada, que esta "anonimización" no sirve de nada, y permite a los clientes saber quién está haciendo qué.
Por ejemplo, Amazon podría recibir datos de un usuario, con identificador "abc123x" (una ristra de caracteres sin sentido) que, el día 28 de enero a las 12:03:05 pulsó en el botón "Añadir a la cesta" en la página de un iPhone 11 color negro de 64 GB de memoria. Amazon no sabe quién es, porque Avast sólo asocia a cada dispositivo una serie de caracteres como identificador, ¿verdad?
Para empezar, la propia Amazon sabe quién está comprando qué en su propia página; y es muy probable que a esa hora concreta, en ese día concreto, alguien haya pulsado en ese botón concreto en ese producto concreto. Con esto, Amazon ya sabe que el usuario "abc123x" está registrado en su tienda como "Adrián Raya".
Una vez que lo sabe, el resto es fácil, porque Avast usa el mismo identificador para todas las acciones que realiza un usuario. Amazon, o cualquier otro cliente de Jumpshot, sólo tiene que buscar todo lo que ha hecho el usuario "abc123x", y sabrá qué habrá hecho "Adrián Raya".
Este es sólo un ejemplo, benigno comparativamente hablando, de lo que puede ocurrir. Este registro no alcanza sólo a las extensiones del navegador; Avast y AVG cuentan con un módulo que registra todas las direcciones web que visitamos. Oficialmente es una medida de seguridad, para comprobar que las páginas que visitamos son seguras; pero también sirve para sumar a la inmensa base de datos de Jumpshot.
Todo lo que hacemos
Una base de datos que incluye todo lo que hacemos en Internet, según los investigadores comprobaron. Se registran desde las búsquedas que hacemos en las webs que visitamos a los vídeos que vemos en Youtube o cómo perdemos el tiempo en Facebook.
Jumpshot ofrece varios niveles de acceso a sus clientes; el más caro y completo es "todos los clicks", y como su nombre indica, registra absolutamente todos los clicks. En casos de contratos concretos, incluso incluye el identificador para que el cliente pueda asociarlo más fácilmente con una persona concreta.
Toda esa información puede ser fácilmente asociada con nosotros. Ese es el gran problema de la "anonimización", que aunque los datos se registren sin identificadores, es relativamente fácil triangular los datos obtenidos de otra manera para dar nombre y apellidos a una información.
Espiar, por defecto
Avast se ha defendido de las acusaciones, afirmando que ha detenido el registro de datos en las extensiones para navegador; aunque eso no ha impedido que sean expulsadas de la tienda de Chrome.
Además, ha incluido una nueva opción en el antivirus, que permite evitar que nuestra información se comparta con Jumpshot. Esta ventana aparece al instalar el antivirus, y la opción de compartir datos está en verde brillante y es la que se activa por defecto. Además, si ya tienes Avast o AVG instalado, recibirás una ventana emergente que preguntará lo mismo, si no lo has hecho ya.
Aunque esta opción es un buen primer paso, la manera en la que está presentada no lo es. No solo es compartir datos la opción por defecto y la que pulsaremos si tenemos prisa por terminar la instalación; el mensaje no dice que nuestra información será compartida con otras compañías, sólo que servirá para "analizar mercados" y que está "anonimizada".