imágenes falsas
Avast, un nombre conocido por sus aplicaciones antivirus y de investigación de seguridad, ofrece desde hace mucho tiempo extensiones de Chrome, aplicaciones móviles y otras herramientas destinadas a aumentar la privacidad.
Las aplicaciones de Avast “bloquearían las molestas cookies de seguimiento que recopilan datos sobre sus actividades de navegación” y evitarían que los servicios web “rastreen su actividad en línea”. En lo profundo de su política de privacidad, Avast dijo que la información que recopilara sería “anónima y agregada”. En su retórica más feroz, el software de escritorio de Avast afirmó que impediría que “los piratas informáticos ganaran dinero con sus búsquedas”.
Todo ese lenguaje se ofreció mientras Avast recopilaba información del navegador de los usuarios de 2014 a 2020 y luego la vendía a más de 100 empresas a través de una entidad cerrada conocida como Jumpshot, según la Comisión Federal de Comercio. Bajo una propuesta de orden reciente de la FTC (PDF), Avast debe pagar 16,5 millones de dólares, que “se espera que se utilicen para proporcionar reparación a los consumidores”. según la FTC
Avast, contactado para hacer comentarios, proporcionó una declaración que señalaba el cierre de Jumpshot por parte de la compañía a principios de 2020. “Estamos comprometidos con nuestra misión de proteger y potenciar la vida digital de las personas. Si bien no estamos de acuerdo con las acusaciones y la caracterización de los hechos por parte de la FTC, nos complace para resolver este asunto y esperamos continuar sirviendo a nuestros millones de clientes en todo el mundo”, se lee en el comunicado.
Los datos estaban lejos de ser anónimos
El La denuncia de la FTC (PDF) señala que después de que Avast adquiriera el entonces competidor de antivirus Jumpshot a principios de 2014, cambió el nombre de la empresa a vendedor de análisis. Jumpshot anunció que ofrecía “ideas únicas” sobre los hábitos de “[m]Más de 100 millones de consumidores en línea en todo el mundo”. Eso incluía la capacidad de “[s]Vea hacia dónde se dirige su audiencia antes y después de visitar su sitio o los sitios de sus competidores, e incluso realice un seguimiento de aquellos que visitan una URL específica”.
Si bien Avast y Jumpshot afirmaron que se eliminó información de identificación de los datos, la FTC argumenta que esto “no fue suficiente”. Las ofertas de Jumpshot incluían un identificador de dispositivo único para cada navegador, incluido en datos como “Fuente de todos los clics”, “Fuente de búsqueda más clics”, “Fuente de transacciones” y más. La queja de la FTC detalla cómo varias empresas comprarían estos feeds, a menudo con el propósito expreso de vincularlos con los datos propios de una empresa, hasta llegar a un usuario individual. Algunos contratos de Jumpshot intentaron prohibir la reidentificación de los usuarios de Avast, pero “esas prohibiciones eran limitadas”, señala la denuncia.
La conexión entre Avast y Jumpshot se hizo ampliamente conocida en enero de 2020, después de que un informe de Vice y PC Magazine revelara que clientes, incluidos Home Depot, Google, Microsoft, Pepsi y McKinsey, estaban comprando datos de Jumpshot, como se ve en contratos confidenciales. Los datos obtenidos por las publicaciones mostraron que los compradores podían adquirir datos que incluían búsquedas en Google Maps, páginas individuales de LinkedIn y YouTube, sitios pornográficos y más. “Es muy granular y son datos excelentes para estas empresas, porque llegan al nivel del dispositivo con una marca de tiempo”, dijo una fuente a Vice.
La denuncia de la FTC proporciona más detalles sobre cómo Avast, en sus propios foros web, intentó restar importancia a su presencia en Jumpshot. Avast sugirió que solo se proporcionaran datos no agregados a Jumpshot y que los usuarios fueran informados durante la instalación del producto sobre la recopilación de datos para “comprender mejor las tendencias nuevas e interesantes”. Ninguna de estas afirmaciones resultó cierta, sugiere la FTC. Y los datos recopilados estaban lejos de ser inofensivos, dada su naturaleza reidentificable:
Por ejemplo, una muestra de sólo 100 entradas entre billones retenidas por los encuestados
mostró visitas de consumidores a las siguientes páginas: un artículo académico sobre un estudio de síntomas
de cáncer de mama; el anuncio de la candidatura presidencial de la senadora Elizabeth Warren; un curso CLE
sobre exenciones fiscales; Empleos gubernamentales en Fort Meade, Maryland con un salario superior a
100.000 dólares; un vínculo (luego roto) con el punto medio de una solicitud FAFSA (ayuda financiera);
indicaciones en Google Maps de un lugar a otro; un programa infantil de habla hispana
Video de Youtube; un enlace a un sitio web de citas francés, que incluye una identificación de miembro única; y cosplay
erótica.
En una publicación de blog que acompaña su anuncio, la abogada principal de la FTC, Lesley Fair, escribe que, además de la naturaleza dual de los productos de privacidad de Avast y el seguimiento exhaustivo de Jumpshot, la FTC considera cada vez más los datos de navegación como “información altamente sensible que exige el máximo cuidado”. “Los datos sobre los sitios web que visita una persona no son simplemente otro activo corporativo abierto a una explotación comercial sin restricciones”, escribe Fair.
Los comisionados de la FTC votaron 3-0 para emitir la denuncia y aceptar el acuerdo de consentimiento propuesto. La presidenta Lina Khan, junto con los comisionados Rebecca Slaughter y Alvaro Bedoya, emitió un comunicado sobre su voto.
Desde el momento de la denuncia de la FTC y su negocio Jumpshot, Avast ha sido adquirida por generación digitaluna empresa que incluye Norton, Avast, LifeLock, Avira, AVG, CCLeaner y ReputationDefender, entre otras empresas de seguridad.
Divulgación: Condé Nast, la empresa matriz de Ars Technica, recibió datos de Jumpshot antes de su cierre.