Buscar

2009/07/18

Un bazar con los datos del usuario

Fuente: Publico.

Si la información es poder, la de los internautas se ha convertido en el gran negocio que sustenta Internet. Todas las páginas web más visitadas tienen políticas de privacidad que prohíben la cesión de los datos de sus visitantes a terceras empresas o, si lo hacen, piden su consentimiento. Sin embargo, la mayoría dejan la puerta abierta para que entren extraños y se los lleven.

Un informe realizado por un equipo de estudiantes de la Universidad de Berkeley (California, EEUU) ha analizado qué hacen las 50 principales web con los datos de sus usuarios. Aunque el trabajo fiscaliza sitios estadounidenses, entre ellos están páginas como Google, MySpace, Facebook, Blogspot, MSN, Yahoo o Monster, todas muy visitadas por navegantes españoles.

Todas recogen alguna información de quien las visita, como la dirección IP del ordenador desde el que se conecta, el sistema operativo del equipo o el navegador usado. Aunque sólo unas pocas reconocieron en un cuestionario ceder alguno de esos datos a otras compañías, el estudio revela que las 50 incluyen al menos algún mecanismo que recoge los datos y los manda a servidores externos.

Las técnicas de recolección son variadas. La más conocida es el uso de cookies. Se trata de pequeños archivos de texto que el dueño de la página instala en el ordenador del usuario. Pero las páginas llevan publicidad de terceros y estos también cuelan su cookie. Tras pasadas polémicas, los principales navegadores tienen la opción de rechazarlas o borrarlas.

Pero hay otro truco contra el que el usuario nada puede hacer, porque ni lo ve. Se trata de los web bugs , también conocidos como web beacon, clear GIF o bicho rastreador. Estos bichitos son imágenes de un píxel de ancho por uno de alto (el píxel es la unidad más pequeña a la que puede reducirse una imagen).

A pesar de su reducido tamaño, elegido para pasar desapercibidos, estos bichos son capaces de grabar mucha información. Por defecto, un web bug recoge la IP del ordenador, la dirección de la página donde se esconde o el tiempo que es visto (permanencia en la web). Pero también puede informar del sistema operativo, incluida la versión y, en general, los parámetros que desee su creador. Otra posibilidad es sustituir el formato de imagen GIF por un código Javascript inyectado en la página con la misma función.

Según el informe, basado en la navegación de entre 30.000 y 45.000 usuarios durante un mes, las 50 páginas más visitadas tenían al menos uno de estos bichos. Algunas como Blogspot llegan a contener 100. Esto no significa que un determinado usuario se vea invadido por todos a la vez. En realidad, sólo ve tres o cuatro, pero que van cambiando, o bien el bicho es diferente para cada visitante. En este elenco aparece otra plataforma de blog, como Typepad. En tercer lugar está Google.

Publicidad personalizada

Algunas de estas imágenes registradoras sólo tienen misiones estadísticas. Si un internauta entra en la web de Público, además del contenido alojado en el servidor del dueño, también se cargan rastreadores como Google Analytics o NetRatings SiteCensus que sirven para medir el tráfico del sitio. Pero en otras web, la misión de los rastreadores es comercial. Al ver la página graban toda la información que se pide y la mandan a servidores ajenos a esa web.

Entre estos bichos están Google Adsense o Doubleclick, ambos de Google, MSN Ads o ValueClick. Todos pertenecen a plataformas de marketing y publicidad y, con la acumulación de información, permiten adaptar los anuncios o mensajes que ve el usuario a sus gustos y preferencias. Es el sueño de toda empresa, poder segmentar su publicidad. En Google lo llaman relevancia.

Uno de los autores del informe, Ashkan Soltani, tiene sus dudas sobre la legalidad de estas herramientas. "Pero hay varios informes del Gobierno sobre la necesidad de regularlas porque estas prácticas podrían ser consideradas desleales o engañosas".

En España el problema se agrava porque aquí la dirección IP del ordenador está considerada como un dato personal y su cesión a terceros sin consentimiento está prohibida. En un documento de la Agencia Española de Protección de Datos (AEPD) con recomendaciones al sector del comercio electrónico, se recuerda que, en el caso de que se usen "procedimientos automáticos invisibles de recogida de datos", se debe informar al usuario.

Para Samuel Parra , especialista en protección de datos y miembro de la Asociación Profesional Española de Privacidad, el problema es que no hay una legislación específica sobre privacidad. "Hay que recurrir a la Ley de Protección de Datos", dice. La norma especifica que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco. Y la IP es un dato de carácter personal. Pero Parra matiza un detalle que permite una escapatoria a las web. La norma sanciona la cesión de datos a una persona diferente del interesado, "pero con los web bugs falta ese elemento subjetivo: no hay cesión o comunicación de datos de un sitio a otro, la empresa del web bug lo recaba directamente".

Omnipresencia de Google

El informe revela que Google es el rey también en este terreno. El buscador opera con cinco rastreadores, entre estadísticos y de fines comerciales. Al menos uno estaba en el 92% de los 100 primeros sitios de EEUU. Es más, durante el mes de realización del trabajo, el 88% de los 393.829 dominios analizados tenían uno de los bichos de Google.

Al experto en seguridad del Instituto de Física Aplicada del CSIC, Gonzalo Álvarez Marañón , no le preocupan tanto los web bugs, que considera una tecnología superada, sino la acumulación de tanta información en manos de unos pocos. "Los web bugs sólo afectan cuando hay muchos sitios afiliados entre sí o uno está en todos", como es el caso de Google con sus rastreadores. "Lo peligroso es que este buscador lo sabe todo de todos", dice.

La ventaja de tener 1.500 empresas

La legislación sobre intimidad y privacidad es menos restrictiva en EEUU que en España, y en general es más permisiva cuando la cesión de los datos se hace entre empresas del mismo grupo. Les basta con incluir este tráfico en la declaración de privacidad o en el aviso legal. El problema es que hay algunos grupos muy grandes.

Es el caso de la red social MySpace, uno de los sitios más visitados y que pertenece a News Corporation, propiedad del magnate de la comunicación Rupert Murdoch. El gigante empresarial tiene algo más de 1.500 subsidiarias.

A los autores del estudio les costó conseguir el número de afiliados que tenía cada una de las web. De las 50 más vistas a las que encuestaron, sólo 12 dieron el dato. Tras acudir a fuentes de información oficiales, comprobaron que la media de empresas ligadas a cada web era de 297. La que más afiliados tenía era la web del Bank of America, con 2.300. En el caso de Google, que cuenta con 137, se incluyen las versiones locales que tiene en los diferentes países.

Un caso más extremo, pero más regulado, es la cesión de información personal a una empresa con la que se tiene algún contrato. De los 50 sitios analizados, 43 reconocieron compartir datos con terceros.

No hay comentarios: