Tu porno te vigila

Según el Wall Street Journal, cuarenta millones de norteamericanos miran porno online habitualmente. Eso es mucho más de lo que la gente está dispuesta a reconocer incluso en encuestas anónimas: en 2013, solo un 12 por ciento de los encuestados admitió consumir porno en internet. Pero gracias a las omnipresentes técnicas de monitorización y las huellas que dejan los navegadores, todos esos desvergonzados embusteros no tienen voz ni voto acerca de si sus hábitos son secretos o no. Los consumidores de porno de todo el mundo están siendo monitorizados, y si el ingeniero de software Brett Thomas está en lo cierto, parece que es muy fácil identificarlos y publicar un listado de todos los videos que miran.

Thomas, que vive en San Francisco, entabló un día una conversación casual en un bar con un trabajador de la industria del porno. Como es natural, hablaron de economía. Y a pesar de que el mencionado trabajador insistía en que recopilar y vender los datos personales de los usuarios de webs eróticas no forma parte del modelo de negocio de la industria, Thomas no quedó muy convencido.

"Si miras porno en internet en el año 2015, aunque lo hagas en un navegador en modo incógnito, debes tener en cuenta que es posible hacer público tu historial y vincularlo a tu nombre", explicaba Thomas poco después en un post titulado "El porno en internet puede ser el siguiente gran escándalo sobre privacidad".

La explicación de Thomas es la siguiente: tu navegador (Chrome, Safari, el que sea) tiene una configuración única y, cuando tú navegas por la red, envía todo tipo de información que puede usarse para identificarte. Básicamente, estás dejando "huellas dactilares" en las páginas que visitas. Así, solo se trata de relacionar unas huellas con otras; un experto puede identificar las mismas huellas en Facebook que en la página del New York Times, en Pornhub o en XVideos.

Thomas asegura que "casi todas las páginas tradicionales que visitamos guardan datos con los que se puede vincular tu cuenta de usuario con las huellas de tu navegador, ya sea directamente o a través de terceros". Thomas está en lo cierto respecto a que la mayoría de páginas web que visitamos envían nuestros datos a otras compañías, probablemente sin que lo sepamos. Muchas, por ejemplo, usan Google Analytics, que monitorea el tráfico de las webs. Otras tienen instalados botones de "compartir" en redes sociales y redes de publicidad de terceros.

Así, por mucho que esté navegando en modo privado ,cuando haces clic en "Fetiche de cuero #3" en XNXX, no estás mandando únicamente una solicitud a la web de porno, sino también a terceros como Google, la compañía de monitoreo online AddThis y a otra llamada Pornvertising. Y, además, está enviando otros datos, como la dirección IP, que pueden usarse para identificar el ordenador.

Todo ello, sumado a la actividad cada vez mayor de los hackers, significa que podrían hacer público en cualquier momento un muestrario completo de nuestros hábitos de consumo de porno. Thomas cree que no solo es posible sino que es bastante probable que algún hacker acabe montando una base de datos que se dedique a compartir con toda la red nuestro historial de visitas a páginas porno.

Por supuesto, esto podría tener graves consecuencias, más allá de la humillación que pueda suponer que nos delaten como consumidores de porno. Si crees que al borrar tu historial de navegación estás eliminando toda huella de los videos de food fetish o de bestialismo que has visto, estás muy equivocado. Peor todavía, aún hoy existen muchas sociedades en el mundo en las que se persigue a las personas por su orientación sexual. En según qué países, hacer público que alguien ha visto una serie de videos porno gay puede poner a esa persona en grave peligro.

Pornhub es la única de las principales páginas porno que ha accedido a hablar sobre el tema. En un comunicado público, calificaban las conclusiones de Thomas como "no solo completamente falsas, sino además peligrosamente engañosas". En su extensa nota de refutación, Pornhub mencionaba la inmensa capacidad de almacenamiento que les supondría guardar los historiales de sus usuarios; reciben 300 millones de visitas al día, y calculan que para almacenar esa información necesitarían 3.600 terabytes. Por no mencionar que manipular esa cantidad de datos sería una tarea prácticamente imposible y supondría una enorme cantidad de tiempo. "Los registros de los servidores de Pornhub solo guardan la IP y el agente de usuario durante un tiempo limitado, nunca la huella digital del navegador", me dijo por escrito un portavoz de Pornhub.

Aun así, lo cierto es que todos los investigadores y expertos en seguridad online con los que hablé para este artículo, si bien no compartían el análisis porno-apocalíptico de Thomas, estaban de acuerdo en que los hábitos de consumo de porno no son ni de lejos tan privados como pensamos.

"Me parece una preocupación absolutamente legítima", me dijo Justin Brookman, experto en privacidad del Centro para la Democracia y la Tecnología. "La navegación en modo incógnito no inhibe los mecanismos de seguimiento". En otras palabras, navegar de incógnito y borrar el historial no impide que las compañías de la industria del porno te monitoricen.

Para hacerme una idea mejor sobre cómo se vigila a los usuarios de webs porno usé Ghostery, una aplicación de privacidad que identifica y bloquea elementos de seguimiento instalados en páginas web, y con ella analicé los cinco portales de porno más visitados, XVideos, XHamster, Pornhub, XXNX y Redtube. (Cabe destacar aquí la cantidad de tráfico que atraen estas páginas: de acuerdo con el servicio de analítica web Alexa, XVideos ocupa el puesto número 43 en número de visitas en todo el mundo. Para que os hagáis una idea, Gmail es la número 66 y Netflix la 53).

Ghostery demostró que todas estas páginas tienen elementos de seguimiento instalados, de manera que envían datos a otras compañías, entre ellas Google o Tumblr, así como a otras especializadas en la industria del porno, como los servicios de publicidad Pornvertising y DoublePimp. Además, la mayoría de las principales páginas porno especificaban en la propia URL el contenido de los videos. Así, XVideos, XHamster y XXNX envían cadenas de URLs del tipo www.pornsite.com/view/tipo-de-porno-embarazoso-que-te-puedas-imaginar a las mencionadas compañías. Solamente Pornhub y Redtube ocultaban el contenido del video en cadenas numéricas como www.pornsite.com/watch_viewkey=19212.

"La URL es uno de los elementos básicos de información de todas las solicitudes HTTTP", me explicó el experto en privacidad Tim Libert. "Así, las compañías que espían el código de esas páginas [esto es: Google, Tumblr] consiguen esa información fácilmente. Las cadenas numéricas [por ejemplo 'id=123'] no aportan información de cuáles son las preferencias sexuales del usuario, pero sí que está visitando páginas porno. En cambio, las URLs descriptivas desvelan exactamente qué es lo que le pone a cada uno, de modo que si es algo un poco guarro, deja de ser un secreto".

Otro aspecto importante es que la navegación de incógnito "no hace virtualmente nada para impedir el seguimiento. Como mucho la ventana de la URL no se autocompletará con algo embarazoso, pero los anunciantes y los brokers de datos reciben la misma información. No tengo ni idea de qué hacen con ella, si es que hacen algo. Pero todo queda guardado en alguna base de datos en alguna parte".

No es nada que deba sorprendernos. Es sabido que, en el internet de hoy en día, estamos siendo monitorizados vayamos donde vayamos. Y no con propósitos espurios, sino porque los desarrolladores web, incluyendo los de la industria del porno, dependen de estas herramientas de terceros, muchas de las cuales son "gratuitas", para aumentar la funcionabilidad y la capacidad de sus páginas de ser compartidas. Un estudio reciente desveló que el 91 por ciento de las webs del sector sanitario –que se supone que deben ser las más privadas y seguras de la red– envían los datos de las búsquedas de sus usuarios a otras empresas. Claro que las webs porno también lo hacen: Libert realizó un barrido y encontró que el 88 por ciento de las 500 páginas porno más conocidas tenían instalados elementos de terceros.

Puede que a las páginas porno no tengan ningún interés en almacenar ni recopilar tus datos. La política de privacidad de XVideos asegura que "XVideos no guarda las direcciones IP o la actividad de sus usuarios no registrados", y Libert me dice que puede que sea totalmente cierto, pero aún así continúan enviando esa información, junto con las escandalosamente explícitas URLs, a terceros. Y lo que no sabemos es qué hacen esos terceros –Google, AddThis o Pornvertising– con esos datos. Cuando pregunté a AddThis sobre el tema, me dijeron que "no recopilamos o identificamos ninguna información personal de las páginas que utilizan las herramientas de nuestra compañía", y que sus condiciones de servicio "prohíben el uso de sus herramientas en páginas con contenido para adultos". Sin embargo, Ghostery había demostrado que AddThis está instalada en algunas de las principales páginas porno.

"Desde un punto de vista técnico, es extremadamente difícil impedir al cien por cien el seguimiento", me dijo Brookman. Al fin y al cabo, estamos vinculados a una dirección IP que puede identificarse a través de los registros ISP.

"Creo que así es como los gobiernos encuentran a los que consumen y distribuyen pornografía infantil", añadió Brookman. Pero también es probable que así fuera como la NSA fue capaz de espiar los gustos en porno de los hombres musulmanes; esta agencia gubernamental elaboró un plan un poco casquivano para deslegitimar a posibles "terroristas" haciendo públicas sus preferencias de porno y, de este modo, arruinar su credibilidad como fieles seguidores del Islam.

Pero no todos están tan convencidos como Thomas de que ese escenario tan funesto se convierta en realidad. Cooper Quintin, experto en tecnología de la Electronic Frontier Foundation, cree que Thomas confunde "la amenaza de los brokers de datos que realizan seguimientos de nuestros hábitos de navegación y la amenaza de que los hackers publiquen información sobre los internautas que son miembros de pago de páginas porno. Ambas cosas ciertamente podrían darse". Sin embargo, cree que la posibilidad de que alguien haga públicos todos tus datos sobre consumo de porno es "alarmista".

"Es mucho más probable que hackeen una empresa de porno y roben información sobre tarjetas de crédito. En ese caso, estoy convencido que los ladrones preferirían vender la información de las tarjetas en lugar de hacerla pública online 'por las risas'", opina Quintin. "Resulta más preocupante que los brokers de datos usen tu IP para relacionar datos sobre los sitios porno que visitas con perfiles de tráfico que ya tienen, aunque navegues en modo incógnito". Puesto que los brokers se dedican continuamente a recopilar datos sobre nuestros hábitos, también podrían ser capaces de decirnos qué clase de porno nos gusta consumir; y no existe ninguna ley que les diga qué pueden y qué no pueden hacer con esa información. También podrían usarla para mejorar el servicio de publicidad que insertan en las webs para adultos. ¿Te va el cuero? Puede que te interese comprarte un corpiño.

Son los brokers de datos y las aplicaciones de monitoreo de web (AddThis, etc.) quienes tienen la capacidad para construir un perfil exhaustivo del porno que miramos, no páginas como Pornhub o XVideos, a las que les interesa que la navegación sea privada, porque si los usuarios piensan que no es así, se irán a otro lado. Pero como ocurre con la mayoría de los servicios de internet, las empresas del porno usan software gratuito y otras herramientas de seguimiento que exponen los datos de los usuarios. "Creo que, por ley, se deberían establecer unos requisitos de seguridad más estrictos para evitar que se filtre información que pueda servir a terceros para relacionar datos que, de otra manera, no podrían identificar", opina Brookman.

A Thomas esto no le preocupa, aunque esté en lo cierto y un hacker pudiera usar sus hábitos de porno para hacerle daño. Él piensa que la nueva realidad que impone internet supone la muerte del anonimato, incluso en lo que se refiere al consumo de porno.

"Desgraciadamente, el anonimato es, por definición, incompatible con el Javascript y la web en abierto", me dijo. "Por suerte, si las preferencias en porno de todo el mundo se hicieran públicas, las mías no serían la más embarazosas".