Avast
Imagen: Hunter French 

Avast, el popular antivirus, ha estado recopilando y vendiendo tus datos a terceros

Una filial de Avast vende “Cada búsqueda. Cada clic. Cada Compra. En cada sitio web”. Entre sus clientes se encuentran Google, Microsoft, Pepsi y McKinsey.
03 Febrero 2020, 5:00am

Nos hemos unido a PCMag en la investigación de un programa antivirus que tiene millones de usuarios y que ha estado vendiendo información privada de navegación a algunas de las mayores empresas del mundo. Nuestros hallazgos se basan en datos filtrados de usuarios, documentos internos y contratos con otras empresas que demuestran que la firma vende información sensible y privada a terceros.

Los documentos analizados, obtenidos de una fuente anónima que trabaja en Jumpshot, una filial del gigante Avast, arrojan nueva luz sobre la venta en secreto de los historiales de navegación de los usuarios del antivirus. El estudio demuestra que cuando Avast está instalado en un ordenador, comienza a recoger datos que más tarde Jumpshot compila y vende como producto a algunas de las mayores compañías del mundo.



Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora y otras muchas empresas son algunas de las posibles compradoras. Algunos clientes han llegado a pagar millones de dólares por productos que incluyen historiales completos de clics, movimientos y comportamientos en diferentes sitios web con una precisión alarmante.

Avast asegura tener más de 435 millones de usuarios activos al mes, y Jumpshot afirma poseer información de más de 100 millones de dispositivos. Avast recaba los datos de los usuarios que instalan su aplicación, pero muchos de ellos nos han asegurado que hasta ahora no eran conscientes de que la empresa vendiera su información, lo cual nos hace preguntarnos hasta qué punto es consentido.

Entre la información que hemos conseguido se encuentran búsquedas de Google, ubicaciones y coordenadas de GPS en Google Maps, visitas a páginas de empresas en LinkedIn, determinados vídeos de YouTube y páginas pornográficas. Por ejemplo, gracias a los datos recolectados, sabemos la fecha y hora en que un usuario anónimo visitó YouPorn y PornHub y, en algunos casos, qué busco exactamente y qué vio.

"La información es muy específica y relevante para las compañías que la compran, porque procede directamente de los dispositivos"

Aunque no se incluye información personal como el nombres de usuario, los datos contienen una enorme cantidad de detalles específicos de navegación, y los expertos advierten de que es posible asociar esta información con determinados usuarios.

En un comunicado de prensa publicado en julio, Jumpshot afirmaba que son la única compañía que ofrece acceso a bancos de datos normalmente protegidos y que sus productos ofrecen las herramientas necesarias para obtener una mayor visibilidad en internet”. En el pasado, la empresa ya había nombrado a algunos de sus clientes, pero tras la investigación se han descubierto otros de los que no se tenía constancia, como Expedia, IBM y L'Oréal. Los empleados de la empresa tienen órdenes de no hablar públicamente de las relaciones con estas compañías.

“La información es muy específica y relevante para las compañías que la compran, porque procede directamente de los dispositivos y contiene marcas de tiempo”, dice nuestra fuente, haciendo alusión a lo específica y sensible que es la información que venden. Hemos decidido mantener a esta fuente en el anonimato para que pueda hablar sobre Jumpshot abiertamente.

Hasta hace poco, Avast recababa la información de navegación de los clientes que habían instalado en su explorador la extensión del antivirus, que te avisa de páginas web sospechosas. Wladimir Palant, investigador de seguridad y creador de AdBlock Plus, publicó una entrada en su blog en octubre en la que demostraba que Avast recopilaba la información de sus usuarios a través de la extensión. Poco después, Mozilla, Opera y Google eliminaban la extensión de Avast, y su filial AVG, de sus correspondientes tiendas en línea. En 2015, Avast ya había explicado en su foro y en su blog que recolectaba y compartía la información de sus clientes. Desde entonces, no ha vuelto a compartir con Jumpshot los datos de navegación recolectados por estas extensiones, según nos afirma la compañía en una declaración.

1580086523070-avastdata

An infographic showing the supply chain of browsing data from Avast through to Jumpshot's clients. Image: Motherboard

No obstante, de acuerdo con la investigación y las fuentes, todavía se siguen recopilando todos estos datos. En vez de almacenar la información a través de extensiones, ahora Avast lo hace directamente con el antivirus. La semana pasada, meses después de que se descubriera que utilizaban la extensión para enviar datos a Jumpshot, Avast comenzó a pedir a los usuarios del antivirus el consentimiento explícito para que se almacenaran y compartieran sus datos, según un documento interno.

“Si aceptan, el dispositivo pasa a formar parte del panel de Jumpshot y cualquier actividad en internet se envía a Jumpshot”, se puede leer en un manual interno del producto. “¿Qué páginas visitan estos dispositivos, en qué orden y en qué momento?”, añade, resumiendo lo que el producto ofrece.

"El único plan de actuación responsable es que sean completamente transparentes con sus clientes y se deshagan de toda la información que han recopilado"

El senador estadounidense Ron Wyden, que en diciembre del año pasado se puso en contacto con Avast para averiguar por qué vendían esta información, dijo en una declaración: “Es alentador saber que Avast ha dejado de lado algunas de sus costumbres más problemáticas tras trabajar conjuntamente con mi equipo. Sin embargo, me preocupa que todavía no se hayan comprometido a borrar la información que ya había sido recabada y compartida sin el consentimiento del usuario, o a dejar de vender datos de navegación. El único plan de actuación responsable es que, en adelante, sean completamente transparentes con sus clientes y se deshagan de toda la información que han recopilado en el pasado en dudosas condiciones”.

A pesar de que ahora Avast solicita a través de un mensaje la aprobación del usuario para recoger sus datos, varios usuarios de Avast han indicado que no sabían que Avast estaba vendiendo sus datos.

“No era consciente”, dice Keith, usuario del antivirus gratuito de Avast que solo ha querido darnos su primer nombre. “Da miedo. Normalmente digo que no al seguimiento de datos”, dice y añade que no ha visto el nuevo aviso de Avast.

“No sabía que hacían eso :(“, escribió otro usuario en un mensaje directo de Twitter.

Hemos contactado con muchas de las empresas mencionadas en los documentos internos. Solo unas pocas respondieron a nuestras preguntas sobre qué hacen con la información de Avast.

“A veces usamos la información de terceros para mejorar nuestros negocios, productos y servicios. Solo aceptamos información de proveedores que dispongan de los derechos necesarios para compartirla. En este caso, recibimos información anonimizada, con la que no se puede identificar a ningún cliente en particular”, escribe un representante de Home Depot, uno de los clientes de Jumpshot, en un correo electrónico.

Microsoft evadió las preguntas sobre los motivos para la compra de productos de Jumpshot, pero dijeron que no tienen ninguna relación con la compañía en la actualidad. Un representante de Yelp escribe en un correo: “En 2018, como parte de un estudio de las autoridades antimonopolio, se solicitó al equipo jurídico de Yelp que estimara el impacto del comportamiento anticompetitivo de Google en el mercado de búsqueda local. Jumpshot participó en el proceso en una ocasión para generar un reporte de datos anonimizados de alto nivel que validaran otras estimaciones del desvío de tráfico de Google. No pidieron ni accedieron a ningún tipo de información personal”.

"Cada búsqueda. Cada clic. Cada compra. En cada sitio web"

La aerolínea estadounidense Southwest Airlines dijo que habían estado negociando con Jumpshot pero nunca llegaron a un acuerdo. Desde IBM indicaron que no tenían constancia de que Jumpshot fuera uno de sus clientes y desde Altria afirmaron que no trabajaban con ellos, aunque no especificaron si lo habían hecho en el pasado. Google no quiso comentar.

En su sitio web y en comunicados de prensa, Jumpshot ha señalado que Pepsi, y las consultoras Bain & Company y McKinsey forman parte de su cartera de clientes.

Al igual que Expedia, Intuit y L’Oréal, otras de las compañías que Jumpshot no ha revelado públicamente incluyen Keurig, el servicio de promoción de Youtube vidIQ y Hitwise. Ninguna de estas compañías quiso dar detalles.

En el sitio web de Jumpshot, se puede ver una serie de ejemplos y casos prácticos para los que se usaron los datos de navegación en el pasado. El gigante digital Condé Nast, por ejemplo, recurrió a ellos para averiguar si sus estrategias publicitarias se traducían en compras en páginas como Amazon. Condé Nast no quiso hacer ningún comentario al respecto.

"Otro producto que venden es el paquete 'Todos los clics', que permite al cliente ver todos los clics que se han registrado en una página web determinada"

TODOS LOS CLICS

Jumpshot vende varios productos basados en los datos recopilados por el antivirus de Avast. Algunas empresas financieras suelen comprar una lista de los 10 000 dominios más visitados por los usuarios de Avast para identificar tendencias, dice el manual del producto.

Otro producto que venden es el paquete “Todos los clics”, que permite al cliente ver todos los clics que se han registrado en una página web determinada, como Amazon.com o Ebay.com.

Un tuit publicado por la empresa el mes pasado para atraer nuevos clientes rezaba: “Cada búsqueda. Cada clic. Cada compra. En cada sitio web.”

A través de estos datos, se podría ver el recorrido completo de una persona que hace clic en un enlace que lleva a Amazon, después añade algo al carrito de la compra desde otra página web para finalmente comprar el producto, explica nuestra fuente.

Una de las compañías que utiliza el paquete de los clics es la empresa de marketing neoyorquina Omnicom Media Group, según una copia del contrato que tienen con Jumpshot. En este se muestra que, en 2019, Omnicom pagó 2 075 000 $ por este producto. También incluía un paquete de “insights” de 20 dominios diferentes. El precio, en 2020 y 2021, es 2 225 000 y 2 275 000 $ respectivamente, se lee en el documento.

1580071510001-jumpshot-document-2

Un apartado de un documento interno de Jumpshot que hemos obtenido junto a PCMAG. Hemos reconstruido el documento en vez de compartir una captura de pantalla

Jumpshot le dio acceso a Omnicom a una recopilación de clics de 14 países diferentes, entre los que se encuentran Estados Unidos, Inglaterra, Canadá, Australia y Nueva Zelanda. La recopilación incluye el género inferido de los usuarios “según su comportamiento de navegación”, su edad inferida y “las direcciones web completas” quitando la información personal, añade el contrato.

Tratamos de contactar en varias ocasiones con Omnicom para pedir explicaciones, pero no nos respondieron.

Según el contrato de Omnicom, la “identificación del dispositivo” de cada usuario está cifrada con funciones hash para que el cliente no pueda asociarla a ningún usuario. En su lugar, los productos de Jumpshot ofrecen insights a compañías que quieran saber qué productos son populares o si sus campañas publicitarias son efectivas.

“Lo que no hacemos es informar de la identificación del dispositivo que ejecutó los clics para protegerlo de la triangulación de datos”, se lee en un documento interno de Jumpshot.

Pero quizás la información que Jumpshot vende no es del todo anónima. El manual interno del producto dice que la identificación del dispositivo no cambia con cada usuario, “a menos que se desinstale por completo y se vuelva a instalar el programa”. Muchos artículos y estudios académicos han demostrado que es posible identificar a un usuario con estos datos supuestamente anonimizados. En 2006, unos reporteros del New York Times pudieron identificar a una persona específica de un caché de datos de búsqueda supuestamente anónimo que AOL había publicado. En 2007, un estudio de la Universidad de Stanford concluyó que era posible identificar a personas a través de datos anónimos de navegación.

“La desidentificación ha demostrado ser un proceso muy arriesgado. Puede fallar de muchas maneras”, dice Günes Acar, especialista en el seguimiento en línea a gran escala del grupo de investigación de Seguridad Informática y Criptografía Industrial en la facultad de Ingeniería Eléctrica de la Universidad Católica de Lovaina.

1580071485914-jumpshot-document-3

Un apartado de un documento interno de Jumpshot que hemos obtenido junto a PCMAG. Hemos reconstruido el documento en vez de compartir una captura de pantalla

La desanonimización es un problema si se tiene en cuenta cómo usan esta información los clientes finales de Jumpshot.

“La mayoría de estos riesgos vienen de la posibilidad de contrastar la información con otros datos”, dice Acar. Hemos conseguido y analizado una serie de datos en los que se aprecia que cada dirección web visitada está acompañada de una marca de tiempo con una precisión de milisegundos. Si se contrasta con la información que ya recibe una empresa a través de su sitio web, es fácil asociar la información con un usuario determinado.

“Es casi imposible disociar la información”, explica Eric Goldman, un profesor de Derecho de la Universidad de Santa Clara. “Cuando prometen disociar la información, yo no me lo creo”.

“La mayoría de estos riesgos vienen de la posibilidad de contrastar la información con otros datos”

Nos hemos puesto en contacto con Avast para averiguar los detalles de cómo protegen la identidad de los usuarios y sobre algunos aspectos de los contratos de la compañía. La empresa no quiso responder a la mayoría de las preguntas, pero escribió: “Nos aseguramos de que Jumpshot no reciba información personal como nombres, correos electrónicos o datos de contacto de los usuarios de nuestro popular antivirus gratuito”.

“Lo usuarios siempre han tenido el poder de decidir si compartían sus datos con Jumpshot. Desde julio de 2019, hemos añadido una opción explícita para participar para todos aquellas nuevas descargas de nuestro antivirus, y ahora estamos solicitando a nuestros usuarios ya existentes que elijan explícitamente si quieren participar, un proceso que nos llevará hasta febrero de 2020.

“Tenemos una largo historial de protección de dispositivos y datos de los usuarios contra malware y entendemos y nos tomamos en serio la responsabilidad de equilibrar la privacidad de los usuarios con el uso de datos necesario”, añaden.

"Es casi imposible disociar información"

Cuando los reporteros de PCMag instalaron el antivirus de Avast por primera vez este mes, el programa les preguntó si aceptaban compartir su información.

“Por ejemplo, el tratamiento de sus datos personales podrá destinarse al proceso empresarial de contabilizar usuarios, productos, ventas y diversas métricas. También compartimos datos estadísticos que han sido anonimizados y agregados geográficamente, de modo que no sirven para identificar a personas físicas para terceros con fines de analíticas de tendencias”, se lee en el apartado de política de privacidad de la página web.

Sin embargo, al descargar el programa por primera vez en España, en algunos sistemas operativos no aparece el mensaje para aceptar que se compartan nuestros datos.

Hace solo unos días, AVG, otra filial de Avast, tuiteaba: “¿Recuerdas la última vez que limpiaste el historial de un #navegador? Almacenar tu historial durante mucho tiempo puede llenar la memoria del dispositivo y poner en riesgo tu información privada.