Los medios atraparon a Avast en el comercio de datos de usuario
Una investigación conjunta de Vice Motherboard y PCMag descubrió que Avast recopila datos de los usuarios, que luego se revenden a gigantes como Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit y muchos, muchos otros.
La división de venta de datos de Avast es una subsidiaria de Jumpshot, que ofrece a sus clientes acceso al tráfico de usuarios desde 100,000,000 dispositivos, incluyendo computadoras y teléfonos.
Los hallazgos de los investigadores se basan en un análisis de fugas, contratos y otros documentos de la compañía. Los periodistas enfatizan que tales transacciones entre compañías generalmente son extremadamente confidenciales, y los empleados de la compañía generalmente reciben instrucciones de no hablar públicamente sobre las relaciones de Jumpshot.
Los clientes están dispuestos a pagar millones de dólares por los datos de los usuarios, y los productos de Jumpshot, como All Clicks Feed, le permiten rastrear la actividad de los usuarios hasta el punto de hacer clic en un dominio específico. Por ejemplo, los datos de Jumpshot pueden mostrar claramente cómo un usuario del antivirus Avast buscó un producto en Google, hizo clic en un enlace a Amazon y luego quizás agregó el producto al carrito en otro sitio antes de finalmente comprarlo.
Otros productos de Jumpshot, por ejemplo, están diseñados para rastrear qué videos ven los usuarios en YouTube, Facebook e Instagram, o para analizar dominios específicos de comercio electrónico para ayudar a los especialistas en marketing a comprender cómo los usuarios llegan a ellos.
Una de las empresas que utilizó la herramienta de alimentación de todos los clics es Omnicom Media Group, una empresa de marketing con sede en Nueva York. Según la documentación de Jumpshot, Omnicom pagó a Jumpshot $ 2,075,000 por acceso a datos solo en 2019.
Permítanme que les recuerde que la primera vez acerca de los problemas de privacidad en los productos Avast habló en diciembre pasado. Luego, la organización Mozilla recibió una advertencia del desarrollador de AdBlock Plus, Vladimir Palant. En el otoño de 2019, estudió el trabajo de Avast Online Security y AVG Online Security, y descubrió que los complementos para Firefox recopilan mucha más información de la necesaria para su trabajo, incluido un historial detallado del navegador. Palant luego publicó otra publicación de blog sobre el comportamiento similar de Avast SafePrice y AVG SafePrice. Como resultado, todas las extensiones se eliminaron del catálogo oficial de extensiones para Firefox, y pronto los desarrolladores de Opera y Google siguieron el ejemplo de los ingenieros de Mozilla, excluyendo también Avast y una subsidiaria AVG de sus directorios.
Luego, los representantes de Avast aseguraron que Avast Online Security antes mencionado simplemente necesitaba recopilar el historial de las URL para garantizar la seguridad de los usuarios, porque el complemento está diseñado para proteger contra sitios de phishing y maliciosos. Se hizo hincapié en que la recopilación de datos se realiza sin identificación del usuario, es decir, todos los datos se anonimizan.
Como dicen ahora Vice Motherboard y PCMag, los datos de usuario recopilados por Avast son tan detallados que los clientes pueden incluso «ver» los clics individuales que realizan los usuarios durante las sesiones, con una precisión de milisegundos. También recopila información sobre consultas de búsqueda en Google, búsqueda de ubicaciones y coordenadas GPS en Google Maps, datos sobre visitas a páginas de empresas en LinkedIn y videos específicos en YouTube, así como información sobre visitas a sitios pornográficos. Por ejemplo, puede determinar la fecha y la hora en que el usuario anónimo visitó YouPorn y PornHub y, en algunos casos, incluso averiguar qué buscó exactamente allí y qué miró al final.
Y aunque los datos recopilados no están realmente asociados con el nombre de una persona, su dirección de correo electrónico o dirección IP, es decir, son de jure impersonal, a cada usuario todavía se le asigna una identificación única, llamada identificador de dispositivo, que se almacena hasta que el usuario elimina Avast producto antivirus desde su dispositivo.
Los expertos en seguridad de la información aseguran que al tener la información detallada que Jumpshot proporciona a sus clientes, será muy fácil para las compañías clientes comparar estos datos exhaustivos con información de otras fuentes, como resultado de crear un perfil detallado de una persona específica. Según expertos y periodistas, es poco probable en este caso hablar correctamente sobre el anonimato de los datos recopilados.
“Quizás los datos en sí (Jumpshot) no identifiquen a las personas. Quizás esto sea solo una lista de ID de usuario con hash y algunas URL. Pero siempre se puede combinar con los datos de otros vendedores, otros anunciantes, lo que, en esencia, conducirá a la verdadera identidad del usuario «, dice el especialista del IB Ganes Acar (Gunes Acar).
Después del escándalo del año pasado sobre las extensiones del navegador, los representantes de Avast afirmaron que habían dejado de recopilar y transmitir datos de usuarios de Jumpshot, pero ahora los periodistas dicen que la recopilación de información continúa. Es solo que ahora Avast no recopila datos mediante complementos del navegador, sino que utiliza el antivirus en sí.
Según documentos internos, Avast comenzó a pedir a los usuarios de soluciones antivirus gratuitas permiso para recopilar datos la semana pasada. La documentación dice que si un usuario da su consentimiento, su dispositivo pasará a formar parte del panel de jumpshot, es decir, fusionará información sobre toda la actividad de Internet del navegador, incluidos los datos sobre qué URL se visitaron desde el dispositivo, en qué orden y cuándo exactamente.
Vice Motherboard y PCMag recurrieron a Avast para obtener comentarios oficiales, pero no respondieron la mayoría de las preguntas de los periodistas. La compañía solo enfatizó que cumplen con las leyes y brindan a los usuarios la oportunidad de negarse a recopilar datos a favor de Jumpshot. Una declaración oficial de Avast también establece:
«Garantizamos que Jumpshot no recibe información de identificación personal, incluidos los nombres, las direcciones de correo electrónico o los datos de contacto de las personas que utilizan nuestro popular software antivirus gratuito. <…> Tenemos una amplia experiencia en la protección de dispositivos de usuario y datos contra malware, y tomamos el equilibrio entre la privacidad del usuario y el uso necesario de los datos con toda seriedad y responsabilidad «.