La aplicación antivirus de Avast vende "cada búsqueda", "cada clic", "cada compra en cada sitio que visita". Los compradores incluyen Home Depot, Google, Microsoft, Pepsi y McKinsey.
(publicado con abreviaturas)
Utilizado por cientos de millones de personas en todo el mundo, un programa antivirus vende datos personales de navegación web a muchas de las empresas más grandes del mundo. Así lo demuestra una investigación conjunta de los portales Motherboard y PCMag. El material se basa en documentos de la empresa "filtrados" que prueban que la empresa propietaria del antivirus vende datos altamente confidenciales.
Los documentos, propiedad de Jumpshot, una subsidiaria del gigante antivirus Avast, arrojan nueva luz sobre la historia oculta de la venta de datos personales de Internet. El antivirus Avast instalado en la computadora de una persona recopila datos y Jumpshot los "vuelve a empaquetar" en varios productos, que luego se venden a muchas de las compañías más grandes del mundo. La lista de compras incluye gigantes como Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit y más. Algunos clientes han pagado millones de dólares por productos que incluyen el llamado "canal de todos los clics", que puede rastrear el comportamiento del usuario, los clics y la navegación del sitio web con alta precisión.
norte
Avast afirma tener más de 435 millones de usuarios activos mensuales y Jumpshot recopila datos de 100 millones de dispositivos. Avast recopila datos del usuario y luego los envía a Jumpshot, pero varios usuarios de Avast le dijeron a Motherboard que no sabían que sus datos se compartían con terceros.
Según Motherboard y PCMag, estos datos personales incluían búsquedas de Google, ubicaciones de Google Maps y coordenadas GPS, páginas de LinkedIn, videos privados de YouTube e información sobre sitios de pornografía visitados. Utilizando el conjunto de datos recopilados, es posible determinar cuándo un usuario anónimo ha visitado YouPorn y PornHub y, en algunos casos, incluso búsquedas y videos específicos vistos.
Aunque los conjuntos de datos no incluyen información personal como nombres de usuario, aún contienen muchos datos específicos, y los expertos dicen que no es tan difícil desanonimizar a una persona en particular que los usa.
En un comunicado de prensa emitido en julio, Jumpshot afirma ser "la única empresa que revela una serie de secretos" y se compromete a "proporcionar a los especialistas en marketing una comprensión más profunda de la actividad en línea de los clientes". "Son muy detallados y de gran interés para los compradores porque están al nivel del dispositivo con una marca de tiempo", comentó la fuente de Motherboard, citando los detalles y la sensibilidad de los datos que se venden.
Video promocional:
Hasta hace poco, Avast recopilaba datos de tráfico de clientes que instalaron un complemento de navegador desarrollado por Avast para alertar a los usuarios sobre sitios web sospechosos. El investigador de seguridad y creador de AdBlock Plus, Vladimir Palant, publicó una publicación de blog en octubre afirmando que Avast recopila datos de usuario utilizando el complemento. Poco después, los fabricantes de navegadores Mozilla, Opera y Google eliminaron las extensiones de Avast de sus respectivas tiendas. Avast explicó anteriormente esta recopilación y el intercambio de datos en un blog y en una publicación de foro en 2015. Desde entonces, Avast supuestamente dejó de enviar datos de navegación recopilados por estas extensiones.
Sin embargo, la recopilación de datos continúa, indican la fuente y los documentos. En lugar de recopilar información utilizando un software conectado al navegador, Avast lo hace utilizando el propio antivirus. La semana pasada, meses después de que se descubriera que usaba las extensiones de su navegador para enviar datos a Jumpshot, Avast comenzó a pedir a sus clientes antivirus que permitieran la recopilación de datos. "Si los usuarios están de acuerdo, el dispositivo comienza a registrar toda la actividad en línea del cliente", dice el manual interno del producto.
Motherboard y PCMag se pusieron en contacto con más de dos docenas de empresas mencionadas en los archivos internos. Pocas preguntas respondieron sobre lo que hacen con los datos basados en el historial de navegación de los usuarios de Avast.
“A veces utilizamos información de proveedores externos para ayudar a mejorar nuestro negocio, productos y servicios. Requerimos que estos proveedores tengan los derechos apropiados para proporcionarnos esta información. En este caso, recibimos datos de audiencia anónimos que no se pueden utilizar para identificar clientes individuales”, dijo un portavoz de Home Depot por correo electrónico.
Microsoft se negó a comentar sobre los detalles de la adquisición de productos de Jumpshot, pero dijo que no tenía una relación continua con la compañía. Un portavoz de Yelp escribió en un correo electrónico: “En 2018, como parte de una solicitud de información antimonopolio, se le pidió al equipo de Yelp que evaluara el impacto de Google en el mercado local de motores de búsqueda. Se utilizó Jumpshot a la vez.
Southwest Airlines dijo que ha discutido una asociación con Jumpshot pero que no ha llegado a un acuerdo con la compañía. IBM dijo que no funcionaba con Jumpshot, y Altria dijo que no funcionaba con Jumpshot ahora, aunque no indicó si lo hizo antes. Sephora declaró que esto no funciona con Jumpshot. Google no respondió a una solicitud de comentarios.
En su sitio web y en comunicados de prensa, Jumpshot nombra a Pepsi, así como a los gigantes consultores Bain & Company y McKinsey como clientes.
Además de Expedia, Intuit y Loreal, otras empresas que aún no aparecen en los anuncios públicos de Jumpshot incluyen la empresa de café Keurig, YouTube vidIQ y Hitwise, una empresa de investigación de consumidores. Ninguna de estas empresas respondió a una solicitud de comentarios.
norte
En su sitio web, Jumpshot enumera algunos de los casos de uso anteriores de sus datos. Por ejemplo, Condé Nast utilizó productos Jumpshot para ver si el anuncio de una empresa de medios generaba compras en Amazon y en otros lugares. Condé Nast no respondió a una solicitud de comentarios.
Jumpshot vende varios productos basados en datos recopilados por el software antivirus Avast instalado en las computadoras de los usuarios. Los clientes del sector de las finanzas institucionales a menudo compran canales de 10,000 dominios que los usuarios de Avast visitan para tratar de detectar tendencias, dice la guía del producto.
Otro producto de Jumpshot es el denominado "Feed de todos los clics". Esto permite al cliente comprar información sobre todos los clics que Jumpshot ha visto en un dominio específico, como Amazon.com, Walmart.com, Target.com, BestBuy.com o Ebay.com.
En un tweet publicado el mes pasado con el objetivo de atraer nuevos clientes, Jumpshot señaló que recopila “Todas las búsquedas. Cada clic. Información sobre cada compra en cada sitio.
Los datos de Jumpshot pueden mostrar a alguien con Avast instalado en su computadora buscando un producto en Google, haciendo clic en un enlace que lo llevó a Amazon y luego posiblemente agregando el artículo a su carrito en otro sitio web antes de finalmente, compra un producto.
Una de las empresas que adquirió All Clicks es la empresa de marketing Omnicom Media Group, con sede en Nueva York. Según el contrato, Omnicom pagó a Jumpshot $ 2,075,000 por el acceso a datos en 2019. El acuerdo también incluyó otro producto llamado Insight Feed para 20 dominios diferentes. Los cargos por datos en 2020 y luego en 2021 se indican en $ 2,225,000 y $ 2,275,000, respectivamente, dice el documento.
Jumpshot le dio a Omnicom acceso a todos los canales de clic de 14 países diferentes de todo el mundo, incluidos Estados Unidos, Inglaterra, Canadá, Australia y Nueva Zelanda. El producto también incluye el género previsto de los usuarios "según el comportamiento de navegación", su edad estimada y la "cadena de URL completa", pero con la información de identificación personal (PII) eliminada.
Omnicom no respondió a varias solicitudes de comentarios.
Por contrato, el "ID de dispositivo" de cada usuario tiene un hash, lo que significa que la empresa que compra los datos no tiene que poder determinar quién está exactamente detrás de cada vista. En cambio, se supone que los productos Jumpshot ayudan a las empresas a comprender qué productos son particularmente populares o qué tan efectiva es una campaña publicitaria.
Pero los datos de Jumpshot no pueden ser completamente anónimos. El manual interno del producto establece que los ID de dispositivo no cambian para cada usuario "a menos que el usuario desinstale y reinstale por completo el software de seguridad". Numerosos artículos y estudios científicos han demostrado que es muy posible exponer a personas que utilizan los llamados datos anónimos. En 2006, los reporteros del New York Times pudieron identificar a una persona específica de un caché de datos de búsqueda supuestamente anónimos que AOL dio a conocer públicamente. Si bien los datos verificados se centraron más en los enlaces de redes sociales que editó Jumpshot, un estudio de 2017 de la Universidad de Stanford descubrió que era posible identificar a las personas a partir de datos anónimos en línea.
Motherboard y PCMag le hicieron a Avast una serie de preguntas detalladas sobre cómo protege el anonimato de los usuarios y también solicitaron detalles sobre algunos de los contratos de la compañía. Avast no respondió la mayoría de las preguntas, pero emitió una declaración: "A través de nuestro enfoque, nos aseguramos de que Jumpshot no reciba información de identificación personal, incluido el nombre, la dirección de correo electrónico o los datos de contacto de las personas que utilizan nuestro popular software antivirus gratuito".
“Los usuarios siempre han tenido la opción de optar por no comunicarse con Jumpshot. A partir de julio de 2019, ya comenzamos a implementar opciones explícitas para todas las nuevas descargas de nuestro antivirus y ahora también estamos solicitando el consentimiento de nuestros usuarios gratuitos existentes, un proceso que se completará en febrero de 2020”, dijo un portavoz de Avast, agregando que la compañía cumple con la Ley de Protección al Consumidor de California (CCPA) y el Reglamento General Europeo de Protección de Datos (GDPR) para toda su base de usuarios global.
"Tenemos un largo historial de protección de los dispositivos y los datos de los usuarios contra el malware, y entendemos y tomamos en serio la responsabilidad de equilibrar la privacidad del usuario con el uso necesario de los datos", dice el comunicado.
Cuando un periodista de PCMag instaló por primera vez el producto antivirus de Avast este mes, el programa le preguntó si quería participar en la recopilación de datos.
“Si lo desea, le proporcionaremos a nuestra subsidiaria Jumpshot Inc. un conjunto de datos dedicado y no identificado derivado de su historial de navegación para que Jumpshot pueda analizar los mercados y las tendencias comerciales y recopilar otros conocimientos valiosos”, dice el mensaje. Sin embargo, la ventana emergente no detalla exactamente cómo Jumpshot usa estos datos.
“La información está completamente desidentificada y agregada, no se puede utilizar para identificación personal. Jumpshot puede compartir información agregada con sus clientes”, agregó una ventana emergente.
Actualización: tras la publicación de esta investigación, Avast anunció que suspendería la recopilación de datos mediante Jumpshot.
Por Joseph Cox
