Cómo Google consiguió eludir los controles de privacidad en la web

Google Inc. y otras compañías que venden espacio publicitario han estado eludiendo las configuraciones de privacidad de millones de usuarios del navegador de Internet de Apple Inc. en sus iPhones y computadoras, siguiendo de cerca los hábitos de las personas que pretendían bloquear esta clase de monitoreo.

Las compañías emplearon códigos informáticos especiales que engañan al programa de navegación de Internet Safari para permitir el seguimiento de muchos usuarios. Safari, el navegador más popular en los aparatos móviles, está diseñado para evitar automáticamente esta supervisión.

Google inhabilitó el código tras ser contactado por The Wall Street Journal (WSJ).

El código de Google fue detectado por Jonathan Mayer, un investigador de la Universidad de Stanford, y luego confirmado independientemente por un asesor técnico del WSJ, Ashkan Soltani, que encontró que anuncios en 22 de los 100 sitios web más populares instalaron el código de seguimiento de Google en una computadora de prueba. Avisos en 23 sitios lo instalaron en un navegador de iPhone. La técnica va mucho más allá de esos sitios web, ya que una vez activado, el código permite el seguimiento a lo largo de una amplia variedad de páginas web. Se descubrió que otras tres compañías de publicidad en línea también usaron técnicas similares: Vibrant Media Inc.; Media Innovation Group LLC, de WPP PLC, y PointRoll Inc., de Gannett Co.

En el caso de Google, los hallazgos parecían contradecir algunas de las propias instrucciones de la compañía a los usuarios de Safari sobre cómo evitar el seguimiento. Hasta hace poco, un sitio de Google indicaba a los usuarios de Safari que podían fiarse de los parámetros de privacidad de Safari para prevenir el monitoreo de Google. La compañía procedió inmediatamente a retirar ese texto de su sitio.

En un comunicado, Google expresó: "The Wall Street Journal deforma lo que ocurrió y por qué. Utilizamos herramientas conocidas de Safari para proveer funciones que usuarios de Google conectados al sitio han autorizado. Es importante destacar que estos cookies no recopilan información personal".

Las prácticas de privacidad de Google están bajo un intenso escrutinio. El año pasado, como parte de un acuerdo legal con la Comisión Federal de Comercio de Estados Unidos (FTC), la compañía prometió no "tergiversar" sus prácticas de privacidad a los consumidores. La multa por violar el acuerdo es de US$16.000 por falta, por día.

El viernes, tres miembros del Congreso hicieron un llamamiento a la FTC para que investigue el hallazgo del WSJ y determine si constituye una violación del acuerdo. "La FTC está al tanto de la situación", dijo una vocera de la agencia. Un oficial de Apple agregó: "Estamos trabajando para evitar la elusión de las configuraciones de privacidad de Safari". De las firmas que venden espacios publicitarios que han recurrido a esta técnica, Google tiene de lejos el mayor alcance. En diciembre, publicó avisos por Internet que fueron vistos al menos una vez por 93% de los usuarios en EE.UU, según comScore Media Metrix.

Privacidad a prueba

Para poner a prueba el predominio del código de Google, el asesor tecnológico del WSJ, Soltani, revisó los 100 sitios web más populares según el ranking de Quantcast de principios de mes. Encontró que Google colocaba el código dentro de avisos que aparecían en sitios grandes como el dedicado a citas Match.com y AOL.com, entre otros. Estas compañías declinaron comentar al respecto o no respondieron. No hay indicios de que éstas u otras empresas estuvieran al tanto del código.

No es la primera vez que se ponen en duda las prácticas de privacidad de Google. El mes pasado, Google, que ofrece muchos servicios, incluyendo YouTube, Gmail y por supuesto su motor de búsquedas, dijo que revisará su política de privacidad para combinar casi toda la información que posee sobre sus usuarios. La noticia desató protestas internacionales. Defensores europeos de la privacidad le pidieron a Google que "interrumpiera" los cambios hasta que pueda garantizar la privacidad de los ciudadanos de la Unión Europa. Google asegura que informó a las autoridades europeas en las semanas anteriores al anuncio y planea lanzar su nueva política de privacidad el 1 de marzo.

A lo largo y ancho de todo el espectro digital, el tema de la privacidad en línea está acaparando todos los debates. En los últimos meses, desde grandes instituciones a pequeños desarrolladores de aplicaciones han sido acusados de mal uso de datos personales. Con el fin de calmar a un público preocupado, los reguladores en EE.UU. han introducido más de una decena de proyectos de ley de privacidad en el Congreso. El gobierno de Barack Obama ha solicitado la creación de una Declaración de Derechos de Privacidad para alentar a las compañías a adoptar mejores prácticas de privacidad.

El comercio de datos personales ha surgido como un potente motor de la economía digital. Muchas compañías tecnológicas ofrecen productos gratis y reciben ingresos de avisos en línea que están personalizados a partir de datos sobre los clientes.

El seguimiento de Google de usuarios de Safari se remonta a su competencia con el rey de las redes sociales, Facebook Inc. Después de que Facebook lanzara su botón "Me gusta" —que provee a la gente una manera fácil de indicar diferentes cosas que le gusta en línea— Google lo imitó con un botón "+1" que ofrecía una función similar en su red social rival, conocida como Google+.

El año pasado, Google añadió una función que colocaba el botón +1 en avisos repartidos por toda la web usando la tecnología publicitaria DoubleClick, de Google. La idea consistía en que si al usuario le gustaba el anuncio, haría clic en el botón "+1" y mostraría su aprobación en su perfil de la red social de Google.

Una brecha en el sistema

Pero Google se topó con un problema: Safari bloquea por principio la mayor parte del seguimiento. Así que Google no podía usar la técnica más común, consistente en instalar un pequeño archivo conocido como cookie para comprobar si los usuarios de Safari estaban conectados en Google.

Para sortear el bloqueo automático de Safari, Google explotó una brecha en las opciones de privacidad del navegador. Mientras que Safari bloquea la mayoría del seguimiento, hace una excepción para sitios web con los que una persona interactúa de una manera determinada, por ejemplo, completando un formulario. Así que Google añadió un código a algunos de sus avisos que hacían pensar a Safari que una persona estaba enviando un formulario invisible a Google. Entonces, Safari dejaba que Google instalara la cookie en el teléfono o la computadora.

Google asegura que intentó diseñar el sistema publicitario de +1 para proteger la privacidad de los usuarios y que la instalación de más cookies en navegadores de Safari no estaba prevista.