Hasta el más pequeño detalle se usa para saber quién eres: así es la huella digital que dejas en Internet
Analizar la huella digital de los dispositivos conectados a Internet permite a las páginas y plataformas web identificar a la persona que está detrás de cada aparato. Funciona a partir de la recolección masiva de información sobre los detalles de cada uno de ellos. Sirve para singularizarlos en el océano de 4.000 millones de ordenadores, teléfonos y otros dispositivos conectados a la red, fichar quién es su usuario y qué perfil de consumidor tiene. La recopilación de información llega a ser tan abusiva que provoca dudas sobre su legalidad, como ha alertado este jueves la Agencia Española de Protección de Datos (AEPD).
En un amplio informe sobre la huella digital y cómo afecta a los usuarios españoles, la Agencia avisa que las técnicas de minado de información ya van mucho más allá de las conocidas cookies (ficheros que las páginas web instalan en los dispositivos que las visitan para marcarlos, con diversos objetivos). De hecho, es la protección ante ellas por parte de los usuarios y de los servicios antivirus lo que ha provocado la explosión de las técnicas para “salvar esas protecciones para recopilar y explotar datos”, adelanta la AEPD.
La recolección de información utiliza varias técnicas. Algunas se basan en instalar y ejecutar aplicaciones en el dispositivo del usuario que, sin su conocimiento o permiso, recogen y transmiten datos personales de este hacia los servidores de la web o servicio digital en cuestión que quiere identificarlo.
Otras más simples, pero también muy efectivas, analizan al detalle la configuración del equipo. Se trata de estudiar y cruzar datos sobre el tipo, versión y ajustes del navegador, las aplicaciones instaladas, el idioma, zona horaria, configuración de pantalla, el uso de la batería, los codecs de audio y vídeo detectados, la memoria disponible, la presencia de teclados virtuales, la información sobre los sensores del terminal (acelerómetro, GPS, giroscopio, etc.), el número de monitores conectados y cualquier detalle sobre personalización del equipo como, curiosamente, si el usuario ha intentado aumentar las medidas de seguridad ante las técnicas de minado de información.
La AEPD señala que “el conjunto de datos recabados puede ser tan extenso, o enriquecerse de tal forma, que identifique unívocamente al usuario”.
La Agencia señala que el hecho de que el contenido de ese paquete de información personal minada a los usuarios sea “desconocido” provoca “serias dudas” sobre su adecuación a las protecciones obligatorias del Reglamento General de Protección de Datos Personales (RGDP) de la UE. En concreto, la AEPD duda de su respeto al principio de minimización (recoger solo los datos personales requeridos para dar un determinado servicio y solo durante el período necesario), el de evaluación de impacto (un estudio obligatorio cuando entre los datos recogidos son “de categoría especial”, como los referidos a raza, creencias religiosas o ideología de los usuarios), o la necesidad de conseguir el consentimiento informado del usuario antes de extraer su información.
Si el producto es gratis es que el producto eres tú
El propósito de toda esta recopilación de información es la publicidad. Tal y como recoge el estudio de la AEPD, “actualmente, el modelo que subyace tras la mayoría de los servicios web se basa en prestar un servicio de forma totalmente gratuita, a cambio de la monetización de los datos recopilados de los usuarios”. Excepto en el caso de las plataformas más grandes, como Facebook o Google, esa monetización no la realiza la propia web o servicio digital, sino una agencia de publicidad, por lo que los datos pasan por varias manos.
La forma de rentabilizar al máximo esa publicidad es conocer todos los detalles posibles del perfil como consumidor del usuario. Es la forma de aumentar la efectividad de los anuncios que se les muestran. Identificar a la persona que navega desde cada aparato es el modelo de negocio real de la inmensa mayoría de páginas web y servicios gratuitos.
Es la razón por la cual, como constata la AEPD, en ellas “no se proporcionan herramientas para poder evitar la recogida de datos, ya que una vez iniciado el acceso la página en Internet, y antes de que el usuario haya podido visualizarlo, el servidor ya tiene toda la información de su fingerprint”.
Aunque el usuario haya intentado establecer protecciones, los sistemas de minado de información son capaces de saltárselos. “Incluso se han detectado casos en los que, de forma general, no se atiende a la configuración DNT (Do Not Track) establecida por el usuario para desactivar la recogida de la huella digital en los servicios de Internet”, señala el informe.
Protegerse no es fácil
La AEPD avisa que el 'modo privado' o 'navegación anónima' de los navegadores no sirve de nada ante la recolección de la huella digital: “A las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas”. Ocurre algo similar con las VPN o redes de anonimización, que aunque filtran la información sobre la dirección IP del usuario, dejan a la vista toda la relativa al dispositivo y sus características.
Existen herramientas que permiten camuflar la huella digital. No obstante, estas resultan “complejas para un usuario común, dificultan la navegación en Internet y tienen una efectividad limitada”, lamenta el regulador de privacidad español. La más efectiva, pese a que la AEPD apenas la menciona en una línea del estudio, es el navegador Tor: “Enmascara la huella del terminal cuando se accede a Internet”, se limita a exponer.
En cambio, la Agencia explica con mayor profundidad otras opciones, aunque reconoce que son menos efectivas. Entre las opciones que lista está activar el Do Not Track (DNT), presente en casi todos los navegadores y que indica la voluntad del usuario de deshabilitar las técnicas de seguimiento. “Lamentablemente, no todos los servicios web cumplen o respetan la solicitud DNT del usuario”, recuerda la AEPD, ya que no constituye una obligación: “De hecho, algunos servicios web utilizan esta información como un factor más de la huella digital del usuario”.
Otra de las recomendaciones es usar bloqueadores de publicidad. El estudio ha detectado que los más eficaces son Ghostery y uBlock Origin. Existen múltiples opciones, como Privacy Badger, de la Electronic Frontier Foundation.
Los últimos consejos por parte de la APED son alternar el uso de navegadores (“no elimina el uso de la huella, pero permitirá que no toda la información sobre la actividad del usuario se consolide asociada a un mismo identificador”, explica) e instalar el mínimo de extensiones posibles en ellos. Todas ellas sirven para identificar al usuario: “Cuantas más extensiones se tengan instaladas y más alejado se encuentre el navegador de su configuración por defecto más capacidad para singularizarnos”.