Una herramienta de espionaje mundial expuso la ubicación de miles de millones de personas a cualquiera dispuesto a pagar. Un grupo católico compró datos de localización de usuarios de aplicaciones de citas para homosexuales con el fin de denunciar a sacerdotes homosexuales. Un intermediario de datos de localización vendió listas de personas que asistían a protestas políticas.

¿Qué tienen en común estas violaciones de la privacidad? Comparten una fuente de datos sorprendentemente omnipresente y no regulada: la tecnología que alimenta casi todos los anuncios que se ven en Internet.

Cada vez que ve un anuncio dirigido, su información personal queda expuesta a miles de anunciantes y corredores de datos a través de un proceso denominado "puja en tiempo real" (RTB). Este proceso hace algo más que ofrecer anuncios: alimenta la vigilancia gubernamental, plantea riesgos para la seguridad nacional y facilita a los intermediarios de datos el acceso a su actividad en línea. Puede que el RTB sea el sistema de vigilancia más invasivo de la privacidad que nunca hayas oído hablar.

¿Qué es la puja en tiempo real?

RTB es el proceso utilizado para seleccionar los anuncios dirigidos que se le muestran en casi todos los sitios web y aplicaciones que visitas. Los anuncios que ves son los ganadores de subastas que duran milisegundos y que exponen tu información personal a miles de empresas al día . Funciona así:

  1. En el momento en que usted visita un sitio web o una aplicación con espacio publicitario, ésta pide a una empresa que gestiona subastas de anuncios que determine qué anuncios le mostrará. Esto implica enviar información sobre usted y el contenido que está viendo a la empresa de subastas de anuncios.
  2. La empresa de subastas de anuncios agrupa toda la información que puede recopilar sobre usted en una "solicitud de oferta" y la envía a miles de anunciantes potenciales.
  3. La solicitud de oferta puede contener información personal como su ID de publicidad único , ubicación, dirección IP, detalles del dispositivo, intereses e información demográfica. La información contenida en las solicitudes de oferta se denomina "datos bidstream" y puede vincularse fácilmente a personas reales
  4. Los anunciantes utilizan la información personal de cada solicitud de puja, junto con los perfiles de datos han creado sobre usted a lo largo del tiempo, para decidir si pujan por un espacio publicitario.
  5. Los anunciantes, y sus plataformas de compra de publicidad, pueden almacenar los datos personales en la solicitud de oferta independientemente de si pujan o no por un espacio publicitario.

Una vulnerabilidad clave de las pujas en tiempo real es que, aunque sólo un anunciante gana la subasta, todos los participantes reciben los datos. De hecho, cualquiera que se haga pasar por comprador de anuncios puede acceder a un flujo de datos sensibles sobre los miles de millones de personas que utilizan sitios web o aplicaciones con anuncios dirigidos. Esta es una de las principales formas en que el RTB pone los datos personales en manos de los corredores de datos, que los venden básicamente a cualquiera que esté dispuesto a pagar. Aunque algunas empresas de subastas publicitarias tienen políticas contra la venta de datos de bidstream , la práctica sigue estando muy extendida.

El RTB no solo permite a las empresas recopilar tus datos, sino que también los incentiva. Las solicitudes de pujas que contienen más datos personales atraen pujas más altas , por lo que los sitios web y las aplicaciones están motivados económicamente para recopilar la mayor cantidad posible de tus datos. El RTB incentiva aún más a los intermediarios de datos a rastrear tu actividad en línea porque los anunciantes compran datos a los intermediarios de datos para informar sus decisiones de puja.

Los intermediarios de datos no necesitan tener ninguna relación directa con las aplicaciones y sitios web de los que recopilan datos de bidstream. Mientras que algunos métodos de recopilación de datos requieren que los desarrolladores de sitios web o aplicaciones instalen en el código de un intermediario de datos , el RTB es facilitado por empresas de publicidad que ya están integradas en la mayoría de sitios web y aplicaciones. Esto permite a los intermediarios recopilar datos a una escala asombrosa. Cada día se emiten cientos de miles de millones de solicitudes de ofertas RTB . Por cada una de esas pujas, miles de plataformas de compra de anuncios reales o falsas pueden recibir datos. Como resultado, han surgido empresas enteras para recopilar y vender datos de subastas de publicidad en línea.

Primera acción de la FTC contra el abuso de los datos de las licitaciones en tiempo real

Una reciente acción de aplicación por la Comisión Federal de Comercio (FTC) muestra que los peligros del RTB no son hipotéticos: los intermediarios de datos se basan activamente en el RTB para recopilar y vender información sensible. La FTC descubrió que el intermediario de datos Mobilewalla recopilaba datos personales -incluida información precisa sobre la ubicación- de subastas RTB sin publicar anuncios.

Mobilewalla recopiló datos de más de mil millones de personas, de los que se calcula que un 60% procedía directamente de subastas RTB. A continuación, la empresa vendió estos datos para una serie de fines invasivos, como el seguimiento de organizadores sindicales, el rastreo de personas en las protestas de Black Lives Matter y , la recopilación de direcciones de empleados sanitarios para su contratación por parte de empresas competidoras. También clasificaba a las personas en grupos personalizados para los anunciantes , como "mujeres embarazadas", "fieles hispanos" y "miembros de la comunidad LGBTQ+".

La FTC concluyó que la práctica de Mobilewalla de recopilar datos personales de subastas RTB en las que no publicaban anuncios infringía la prohibición de conducta desleal de la Ley FTC . La orden de resolución propuesta por la FTC prohíbe a Mobilewalla recopilar datos de consumidores de subastas RTB para fines distintos de la participación en dichas subastas. Esta acción marca la primera vez que la FTC se ha centrado en el abuso de datos de bidstream. Aunque celebramos este importante hito, los peligros del RTB van mucho más allá de un corredor de datos.

Las licitaciones en tiempo real permiten la masiva

El RTB se utiliza habitualmente para la vigilancia gubernamental. Ya en 2017, los investigadores de demostraron que se podían utilizar datos de segmentación publicitaria por valor de 1.000 dólares para rastrear la ubicación de una persona y obtener información sensible como su religión y orientación sexual. Desde entonces, los corredores de datos han sido sorprendidos vendiendo datos de bidstream a agencias de inteligencia gubernamentales. Por ejemplo, el corredor de datos Near Intelligence recopiló datos sobre más de mil millones de dispositivos de subastas RTB y los vendió al Departamento de Defensa de Estados Unidos . Mobilewalla vendió datos de bidstream a otro corredor de datos, Gravy Analytics, cuya filial, Venntell, también ha vendido datos de localización al FBI, ICE, CBP y otras agencias gubernamentales .

Además de comprar datos bidstream en bruto, los gobiernos compran herramientas de vigilancia que se basan en las mismas subastas publicitarias. La empresa de vigilancia Rayzone se hizo pasar por anunciante para adquirir datos de bidstream, que reconvirtió en herramientas de seguimiento vendidas a gobiernos de todo el mundo. Las herramientas de Rayzone podían identificar teléfonos que habían estado en lugares concretos y vincularlos a los nombres, direcciones e historiales de navegación de las personas. Patternz , otra herramienta de vigilancia basada en datos de bidstream, se anunciaba a agencias de seguridad de todo el mundo como una forma de rastrear la ubicación de las personas. El director ejecutivo de Patternz puso de relieve la conexión entre la vigilancia y la tecnología publicitaria cuando sugirió que su empresa podía rastrear a las personas a través de " prácticamente cualquier aplicación que tenga anuncios ."

Más allá de los perjuicios para la privacidad derivados de la vigilancia gubernamental impulsada por la RTB, ésta también crea riesgos para la seguridad nacional. Los investigadores han advertido de que el RTB podría permitir a Estados extranjeros y agentes no estatales obtener datos personales comprometedores sobre personal de defensa y líderes políticos estadounidenses. De hecho, Las subastas de anuncios de Google enviaron datos confidenciales a una empresa publicitaria rusa durante meses después de que fuera sancionada por el Tesoro de Estados Unidos.

Los peligros para la privacidad y la seguridad del RTB son inherentes a su diseño, y no sólo una cuestión de uso indebido por parte de intermediarios de datos individuales. El proceso transmite torrentes de nuestros datos personales a miles de empresas, cientos de veces al día, sin ningún control sobre el uso final que se hace de esta información. Este intercambio indiscriminado de datos de localización y otra información personal es peligroso, independientemente de si los destinatarios son anunciantes o empresas de vigilancia disfrazadas. Compartir datos sensibles con los anunciantes permite la explotación publicitaria, como empresas de préstamos abusivos dirigidos a personas con problemas financieros . El RTB es un sistema de vigilancia en esencia, que ofrece a empresas y gobiernos oportunidades ilimitadas para utilizar nuestros datos en nuestra contra.

Cómo protegerte

En casi todos los sitios web y aplicaciones se producen subastas publicitarias que invaden la privacidad, pero hay medidas que puede tomar para protegerse:

  • Para aplicaciones: Sigue las instrucciones de EFF para desactivar tu ID de publicidad móvil y auditar los permisos de la aplicación. Estos pasos reducirán los datos personales disponibles para el proceso RTB y dificultarán que los intermediarios de datos creen perfiles detallados sobre ti.
  • Para sitios web: Instale Privacy Badger , una extensión gratuita del navegador creada por la EFF para bloquear los rastreadores en línea. Privacy Badger bloquea automáticamente los anuncios con seguimiento, impidiendo que se inicie el proceso RTB.

Estas medidas ayudarán a proteger tu privacidad, pero los anunciantes están, constantemente , encontrando nuevas formas de recopilar y explotar tus datos. Esta es una razón más por la que los particulares no deben ser los únicos responsables de defender sus datos cada vez que utilizan Internet.

La verdadera solución: Prohibir la publicidad comportamental en línea

La mejor manera de evitar que los anuncios en línea alimenten la vigilancia es prohibir la publicidad basada en el comportamiento en línea. Esto pondría fin a la práctica de dirigir anuncios en función de su actividad en línea, eliminando el principal incentivo para que las empresas rastreen y compartan sus datos personales. También impediría que sus datos personales se transmitieran a intermediarios de datos a través de subastas RTB. Los anuncios podrían seguir orientándose contextualmente en función del contenido de la página que esté viendo en ese momento, sin recopilar ni exponer información sensible sobre usted. Este cambio no sólo protegería la privacidad individual, sino que también reduciría el poder de la industria de la vigilancia. Ver un anuncio no debería significar ceder sus datos a miles de empresas de las que nunca ha oído hablar. Es hora de poner fin a la publicidad basada en el comportamiento en línea y a la vigilancia masiva que permite.

Related Issues

Online Behavioral Tracking
Privacy

Related Updates