Cuando el antivirus se vuelve spyware: sobre AVG y confianza digital

spyware

En tecnología, cuando algo es gratuito, tú eres el producto.

Es uno de los mantras más habituales para referirse a servicios digitales, y por ende, uno que nos ha acompañado durante todos estos últimos años.

Empresas como Google o Facebook sustentan su negocio precisamente en eso, en generar perfiles hipersegmentados que puedan ofrecer a sus anunciantes como canal publicitario. Con algunos matices (no se comparte la información, sino el canal de comunicación). Otros son más radicales, y no se cortan al vender directamente esas bases de datos a terceros, o compartirlas con partners en una suerte de win/win (yo cedo parte a mi competencia, y a cambio los dos obtenemos más información sobre estos usuarios).

Obtener este tipo de información (y explotarla adecuadamente) no es baladí. Para que estos datos sirvan en efecto como identificador de ese usuario es necesario generar una demanda lo suficientemente importante como para que esa herramienta esté presente en al menos parte de la interacción habitual del usuario. Y en el mejor de los casos, se vuelva un must have, parte del ecosistema en el que el usuario asienta, consciente o inconscientemente, su experiencia digital.

AVG Technologies es una de esas compañías que recientemente ha dado el paso. Y lo hace con la versión “gratuita” de la herramienta por la que todos la conocemos, AVG.

Un servicio más que pasa a recopilar datos del usuario, dirán algunos

¿El problema? Que esta herramienta en particular no es como la mayoría. AVG es un antivirus, instalado en 1 de cada 4 dispositivos (móviles incluidos), y como antivirus que es, el control y acceso que tiene sobre la máquina es de los más altos del sistema.

Y no deja de ser anecdótico que un antivirus con funciones de antispyware opere con estrategias semejantes a las de todos esos spyware que habitualmente bloquea en nuestros dispositivos.

A partir del 15 de Octubre, entrará el vigor la nueva política de privacidad (EN), y con ella, AVG Free Edition monetizará su herramienta con las siguientes nuevas funcionalidades:

  1. Generación de ID para anuncios, que identifica al dispositivo.
  2. Recopilación del historial de navegación y búsquedas, incluyendo meta datos.
  3. Archivado del proveedor de acceso a Internet o redes de telefonía móvil utilizadas por el usuario.
  4. Almacenaje de información sobre otras aplicaciones instaladas en el dispositivo, y la forma en que son utilizadas.

Todo ello gracias a los permisos con los que ya cuenta, como bien señalaba el experto en privacidad Alexander Hanff, de la empresa Think Privacy, para Wired (EN):

“Los programas antivirus son ejecutados en nuestros dispositivos con mayores privilegios, precisamente para que puedan hacer su trabajo y detectar y bloquear malware, spyware y otras amenazas. […]

Es totalmente contrario a la ética. El grado más alto y un abuso total y completo de la confianza que le damos a nuestro software de seguridad.

El papel del antivirus y la confianza depositada en este tipo de herramientas

Entiendo que el objetivo final de una empresa es hacer caja. Pero creo que hay maneras más adecuadas para una empresa de seguridad que revender información sacada de los hábitos de consumo de cada usuario.

Es más, si me apura, AVG Free Edition cumple ya con un modelo de negocio bastante aceptable. Le sirve a la empresa para tener una base de usuarios muy alta, y por ende, un laboratorio de pruebas y descubrimiento de nuevas cepas de malware mucho más extenso que si este estuviera acotado únicamente a sus clientes premium.

AVG comparte, como el resto de antivirus, información con el centro de control, de manera que están en una posición muy buena para ser de los primeros en descubrir nuevas herramientas fraudulentas y sacar el parche oportuno, tanto para los clientes gratuitos como para los de pago.

¿Qué consiguen con este movimiento? De facto que alguien como un servidor le anime a desinstalar AVG Free Edition si es que ya era usuario de su herramienta. La figura del antivirus, como ya comentábamos hace un tiempo, ha cambiado tanto que per sé, se hace intrascendente.

Sistemas operativos como OS X, Windows, Linux, Android e iOS tienen controles más que suficientes para un uso medio (su propio sistema antivirus, que para colmo operaba a bajo nivel, y/o un sistema de confianza basado en la reputación de un market) como para que no sea necesario instalarle una herramienta más, que debe funcionar permanentemente en segundo plano, con el consumo de recursos esperable.

Al menos para combatir el malware. El sentido común (que es el menos común de todos los sentidos) hace el resto.

La cosa cambia cuando el antivirus ofrece otras herramientas. Porque ahí es donde está el verdadero valor de un antivirus, y no en el propio análisis, pasivo o activo, de los archivos instalados.

Pero precisamente esto la versión gratuita de AVG no lo ofrece.

Y de paso, un movimiento tan intrusivo como este rompe ese lazo de confianza que el usuario “entendido” puede tener con un referente del sector como es AVG.

La lectura rápida es que “se han vendido”, y por tanto, ya no entran dentro de mi ámbito de interés. Lo menos que espero de una empresa dedicada a la lucha contra el cibrecrimen es que, aunque sea legalmente, usen su herramienta gratuita como spyware. Algo que seguramente aprovechará la competencia para señalarlos como tal (y que me parecería muy acertado por su parte).

Han perdido el norte, sencilla y llanamente. Ya no gozan de la confianza de un antiguo cliente suyo, y por supuesto, ya lo van a tener difícil para recuperarla.

No hay vuelta atrás en lo que considero un ataque a la privacidad del usuario. No concibo instalar una herramienta que entre otras cosas ofrece eliminarme posible spyware instalado, mientras ella misma recopila información personal para venderla a terceros.

Y no, de nada me sirve que aseguren que evitarán en la medida de lo posible recopilar información crítica que pueda servir para identificar al usuario, ni que al menos se hayan molestado en ser claros con la política de privacidad. Ellos saben mejor que nadie que técnicas como el Canvas Fingerprinting, o el simple cruce de varias bases de datos permite a una plataforma de Ad identificar unilateralmente a cada usuario. Gracias a compañías como AVG Technologies, aunque por sí sola quizás esa base de datos no sea identificativa.

Es un verdadero insulto hacia la confianza y la inteligencia de sus clientes, aunque sean de la versión gratuita.

E insultándonos, más en un escenario donde cambiar de proveedor de seguridad apenas me lleva 1 minuto, no se llega muy lejos.

Adios.