En Junio del 2014, un informe (EN) realizado por la Comisión de Privacidad Belga demostraba lo que llevábamos tiempo suponiendo: Los tentáculos de Facebook llegaban bastante más lejos de lo que a priori parecía.
Tanto como para que cualquier web que tuviera un botón de compartir en Facebook sirviera a la red social para identificar a ese usuario. Y lo más importante: Aunque ese usuario no tuviera cuenta en Facebook.
Desde entonces, y hasta ahora, juicios y recursos aplazados que han acabado por detonar hace unas horas (EN), cuando el juez decretaba la obligatoriedad de que la red social pidiera de antemano permiso para tracear a sus no-usuarios.
Porque aquí está el quid de la cuestión. Mientras que en algunos países (como en España), los administradores de páginas estamos obligados a alertar al visitante de qué cookies almacenamos de su navegación (cosa que puede consultar en la Política de Privacidad (ES) de esta página), las cookies que Facebook implementa en sus botoneras estaban hasta ahora exentas de esta tentativa.
Las de Facebook, y en líneas de generales, las de cualquier tercera parte. Un grave problema que comentaba en el día de ayer con los miembros de la Comunidad.
El 90% de las webs exponen datos a terceros
Son datos revelados por un estudio publicado recientemente (EN), en el que Tim Libert ponía a prueba el millón de páginas más visitadas de la actualidad con webXray (EN), un software que analiza todas las peticiones HTTP realizadas por los componentes que conforman una web.
Para un servicio de este tipo (sea Facebook, sea Google, sea quien sea), es tan sencillo como obligar al administrador a hacer llamadas a las APIs o el recurso oportuno (un contador de Likes, una imagen del botón,…) en cada petición de usuario que haya. El usuario, al cargar la página, realiza una conexión HTTP con este otro servidor, y con ella desvela datos como su IP, la fecha y hora, el modelo de ordenador y el navegador (con sus posibles extensiones). Información que como en su día vimos, pueden servir para identificar a un usuario mediante técnicas de canvas fingerprinting.
Y esta web seguramente sea una de ellas, por mucho que me haya tomado en su día en serio este asunto.
La razón radica, como les comentaba a los miembros en el email, en que la arquitectura de las webs actuales está tan distribuida (recursos que para cargar deben llamar a otros recursos almacenados en un servidor, que a su vez pueden estar en otro servidor,…), que resulta literalmente imposible evitar alguna fuga de información.
Esta página está desarrollada con WordPress, y NO tiene publicidad (ergo el único tracking que tengo habilitado es el de Analytics). Además, los botones sociales los genero estáticamente en la página, y únicamente cargan el script de cada red social cuando el usuario clicka en ellos.
Aún así, WordPress es un CMS, y muchos de los plugins que utilizo requieren hacer llamadas externas para cargar los recursos necesarios. Incluso archivos necesarios para el buen funcionamiento de tecnologías como jQuery o librerías de JavaScript no es raro que estén alojadas en servidores de terceros, para que así se actualicen de forma inmediata cuando surge una nueva vulnerabilidad (o haya nuevas implementaciones).
Al final, para cargar cualquier página, y por mucho que nos hayamos empeñado en tener todo lo posible en local, siempre hay llamadas a servidores de terceros, y cualquiera de esas llamadas podría servir para identificar al usuario, para recopilar información suya, y como en el caso de Facebook, generarle una suerte de profiling pese a que expresamente este (y el administrador del sitio) no haya consentido su uso.
Esas cookies que nos persiguen hagamos lo que hagamos, pese a que en la web origen no estén traficando con nuestros datos. Y que empiezan a animarnos a apostar por estrategias de desinformación como única medida para protegernos de sus devastadores efectos.
Ahora los tentáculos llegan a la memoria de nuestros smartphones
La historia no queda ahí. Parece que después del ambient location, del ambient listenning and seeing, la nueva tendencia es el análisis sistemático de los datos almacenados en la memoria de nuestros terminales.
Messenger está por ahora probando Photo Magic (EN), un servicio que les permite identificar personas en fotos almacenadas en el terminal de sus usuarios, para sugerirle a este que las comparta con sus conocidos.
Es decir: hablamos de aplicar reconocimiento facial (ese mismo que en su día se vio obligado a desactivar en Europa) a fotos que están en nuestro dispositivo, y que en ningún momento hemos subido a Facebook. De que los tentáculos de Facebook lleguen a esa información que el usuario, por la razón que sea, no ha visto oportuno compartir en su perfil.
Entre las razones esgrimidas, las de siempre: Facebook está perdiendo engagement con sus usuarios, que apuestan por redes más inmediatas (y sensibles a la privacidad) como Snapchat.
De hecho, en una conversación de hace un rato con mi pareja (y que salió precisamente al verme ella escribir este artículo) me comentaba sorprendida cómo Facebook empezaba a perder fuelle en sus círculos de amigas.
Lo que no se da cuenta es que pese a que ya no compartamos tanto en Facebook, si lo hacemos en WhatsApp. Y en EEUU, sí lo hacen en Messenger. Es más, ayer mismo tuve una llamada con un conocido por este servicio.
Y todas sus amigas seguramente usen a diario Instagram.
hoy en día, el top de descargas de aplicaciones está dominado de una u otra manera por Facebook (ES), que únicamente se ha quedado atrás en la mensajería efímera con la negativa de compra por parte de Snapchat.
Los tentáculos de Facebook llegan cada vez más y más lejos. Dominan el apartado social digital, pero también las dos grandes aplicaciones de mensajería instantánea, e incluso la red social de fotografías por antonomasia y el vídeo (por delante de Youtube (ES), ojo), sea por Instagram, sea por su propia red.
Son capaces de tracear al usuario dentro y fuera de su plataforma, sea o no ya usuario suyo. Y también de identificar usuarios en fotografías mediante el reconocimiento facial, estén o no dentro de su plataforma.
Todo de forma muy sutil. Tanto que el usuario de a pie, como es mi pareja, piensa que han perdido la batalla.
Nada más lejos de la realidad.
Diosssssssssssssssssssssssssssss. Me lo temia
Jajajajaja, era un secreto a voces :).
Lo digo y lo vuelvo a decir… no uso facebook desde hace un bueeeen tiempo… si lo admito uso instagram… con eso suficiente para no sentirme dichoso de no usar facebook porque se que de algun modo tiene un perfil mio personalizado dentro de su base de datos, es mi propio agujero negro… succiona todo lo que sea etiquetado con mi nombre y termina en un lugar profundo alejado de todos entre unos y ceros formando parte de un solo sistema de informacion acumulada para usos personales de la empresa…
Pero es que… la verdad… uso instagram porque es hasta la fecha (aparte de twitter que es un poco menos) la mas usada por mis artistas coreanas fuera de las redes sociales propias del continente asiatico en su mayoria del lado este de asia, donde los ojos rajados dirian algunos ….
Al final entramos todos por el aro Dbillyx. No se trata de hacer boicot a sus servicios, sino de exigir un trato correcto de los datos. Facebook ofrece muchísimas cosas buenas. Es cuestión de plantar cara a lo que es negativo para el usuario.
Saludos, y gracias por compartir tu reflexión al respecto.
Si un blog usa la API AJAX de Google para importar unos feeds, ¿también quedan vendidos sus usuarios? Imagino que la respuesta es que sí, para nuestra desgracia, y supongo que no hay ninguna forma de llamar a esa librería en local o de usar un clon libre de dicha librería.
No sé si exactamente la de AJAX lo hace. Poder pueden. Cualquier llamada a un servidor externo puede contar con un script de seguimiento. Pero bueno, que no es obligatorio.
Donde sí pasa es en los botones sociales, por ejemplo. Los nativos de las plataformas como el de Facebook sí guardan información del usuario aunque no los llegue a pulsar, simplemente por la carga inicial.
Saludos Pidal.