¿Avast vende datos? A la luz de las revelaciones, uno no es paranoico por querer desinstalar Avast, sino tan solo precavido. Dicho en tono de pregunta: ¿La protección de un sistema al costo de la violación de privacidad?
Hoy más que antes, la información es oro. Muestra de ello, el bombardeo diario de publicidad, cada vez más dirigido y personalizado.
Ya existen desde hace varios años tecnologías en manos de empresas, especializadas en recoger datos de los usuarios en forma automática, con vistas a venderlos como un producto a otras empresas.
El historial de búsqueda, por ejemplo, contiene un montón de información valiosa para las empresas que quieren teledirigir sus anuncios publicitarios en busca de clics y compras.
¿Avast vende datos?
Además de los rastreadores de navegador (‘track browser’) y otras prácticas dedicadas a recopilar las (supuestas) preferencias y hábitos del usuario en línea, recientes informes periodísticos reportan la existencia de rastreadores integrados en el popular antivirus Avast, usados para juntar data y venderla a quien pueda pagarla.
Revelación – Jumpshot de Avast y su negocio con los datos de navegación
El 27 de enero de 2020 salió a la luz una investigación conjunta de Motherboard de Vice y PCMag, que revela el servicio proporcionado por Jumpshot, una filial de Avast, la compañía de software cuyo programa de antivirus usan cientos de millones de usuarios alrededor del mundo.
Jumpshot está vendiendo a sus clientes, entre ellos las compañías más gordas del globo, “datos de navegación web altamente sensibles” a puertas cerradas, bajo la confidencialidad (y complicidad) de las partes involucradas en el contrato.
¿Cómo obtienen la info de los historiales de navegación?
La recopilación de datos se hace con el programa de antivirus Avast que el usuario tiene instalado en su computadora. Luego, se lo entrega a Jumpshot, que a su vez los ofrece a la venta en variados planes y paquetes.
Según el artículo publicado en Motherboard – Vice, algunos de “los clientes pasados, presentes y potenciales incluyen Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit y muchos otros”.
“All Click Feed” de Jumpshot
Con este producto, el cliente paga para obtener un detalle de datos basados en todos los clics que Jumpshot ha visto en un dominio particular. Un tweet de Jumpshot lo pone más claro. La recopilación es sobre…
“Cada búsqueda. Cada clic. Cada compra. En cada sitio”
Ciertas compañías pagaron millones de dólares por “All Click Feed”, un producto que rastrea la actividad y comportamiento del usuario, incluyendo cada clic y el movimiento a través de sitios web, todo al desglose.
¿Qué datos recopila Avast?
Entre otros casos, el informe periodístico publicado en Vice menciona los siguientes escenarios de recopilación del rastreador del antivirus:
- Búsquedas en Google
- Búsquedas de ubicaciones y coordenadas GPS en Google Maps
- Usuarios que visitan las páginas de LinkedIn de las empresas
- Videos en específico de YouTube
- Visitantes de sitios porno
El reporte afirma que incluso se puede identificar en qué fecha y hora se visitó, por ejemplo, PornHub o hasta qué término buscó y qué video vio.
¿El usuario debería saber esto?
“Varios usuarios de Avast le dijeron a Motherboard que no sabían que Avast vendía datos de navegación, lo que genera preguntas sobre cuán informado está ese consentimiento”.
Motherboard – Vice
Pasado Recopilador – De complemento del navegador al antivirus
Antes Avast recopilaba la información de navegación de sus clientes por medio de un complemento que debía instalar el usuario, en teoría creado para alertar de sitios web sospechosos.
Wladimir Palant, investigador de seguridad y creador del bloqueador de anuncios AdBlock Plus, reveló en una publicación en su blog que el complemento era un rastreador de datos.
Poco después, Google, Mozilla y Opera eliminaron las extensiones AVG de Avast. Durante ese tiempo, Avast dejó de enviar datos de navegación a Jumpshot recogidos mediante estas extensiones, según dijo la propia Avast a Motherboard y PCMag.
Ahora, en vez de utilizar esos complementos, la recopilación de datos Avast la hace a través del propio software de antivirus instalado en la PC.
Avast comenzó a pedir a sus clientes de antivirus gratuitos, a través de una ventana emergente que se abre desde el programa, elegir por la recopilación de datos.
De acuerdo con un manual interno de Jumpshot, al que accedieron los mencionados medios digitales, si se opta por ello…
“ese dispositivo se convierte en parte del Panel Jumpshot y toda la actividad de Internet basada en el navegador se informará a Jumpshot… ¿Qué URL visitaron estos dispositivos, en qué orden y cuándo?…”
Al instalar ahora el antivirus Avast por primera vez, el programa pregunta si quieren optar por la recopilación de datos.
“Si lo permite, proporcionaremos a nuestra subsidiaria Jumpshot Inc. un conjunto de datos despojado y desidentificado derivado de su historial de navegación con el fin de permitir que Jumpshot analice los mercados y las tendencias comerciales y recopile otras ideas valiosas”.
“Los datos están completamente desidentificados y agregados y no se pueden utilizar para identificarlo personalmente o apuntarle a usted. Jumpshot puede compartir información agregada con sus clientes”.
¿El rastreo de datos cuida el anonimato del usuario?
Si bien documentos internos muestran que la protección de la identidad del usuario está garantizada por contrato, estudios académicos y especialistas en seguridad alertan que la información suministrada / disponible puede, en la práctica, no ser del todo anónima.
Entre los pocos que respondieron a las preguntas realizadas por los periodistas, la empresa Home Depot admitió que en ocasiones usan datos de proveedores externos para ayudar a mejorar su negocio. Pero aseguran recibir “datos de audiencia anonimizados, que no pueden utilizarse para identificar clientes individuales”.
Algo similar expresó la empresa de marketing Omnicom Media Group, la cual llegó a pagar por productos de Jumpshot $ 2,075,000 en 2019.
Entre otras cosas, Omnicom tuvo acceso a todos los feeds de clics de 14 países, incluyendo inferencias de género y edad de los usuarios “en función del comportamiento de navegación” y “toda la cadena de URL“, pero con los datos de identificación personal (PII) eliminados, especifica el contrato.
Omnicom señala que el ID del dispositivo se encuentra codificado, no siendo posible para la empresa identificar quién está detrás de la información de navegación vendida.
Sin embargo, como resalta el informe de Motherboard, un documento interno de Jumpshot indica que las IDs de dispositivo no cambian para cada usuario, “a menos que un usuario desinstale y reinstale completamente el software de seguridad”.
Desde el marco académico, ya se ha advertido sobre la viabilidad de desanonimizar a los usuarios e identificar personas a partir de datos anónimos de navegación web.
La Universidad de Stanford publicó en 2017 un artículo titulado ‘De-anonymizing Web Browsing Data with Social Networks’.
Basado en sus ensayos u observaciones, el trabajo expone cómo es posible asociar los historiales de navegación web no identificados con perfiles de redes sociales y datos disponibles públicamente para inferir otros datos.
Los investigadores adelantan en el resumen del artículo:
“Finalmente, dado que nuestro ataque intenta encontrar el perfil correcto de Twitter en más de 300 millones de candidatos, es, que sepamos, la de-anonimización demostrada a mayor escala hasta la fecha”.
Recalcando esta idea y posibilidad técnica, Günes Acar, experto en criptografía y seguridad Informática en la universidad belga KU Leuven, dijo a los periodistas de Motherboard y PCMag:
“La mayoría de las amenazas planteadas por la desanonimización (de-anonymization), en la que se identifican personas, proviene de la capacidad de fusionar la información con otros datos“, dijo a los creadores del informe.
Por su parte, Eric Goldman, profesor de la Facultad de Derecho de la Universidad de Santa Clara, opinó sin medias tintas:
“Es casi imposible desidentificar los datos. Cuando prometen desidentificar los datos, no lo creo”
Antivirus Avast -Versión oficial
Los periodistas de Motherboard y PCMag consultaron a Avast cómo se garantiza la protección del anonimato del usuario.
La respuesta de Avast, en formato de comunicado oficial, dice:
“Debido a nuestro enfoque, nos aseguramos de que Jumpshot no obtenga información de identificación personal, incluido el nombre, la dirección de correo electrónico o los datos de contacto, de personas que utilizan nuestro popular software antivirus gratuito”.
“Los usuarios siempre han tenido la posibilidad de optar por no compartir datos con Jumpshot. A partir de julio de 2019, ya habíamos comenzado a implementar una opción de aceptación explícita para todas las descargas nuevas de nuestro AV, y ahora también estamos solicitando a nuestros usuarios gratuitos existentes para hacer una elección explícita, un proceso que se completará en febrero de 2020”.
“Tenemos un largo historial de protección de los dispositivos y datos de los usuarios contra el malware, y entendemos y tomamos en serio la responsabilidad de equilibrar la privacidad del usuario con el uso necesario de los datos”.
Si no quieres que persigan tus búsquedas por algún motivo en particular o por derecho propio, hazle caso y borra tu historial, o usa directamente el navegador Tor y su buscador DuckDuckGo. O aplicar a navegadores web comunes el complemento Privacy Badger, diseñado para que anunciantes y rastreadores no puedan acceder a los datos de tu navegación.
Fuentes de la información, declaraciones y documentos:
¿Cómo desinstalar Avast?
- Ir a ‘Inicio’
- Buscar ‘programas’
- Seleccionar ‘Agregar o quitar programas’
- Buscar ‘Avast’
- ‘Desinstalar’
- Esperar que se complete el proceso
- Reinicia la PC
Recuerda tener instalado y activado otro antivirus antes de desinstalar Avast.
En caso de que no sea posible desinstalar Avast con la opción ‘Agregar o quitar programar’, el propio antivirus ofrece una utilidad de desinstalación, llamada avastclear.
¿Desinstalar Avast? ¿Qué antivirus usar?
Si Avast vende datos de sus usuarios, tal como apuntan los mencionados informes, uno puede preferir legítimamente desinstalarlo y buscar una alternativa de protección que no sacrifique la privacidad en línea.
Tras obtener y evaluar pruebas de instituciones independientes, reportes y opiniones de especialistas en seguridad informática, una reseña de The WireCutter sugiere no pagar por un antivirus convencional como McAfee ni usar versiones gratis como las de Avast o AVG.
Para Windows, según los expertos en seguridad consultados, el Windows Defender integrado es “un antivirus lo suficientemente bueno“.
También se recomienda el uso de Malwarebytes Premium en Mac.
Habitualmente, programadores y conocedores de informática suelen aconsejar el uso de entornos Linux, reconocidos por ser menos inmunes que otros.
Si bien son menos frecuentes los casos de infecciones de malware en este sistema operativo, Linux mismo desmitifica la creencia popular y aclara que no es invulnerable a los virus.
Antivirus para Linux 2020
De acuerdo con la guía 2020 de Safety Detectives, algunos de los mejores antivirus para Linux son:
- ClamAV
- BitDefender
- Sophos
- Comodo
- F-PROT
Ver:
Herramientos de cifrado, redes más anónimas y protectores de la privacidad
