¿Alguna vez te has preguntado por qué te salen anuncios de cosas en las que estabas pensando?
No hay una gran conspiración. La tecnología publicitaria puede ser horriblemente precisa.
El gigante tecnológico Oracle es una de las pocas empresas en Silicon Valley que casi ha perfeccionado el arte de rastrear a las personas en Internet. La compañía lleva una década y miles de millones de dólares comprando nuevas empresas para construir su propio panóptico de datos de navegación web de los usuarios. Una de esas startups, BlueKai, que Oracle compró por poco más de 400 millones de dólares en 2014, apenas se conoce fuera de los círculos de marketing, pero acumuló uno de los mayores bancos de datos de seguimiento web fuera del gobierno federal.
BlueKai utiliza cookies y otras tecnologías para “seguirte” por la web. Al saber qué sitios web visitas y qué correos electrónicos abres, los especialistas en marketing pueden usar esta gran cantidad de datos de seguimiento para inferir lo más posible sobre tí (tus ingresos, educación, opiniones políticas e intereses, por nombrar algunos) para impactarte con anuncios que deben coincidir con tus (aparentes) gustos. Si haces click, los anunciantes ganan dinero. Pero durante un tiempo, esos datos de rastreo web se estaban “virtiendo” en Internet porque un servidor se quedó sin seguridad y sin contraseña, exponiendo miles de millones de registros para que cualquiera los encontrara.
El investigador de seguridad Anurag Sen encontró la base de datos e informó su hallazgo a Oracle a través de un intermediario: Roi Carthy, VP de la firma de ciberseguridad Hudson Rock y ex reportero de TechCrunch.
TechCrunch revisó los datos compartidos por Sen y encontró nombres, domicilios, direcciones de correo electrónico y otros datos identificables en la base de datos. Los datos también revelaron la actividad confidencial de navegación web de los usuarios, desde las compras hasta la cancelación de la suscripción a una newsletter...
Bennett Cyphers, tecnólogo de la Electronic Frontier Foundation, comentó a TechCrunch: "Realmente no se sabe cómo de reveladores pueden ser algunos de estos datos.” y según Deborah Hellinger de Oracle:
“Oracle está al tanto del informe realizado por Roi Carthy de Hudson Rock en relación con ciertos registros de BlueKai potencialmente expuestos en Internet si bien la información inicial proporcionada por el investigador no contenía suficiente información para identificar un sistema afectado, la investigación de Oracle posteriormente determinó que dos empresas no configuraron adecuadamente sus servicios. Oracle ha tomado medidas adicionales para evitar la recurrencia de este problema ".
Oracle no nombró a las compañías ni dijo cuáles eran esas medidas adicionales, pero el gran tamaño de la base de datos expuesta hace que este sea uno de los mayores fallos de seguridad del año.
Cómo aprende BlueKai
BlueKai se basa en recoger un suministro interminable de datos de una variedad de fuentes para comprender las tendencias y así poder servir los anuncios más precisos a los intereses de una persona. Los profesionales del marketing pueden aprovechar el enorme banco de datos de Oracle, que obtienen de las agencias de crédito, empresas de análisis y otras fuentes de datos del consumidor, incluidos miles de millones de puntos de datos de ubicación diarios, para targetear sus anuncios. Los especialistas en marketing también pueden cargar sus propios datos obtenidos directamente de los consumidores, como la información que das cuando registras una cuenta en un sitio web o cuando te suscribes a la newsletter de una empresa.
Pero BlueKai también usa tácticas más “encubiertas”, como permitir que los sitios web incorporen imágenes invisibles del tamaño de un píxel para recopilar información sobre tí tan pronto como abras la página: hardware, sistema operativo, navegador y cualquier información sobre la conexión de red. Es posible que estos datos, conocidos como el "agente de usuario" del navegador web, no parezcan confidenciales, pero cuando se fusionan pueden crear una "huella digital" única del dispositivo de una persona, que puede usarse para rastrear a esa persona mientras navega por Internet.
BlueKai también puede vincular tus hábitos de navegación web móvil con tu actividad de Desktop, lo que le permite seguirte a través de Internet sin importar qué dispositivo uses.
Digamos que por ejemplo un anunciante quiere ejecutar una campaña tratando de vender un nuevo modelo de automóvil. En el caso de BlueKai, ya tiene una categoría de "entusiastas del automóvil", y muchas otras categorías más específicas, que el vendedor puede usar para orientar con anuncios. Cualquier persona que haya visitado el sitio web de un fabricante de automóviles o un blog que incluya un píxel de seguimiento BlueKai podría clasificarse como "entusiasta del automóvil". Con el tiempo, esa persona se agrupará en diferentes categorías bajo un perfil que aprende tanto sobre tí para orientarte con esos anuncios.
(Fuentes: DaVooda, Filborg/Getty Images; Oracle BlueKai)
La tecnología está lejos de ser perfecta
Harvard Business Review descubrió a principios de este año que la información recopilada por los brokers de datos como Oracle, puede variar enormemente en calidad. Pero algunas de estas plataformas han demostrado ser alarmantemente precisas.
En 2012, Target envió por correo cupones de maternidad a una estudiante de secundaria después de que un sistema de análisis interno descubriera que estaba embarazada, incluso antes de decirle a sus padres, debido a los datos que recopiló de su navegación web. Algunos podrían argumentar que precisamente para eso están diseñados estos sistemas.
Jonathan Mayer, profesor de ciencias en la Universidad de Princeton, dijo a TechCrunch que BlueKai es uno de los sistemas líderes para vincular datos. "Si hace que el navegador envíe una dirección de correo electrónico y una cookie de seguimiento al mismo tiempo, eso es lo que necesita para crear ese enlace".
El objetivo final: cuanto más datos recaba BlueKai, más puede inferir sobre tí, lo que hace que sea más fácil orientarte con anuncios que podrían atraerte hacia ese click mágico para ganar dinero.
Pero los especialistas en marketing no pueden simplemente iniciar sesión en BlueKai y descargar una gran cantidad de información personal de sus servidores. Los datos son “curados” y enmascarados para que los vendedores nunca vean nombres, direcciones o cualquier otro dato personal. BlueKai recopila datos personales, pero no lo comparte con los vendedores
No han dado información sobre la precisión de sus datos
Lo cierto es que BlueKai ingiere y compara continuamente la mayor cantidad de datos personales sin procesar con el perfil de cada persona, enriqueciendo constantemente los datos de ese perfil para asegurarse de que estén actualizados y sean relevantes.
Pero fueron todos esos datos sin procesar (raw data) los que filtraron a internet en la base de datos expuesta. TechCrunch encontró registros que contienen detalles de compras privadas. Un registro detalla cómo un hombre alemán, cuyo nombre se oculta, usó una tarjeta de débito en prepago para realizar una apuesta de 10€ en un sitio de apuestas de eSports el 19 de abril. El registro también contenía la dirección, número de teléfono y dirección de correo electrónico del hombre. Otro registro reveló cómo una de las mayores compañías de inversión en Turquía utilizó BlueKai para rastrear a los usuarios en su sitio web. El registro detalla cómo una persona, que vive en Estambul, compró online muebles por valor de 899€ en una tienda de artículos para el hogar. Lo sabemos porque el registro contenía todos estos detalles, incluido el nombre del comprador, la dirección de correo electrónico y la dirección web directa del pedido del comprador… y no es necesario iniciar sesión.
También revisaron un registro que detalla cómo una persona se dio de baja de una newsletter administrada por un consumidor de productos electrónicos, enviado a su dirección de iCloud. El registro mostraba que la persona puede haber estado interesada en un modelo específico de cámara para colocar en el salpicadero de su coche. Incluso podemos decir, que su iPhone estaba desactualizado y necesitaba una actualización de software!
Los datos estuvieron expuestos durante meses, según Sen, quien descubrió la base de datos. Algunos registros datan de agosto de 2019, dijo:
"Los registros detallados de los hábitos de navegación web de las personas pueden revelar pasatiempos, afiliación política, nivel de ingresos, condiciones de salud, preferencias sexuales y, como se evidencia aquí, hábitos de juego. A medida que vivimos más de nuestras vidas online, este tipo de datos representa una porción cada vez mayor de cómo gastamos nuestro tiempo".
Oracle declinó decir si informó a aquellos cuyos datos fueron expuestos sobre el lapso de seguridad. La compañía también declinó decir si había advertido a los reguladores estadounidenses o internacionales del incidente. Según la ley estatal de California, se exige a las empresas como Oracle que divulguen públicamente los incidentes de seguridad de datos, pero Oracle hasta la fecha no ha declarado el fallo.
Un portavoz de la oficina del fiscal general de California se negó a decir si Oracle había informado a la oficina del incidente. Según GDPR, las empresas se pueden enfrentar a multas de hasta el 4% de su facturación anual global por no cumplir con las reglas de protección de datos y divulgación.
Trackers por todos lados
BlueKai está en todas partes, incluso cuando no puedes verlo. Una estimación dice que BlueKai rastrea más del 1% de todo el tráfico web, una cantidad insondable de recopilación diaria de datos, y rastrea algunos de los sitios web más grandes del mundo: Amazon, ESPN, Forbes, Glassdoor, Healthline, Levi's, MSN.com, Rotten Tomatoes y The New York Times. Incluso este mismo artículo podría tener un rastreador de BlueKai porque la empresa matriz de TechCrunch es Verizon Media, socio de BlueKai.
Pero BlueKai no está solo. Casi todos los sitios web que visitas contienen algún tipo de código de seguimiento invisible que te observa mientras navegas por Internet. Tan invasivo como es que los rastreadores invisibles están alimentando tus datos de navegación web a una base de datos gigantesca en la nube, son esos mismos datos los que han mantenido a Internet en gran medida libre durante tanto tiempo.
Para mantenerse libres, los sitios web usan publicidad para generar ingresos. Cuanto más dirigida sea la publicidad, mejor se supone que serán los ingresos. Si bien la mayoría de los usuarios de la web no son lo suficientemente ingenuos como para pensar que el seguimiento de Internet no existe, pocos círculos de marketing externos entienden la cantidad de datos recopilados y qué se hace con ellos.
Tomemos como ejemplo la violación de datos de Equifax en 2017, que generó críticas mordaces por parte de los legisladores después de que recopiló los datos de millones de consumidores sin su consentimiento explícito. Equifax, como BlueKai, confía en que los consumidores se salten las largas políticas de privacidad que rigen cómo los sitios web los rastrean.
En cualquier caso, los consumidores tienen pocas opciones más que aceptar los términos: Ser rastreado o abandonar el sitio. Esa es la compensación de tener un internet gratis. Pero existen peligros con la recopilación de datos de seguimiento web de millones de personas.
"Siempre que existan bases de datos como esta, siempre existe el riesgo de que los datos terminen en las manos equivocadas y en una posición para lastimar a alguien".
Cyphers dijo que los datos, si están en manos de alguien malicioso, podrían contribuir al robo de identidad, phishing o acoso. También es un objetivo valioso para las fuerzas del orden y las agencias gubernamentales que quieren aprovechar la recopilación de datos que Oracle ya hace.
Incluso cuando los datos se quedan donde están destinados, estas vastas bases de datos permiten hacer publicidad manipuladora para cosas como temas políticos o servicios de explotación, y permite a los vendedores adaptar sus mensajes a poblaciones vulnerables específicas.
Cuando las empresas recopilan datos de compras o de navegación web sin procesar, en el camino se recogen miles de pequeños detalles sobre la vida de las personas reales y cada uno de esos pequeños detalles tiene el potencial de poner en riesgo a alguien.