La identificación del anuncio
Los identificadores persistentes son el pan y la mantequilla de la industria del seguimiento en línea. Permiten a las empresas conocer los sitios web que visita y las aplicaciones que utiliza, incluido lo que hace dentro de esas aplicaciones. Un identificador persistente es solo un número único que se usa para identificarlo a usted o a su dispositivo.
Su Número de Seguro Social y su número de teléfono son ejemplos de identificadores persistentes utilizados en la vida real;
- Las cookies utilizan identificadores persistentes para identificarlo en todos los sitios web.
En su dispositivo móvil, hay muchos tipos diferentes de identificadores persistentes que utilizan los desarrolladores de aplicaciones y terceros contactados por esas aplicaciones.
Por ejemplo, una aplicación puede enviar a una red de publicidad el número de serie de su dispositivo. Cuando una aplicación diferente en su mismo teléfono envía a esa misma red de publicidad el número de serie de su dispositivo, esa red de publicidad ahora sabe que usted usa ambas aplicaciones y puede usar esa información para hacer un perfil.
Este tipo de perfil es lo que se entiende por "publicidad conductual". Es decir, rastrean sus comportamientos para que puedan inferir sus intereses a partir de esos comportamientos, y luego le envían anuncios dirigidos a esos intereses inferidos.
En la web, si no desea que se le haga un seguimiento de esta manera, puede borrar periódicamente sus cookies o configurar su navegador para que simplemente no acepte cookies (aunque esto rompe gran parte de la web, dado que hay muchos otros usos para cookies más allá del seguimiento). - El borrado de las cookies restablece todos los identificadores persistentes, lo que significa que los nuevos identificadores persistentes se enviarán a terceros, lo que hace más difícil para ellos asociar sus futuras actividades en línea con el perfil anterior que habían creado.
Con respecto a los identificadores persistentes utilizados por las aplicaciones móviles, hasta hace unos años, no había manera de hacer el equivalente a borrar sus cookies: muchos de los identificadores persistentes utilizados para rastrear las actividades de su aplicación móvil estaban basados en hardware, como la serie del dispositivo. número, IMEI, dirección MAC de WiFi, número de serie de la tarjeta SIM, etc.
Muchas aplicaciones utilizaron (y siguen usando) la identificación de Android con fines de seguimiento, que aunque no se basan en hardware, solo pueden restablecerse realizando un restablecimiento de fábrica en el dispositivo y borrando todos sus datos. Por lo tanto, no había una manera fácil para que los usuarios hicieran el equivalente de borrar sus cookies.
Sin embargo, esto cambió en 2013 con la creación del "ID de anuncio": tanto Android como iOS revelaron un nuevo identificador persistente basado en software que proporciona al usuario controles de privacidad para restablecer ese identificador a voluntad (similar a la eliminación de cookies).
Por supuesto, poder restablecer el identificador del anuncio es solo una buena solución para preservar la privacidad si es el único identificador que se recopila desde el dispositivo. Imagina la siguiente situación:
- Una aplicación envía tanto el ID de anuncio como el IMEI (un identificador basado en hardware no reajustable) a un intermediario de datos.
- Preocupado por su privacidad, el usuario utiliza uno de los paneles de configuración de privacidad anteriores para restablecer la identificación del anuncio de su teléfono.
- Más adelante, cuando se utiliza una aplicación diferente, al mismo intermediario de datos se le envía la nueva identificación del anuncio junto con el IMEI.
- El intermediario de datos ve que, si bien los ID de los anuncios son diferentes entre estas dos transmisiones, el IMEI es el mismo y, por lo tanto, deben provenir del mismo dispositivo. Sabiendo esto, el intermediario de datos puede agregar la segunda transmisión al perfil existente del usuario.
En este caso, el envío de un identificador no restablecible junto con el ID de anuncio socava completamente las propiedades de preservación de la privacidad del ID de anuncio: restablecerlo no impide el seguimiento. Por este motivo, tanto iOS como Android tienen políticas que prohíben a los desarrolladores transmitir otros identificadores junto con la identificación del anuncio.
Por ejemplo, en 2017, fue una gran noticia que la aplicación de Uber había violado las pautas de privacidad de la tienda de aplicaciones iOS al recopilar identificadores persistentes que no se pueden restablecer. Tim Cook amenazó personalmente con retirar la aplicación Uber de la tienda .
De manera similar, la política de Play Store de Google dice que la identificación del anuncio no se puede transmitir junto con otros identificadores sin el consentimiento explícito de los usuarios, y que para fines publicitarios, la identificación del anuncio es el único identificador que se puede usar.
Asociación con información de identificación personal u otros identificadores . El identificador de publicidad no debe estar conectado a información de identificación personal o asociado a ningún identificador de dispositivo persistente (por ejemplo: SSAID, dirección MAC, IMEI, etc.) sin el consentimiento explícito del usuario.
Fuente AppCensus
Violaciones de las políticas de identificación de anuncios
18.000 apps en Android usan el identificador anónimo y otros datos persistentes para anuncios
AppCensus analizó su base de datos de unas 24.000 apps para ver cuáles cumplían o no con ese criterio. De ellas, 17.000 (en torno al 70%) estaban transmitiendo el identificador de anuncios junto con otros identificadores persistentes que no se pueden cambiar del móvil.
Entre las aplicaciones se encuentran decenas que tienen más de 100 millones de descargas, y algunas con más de 1.000 millones. Entre ellas tenemos Flipboard, Temple Run 2, 3D Bowling, Agar.io, CamScanner o Cheetah Keyboard. En la parte derecha se encuentran algunas de las redes de anuncios o empresas que son las que luego dirigen los anuncios en las apps, o analizan el comportamiento de los usuarios con los anuncios.
Esta es solo una de las 20 aplicaciones más populares que violan esta política, ordenadas alfabéticamente. Todos los dominios que reciben los datos en la columna más a la derecha son redes publicitarias o compañías involucradas en el seguimiento de las interacciones de los usuarios con los anuncios (es decir, para usar el lenguaje de Google, “cualquier propósito publicitario”). De hecho, a partir de hoy, hay más de 18.000 aplicaciones distintas que transmiten la identificación del anuncio junto con otros identificadores persistentes.
AppCensus envió este informe hace cinco meses a Google, y la empresa no les ha respondido. En ese espacio de tiempo, ahora hay 1.000 aplicaciones más que violan la política de Google, donde un mecanismo que debía proteger el anonimato de los usuarios no está sirviendo para nada.