¿Cómo pueden espiarte mediante la publicidad digital?

La publicidad no goza de buena fama entre los consumidores. Desde las revistas cargadas con anuncios cada dos páginas hasta las páginas y aplicaciones web que basan su modelo de negocio en la visualización constante de anuncios a través de imágenes y videos, en ocasiones los usuarios hacen todo por escapar a la ola de anuncios que llenan sus bandejas de correo electrónico y las pantallas de sus smartphones y computadoras. A esta inundación publicitaria en la era digital se le ha agregado una complicación que podría afectar directamente la privacidad y la integridad de los usuarios: el espionaje.

De acuerdo con un estudio realizado por Paul Vines, Franziska Roesner y Tadayoshi Kohno, investigadores de la Facultad de Ciencias de la Computación e Ingeniería Paul G. Allen de la Universidad de Washington, además de las marcas y compañías que utilizan la geolocalización para ofrecer a los consumidores publicidad en lugares y contextos específicos, otros individuos y organizaciones, como los partidos políticos e instituciones de gobierno pueden hacer uso de plataformas de publicidad como Google AdWords, Facebook, BluAgile y MediaMath para trazar un mapa sumamente preciso de las ubicaciones de los usuarios y para saber qué aplicaciones usan estos.

De acuerdo con Álvaro Rattinger, director de Merca 2.0, la mayoría de las empresas que realizan estudios a través de los datos recopilados en redes sociales, aplicaciones y páginas de Internet, utilizan esta información de forma anonimizada. “De lo que se trata es de conocer tendencias de consumo y no comportamientos específicos”, dijo Rattinger. Sin embargo, otras entidades podrían utilizar esta información para conocer la ubicación exacta de un objetivo específico y sus preferencias en relación con las aplicaciones que usan.    

El estudio se realizó utilizando 10 smartphones Motorola-G con los que se abrieron 27 cuentas falsas dentro de la app Talkatone, una aplicación con una base de usuarios de entre 10 y 15 millones. A partir de estos instrumentos, los investigadores procedieron a indagar la localización de los dispositivos mediante de la creación de una red de ubicaciones provista por los anuncios publicitarios dentro de la aplicación. Los resultados de la investigación son inquietantes.   

1. Una persona puede comprar un servicio de publicidad por Internet con sólo 1,000 dólares

Los investigadores encontraron que un individuo con una página de Internet puede pagar 1,000 dólares para acceder a los servicios de publicidad digital que no sólo incluyen el despliegue de anuncios publicitarios en varios dispositivos sino que con este servicio se le otorga la capacidad de rastrear la localización de una persona o grupo de personas que usan aplicaciones inmersas dentro de la red y conocer si utilizan aplicaciones específicas, como aplicaciones con contenido sexual, racial o financiero, lo que podría poner en peligro su integridad.      

2. La publicidad digital puede ser utilizada para rastrear la localización de una persona

Una empresa, un individuo o cualquier otra entidad, como un partido político o una institución gubernamental, puede usar anuncios publicitarios específicamente orientados, así como una Plataforma Orientada a la Demanda (DSP, por su sigla en inglés) para rastrear la localización de individuos objetivo en sus trayectos de la casa al trabajo o a otras ubicaciones, como podrían ser el supermercado en el que realizan sus compras o los centros de esparcimiento que prefieren visitar.

Una Plataforma Orientada a la Demanda sirve para gestionar los anunciantes y las ofertas que se encuentran dentro de los inventarios de las Plataformas Orientadas al Suministro de publicidad (SSP, por su sigla en inglés), que utilizan las compañías publicitarias y las marcas para colocar los mejores anuncios y ofertas en las páginas web objetivo dentro de la red. Para realizar la localización mediante anuncios publicitarios, es necesario conocer el MAID (Mobile Advertising ID) del dispositivo, que puede ser un smartphone. Al identificarlo, es posible enviar anuncios que sólo serán vistos por el dueño del dispositivo. A continuación, los investigadores crearon una serie de anuncios que se enviaron a este dispositivo en ubicaciones GPS distintas. Esto permite crear un patrón geográfico de estos anuncios y si alguno de los anuncios es visto por el usuario es posible determinar su localización con una precisión de 8 metros. El usuario ni siquiera tiene que dar clic en el anuncio en cuestión, sólo hace falta que lo vea para que los atacantes puedan conocer su ubicación.    

3. La publicidad digital puede usarse para determinar qué aplicaciones usa una persona

Los anuncios orientados específicamente a un usuario no sólo sirven para determinar la localización específica del mismo, sino que también pueden ser utilizados para saber qué aplicaciones utiliza este usuario o cuántos usuarios utilizan una aplicación en un espacio común. “Descubrimos que podemos orientar anuncios a usuarios de aplicaciones específicas y ubicaciones específicas, lo que significa que uno puede usar anuncios comprados para contar el número de usuarios de Grindr (una aplicación de citas gay en línea) o usuarios de Corán Reciters (una aplicación religiosa) en una casa”, refiere el estudio.

4. ADINT (Advertising Intelligence) es una técnica para recabar información personal a través de la publicidad digital

A este tipo de estrategia para conocer la ubicación y las aplicaciones de un usuario a través de la publicidad digital que observa los investigadores le llamaron ADINT o Inteligencia publicitaria, haciendo referencia a otras formas de recolección de información como SIGINT (Inteligencia a través de señales, como las radiofrecuencias) o HUMINT (Inteligencia a través de personas, por ejemplo el espionaje clásico). Los investigadores definieron el ADINT como el uso de la red de publicidad digital para recolectar información sensible sobre usuarios específicos, en la que la forma de recopilar dicha información se realiza mediante la compra y direccionamiento de anuncios publicitarios.

5. Un MAID (Mobile Advertising ID) es un identificador que permite direccionar publicidad digital a un dispositivo específico

Un Identificador de Publicidad Móvil (MAID, por sus siglas en inglés) es un identificador que permite a los anunciantes reconocer un dispositivo específico para colocar anuncios publicitarios únicos, esto se realiza de forma similar a la que utilizan los anunciantes al colocar las llamadas cookies dentro de navegadores como Google Chrome o Mozilla Firefox. De acuerdo con los investigadores, la mayoría de las redes de publicidad analizadas en el estudio permiten que los anuncios digitales se orienten a MAID específicos. “Utilizamos esta función para realizar muchos de los ataques con los que obtuvimos información al orientar anuncios en el dispositivo de un objetivo específico”, indica el estudio.

Existen varias formas de conocer el MAID de un dispositivo: se puede leer al analizar el tráfico de la red del dispositivo en una red Wifi no cifrada. Cada que un usuario da clic en un anuncio, el MAID del dispositivo se transmite de forma automática dentro de la solicitud a la página web del anunciante y, en el caso de algunas aplicaciones, el código Javascript del anuncio hace que el dispositivo transmita su propio MAID sin la necesidad de interacción con el usuario.      

6. Los usuarios deben resetear su MAID para evitar ser rastreados por las redes de publicidad digital

Las estrategias ADINT pueden ser mitigadas por los usuarios de varias maneras, sin embargo, ninguna garantiza que los anuncios no puedan seguir siendo utilizados para conocer su ubicación o la utilización de aplicaciones específicas. Una de estas formas es nunca utilizar aplicaciones o sitios web con publicidad, lo que se vuelve una tarea imposible si se considera que muchísimas de estas apps y páginas de Internet basan su modelo de negocio en la venta de publicidad. Lo único que pueden hacer los usuarios para evitar ser rastreados a través de la publicidad es formatear cada cierto tiempo su MAID; no obstante esta medida tampoco es suficiente, ya que obliga a los usuarios a recordar formatear el identificador periódicamente, además de que la estrategia ADINT permite leer el MAID del usuario hasta seis horas después de que fue formateado.

rodrigo.riquelme@eleconomista.mx      

erp