WebKit, el motor de código abierto que sustenta los navegadores de Internet, incluido el navegador Safari de Apple, ha Anunciado un nuevo política de prevención de seguimiento que toma la línea más estricta hasta el momento en el fondo y las prácticas y tecnologías de seguimiento entre sitios que se utilizan para infiltrarse en los usuarios de Internet mientras realizan sus negocios en línea.
Los rastreadores son tecnologías que son invisibles para el usuario web promedio, pero que están diseñadas para controlar a dónde van y qué miran en línea, generalmente para la orientación de anuncios, pero la creación de perfiles de usuarios web puede tener implicaciones mucho más amplias que solo anuncios espeluznantes, impactando potencialmente los servicios a los que la gente puede acceder o los precios que ven, etc. Los rastreadores también pueden ser un conducto para que los piratas informáticos inyecten malware real, no solo adtech.
Esto se traduce en cosas como píxeles de seguimiento; huellas dactilares del navegador y del dispositivo; y seguimiento de navegación, por nombrar solo algunos de los innumerables métodos que han brotado como malas hierbas de una industria de tecnología publicitaria digital no regulada que ha invertido una gran cantidad de recursos en ‘innovaciones’ destinadas a despojar a los usuarios de la web de su privacidad.
La nueva política de WebKit esencialmente dice lo suficiente: detenga el avance.
Pero, y aquí está el cambio, también dice que tratará los intentos de eludir su política como si fueran ataques de hackers maliciosos a los que se responderá de la misma manera; es decir, con parches de privacidad y nuevas medidas técnicas para evitar el seguimiento.
“WebKit hará todo lo posible para prevenir todo el seguimiento encubierto y todo el seguimiento entre sitios (incluso cuando no es encubierto)”, escribe la organización (énfasis suyo), y agrega que estos objetivos se aplicarán a todos los tipos de seguimiento enumerados en la política, así como a las “técnicas de seguimiento actualmente desconocido para nosotros”.
“Si descubrimos técnicas de seguimiento adicionales, podemos ampliar esta política para incluir las nuevas técnicas y podemos implementar medidas técnicas para prevenir esas técnicas”, agrega.
“Revisaremos los parches de WebKit de acuerdo con esta política. Revisaremos los estándares web nuevos y existentes a la luz de esta política. Y crearemos nuevas tecnologías web para volver a habilitar prácticas específicas no dañinas sin reintroducir las capacidades de seguimiento”.
Explicando en detalle su enfoque de elusión, afirma en términos inequívocos: “Tratamos la elusión de las medidas anti-seguimiento de envío con la misma seriedad que la explotación de las vulnerabilidades de seguridad”, y agrega: “Si una parte intenta eludir nuestros métodos de prevención de seguimiento, nosotros puede agregar restricciones adicionales sin previo aviso. Estas restricciones pueden aplicarse universalmente; a objetivos clasificados algorítmicamente; o a partes específicas que se dedican a la elusión”.
También dice que si una determinada técnica de seguimiento no se puede prevenir por completo sin causar efectos colaterales con las funciones de la página web con las que el usuario tiene la intención de interactuar, “limitará la capacidad” de usar la técnica “, dando ejemplos como “limitar el ventana de tiempo para el seguimiento” y “reducir los bits de entropía disponibles” (es decir, limitar la cantidad de puntos de datos únicos disponibles para identificar a un usuario o su comportamiento).
Si incluso eso no es posible “sin daño indebido al usuario”, dice que “solicitará la autorización del usuario”. consentimiento informado al seguimiento potencial”.
“Consideramos que ciertas acciones de los usuarios, como iniciar sesión en varios sitios web o aplicaciones propias con la misma cuenta, son consentimiento tácito a identificar al usuario con la misma identidad en estos múltiples lugares. Sin embargo, dichos inicios de sesión deben requerir una acción del usuario y ser perceptibles por el usuario, no ser invisibles u ocultos”, advierte además.
Créditos de WebKit Política anti-seguimiento de Mozilla como fuente de inspiración y fundamento de su nuevo enfoque.
Al comentar sobre la nueva política, el Dr. Lukasz Olejnik, asesor independiente de seguridad cibernética e investigador asociado del Centro de Tecnología y Asuntos Globales de la Universidad de Oxford, dice que marca un hito en la evolución de cómo se trata la privacidad del usuario en el navegador: establecerlo en el mismo pie que la seguridad.
No tiene precedentes equiparar la elusión del anti-seguimiento con la explotación de la seguridad. Esto es exactamente lo que necesitamos para tratar la privacidad como un ciudadano de primera clase. Basta de agitar las manos. Está haciendo que la tecnología se ponga al día con las regulaciones (¡no al revés, por una vez!) #ePrivacidad #RGPD https://t.co/G1Dx7F2MXu
– Lukasz Olejnik (@lukOlejnik) 15 de agosto de 2019
“Tratar las elusiones de la protección de la privacidad a la par con la explotación de la seguridad es el primero de su tipo y un movimiento sin precedentes”, le dice a TechCrunch. “Esto envía una clara advertencia a los posibles abusadores, pero también a los usuarios… Esto es mucho más valioso que el todavía típico enfoque de ‘tratamos la privacidad de nuestros usuarios muy en serio’ que algunos todavía piensan que es suficiente cuando se trata de las expectativas de los usuarios. .”
Cuando se le preguntó cómo ve que la política afectará el seguimiento generalizado, Olejnik no predice una purga instantánea y de la noche a la mañana del seguimiento poco ético de los usuarios de navegadores basados en WebKit, pero argumenta que habrá menos espacio para maniobrar para los recolectores de datos sin consentimiento.
“Algún nivel de seguimiento, incluso con tecnologías no éticas, probablemente permanecerá en uso por el momento. Pero el rastreo encubierto es cada vez menos tolerado”, dice. “También es interesante si seguirá alguna decisión, como por ejemplo la expansión de las recompensas por errores a las vulnerabilidades de privacidad informadas”.
“Se observará cuidadosamente cómo se aplicará esta política en la práctica”, agrega.
Como era de esperar, no solo da crédito a la regulación, sino también al papel desempeñado por los investigadores de privacidad activos para ayudar a llamar la atención y cambiar las actitudes hacia la protección de la privacidad y, por lo tanto, impulsar el cambio en la industria.
Ciertamente, no hay duda de que la investigación de la privacidad es un ingrediente vital para que la regulación funcione en un área tan compleja: alimentar quejas que desencadenan un escrutinio que a su vez puede desbloquear la aplicación y forzar un cambio de práctica.
Aunque eso también es un proceso que lleva tiempo.
“La calidad de la política de tecnología de privacidad y ciberseguridad, incluida su comunicación, aún deja mucho que desear, al menos en la mayoría de las organizaciones. Esto no cambiará rápido”, dice Olejnik. “Incluso si la privacidad se trata en el ‘nivel C’, esto tiende a tratarse únicamente del riesgo de cumplimiento. Afortunadamente, algunos actores importantes de la industria con un buen conocimiento tanto de la política tecnológica como de la tecnología real, incluso las emergentes que aún se encuentran bajo investigación activa, la toman cada vez más en serio.
“Se lo debemos al flujo natural de los resultados de la investigación sobre privacidad, los flujos de talento y los cambios estratégicos que se mueven lentamente, así como, en menor medida, a la presión regulatoria y el calor público. Este proceso es naturalmente lento y estamos lejos del final”.
Por su parte, WebKit ha estado apuntando a los rastreadores durante varios años, agregando funciones destinadas a reducir el rastreo generalizado, como, en 2017, Prevención de rastreo inteligente (ITP), que utiliza el aprendizaje automático para exprimir el rastreo entre sitios al poner más límites en las cookies y otros datos del sitio web.
Apple aplicó inmediatamente ITP a su navegador de escritorio Safari: dibujo predecible fuego rápido de la Oficina de Publicidad en Internet, cuya membresía está compuesta por todo tipo de entidades que implementan rastreadores en Internet.
Pero son los rastreadores espeluznantes los que se ven cada vez más fuera de sintonía con la opinión pública. Y, de hecho, con la dirección de viaje de la industria.
En Europa, también se puede atribuir a la regulación la dirección activa de los desarrollos, luego de la aplicación el año pasado de una importante actualización del marco integral de privacidad de la región (que finalmente trajo la amenaza de la aplicación que realmente muerde). El Reglamento General de Protección de Datos (GDPR) también ha aumentado la transparencia en torno a las infracciones de seguridad y las prácticas de datos. Y, como siempre, la luz del sol desinfecta.
Aunque sigue existiendo el problema del abuso del consentimiento para que lo aborden los reguladores de la UE, con investigaciones que sugieren que muchas ventanas emergentes regionales de consentimiento de cookies actualmente no ofrecen a los usuarios opciones de privacidad significativas a pesar de que GDPR requiere que el consentimiento sea específico, informado y otorgado libremente.
También queda por ver cómo responderá la industria de la tecnología publicitaria al seguimiento en segundo plano que se reduce a nivel del navegador. El cabildeo continuo y agresivo para tratar de diluir las protecciones de privacidad parece inevitable, aunque en última instancia, inútil. Y tal vez, en Europa a corto plazo, la industria de la tecnología publicitaria intentará canalizar más seguimiento a través de avisos de “consentimiento” de cookies que empujan u obligan a los usuarios a aceptar.
Como subraya el espacio de seguridad, los humanos son siempre el eslabón más débil. Por lo tanto, la ingeniería social hostil a la privacidad podría ser la forma más fácil para que los intereses de la tecnología publicitaria sigan anulando la agencia del usuario y acaparando sus datos de todos modos. Detener eso probablemente necesitará que los reguladores intervengan.
Otra pregunta planteada por la nueva política de WebKit es en qué dirección saltará Chromium, también conocido como el motor del navegador que sustenta el popular navegador Chrome de Google.
Por supuesto, Google es un gigante de la publicidad, y la empresa matriz, Alphabet, todavía obtiene la gran mayoría de sus ingresos de la publicidad digital, por lo que mantiene un gran interés en rastrear a los usuarios de Internet para publicar anuncios dirigidos.
Sin embargo, los desarrolladores de Chromium prestaron atención desde el principio al problema del seguimiento poco ético. Aquí, por ejemplo, hay dos que discuten el posible trabajo futuro para combatir las técnicas de seguimiento diseñadas para anular la configuración de privacidad en un entrada en el blog desde hace casi cinco años.
También ha habido señales mucho más recientes de que Google presta atención a la privacidad de los usuarios de Chrome, como los cambios en la forma en que maneja las cookies que anunció a principios de este año.
Pero con WebKit ahora aumentando las apuestas, al tratar la privacidad tan en serio como la seguridad, eso presiona a Google para que responda de la misma manera. O corre el riesgo de que se vea que usa su control sobre la cuota de mercado de los navegadores para arrastrar los pies en los estándares de privacidad incorporados, en lugar de trabajar de manera proactiva para evitar que los usuarios de Internet sean engañados.