¿Apple te protege realmente de la vigilancia publicitaria?

Con iOS 14.5, el tracking en las apps iOS se restringe de forma severa. Repasemos las acciones de Apple contra la vigilancia publicitaria

Publicado por Pixel de Tracking el 19 de abril de 2021

Privacidad, un argumento de producto para Apple

Frente al capitalismo de vigilancia desarrollado por Google, Apple tiene un argumento evidente: la privacidad. Y no se priva de ello, como lo demuestra esta campaña publicitaria:

iPhone

Este argumento también se encuentra en las palabras de Tim Cook, durante la conferencia “Computers, Privacy & Data Protection” en enero de 2021, un discurso verdaderamente notable.

Apple siempre ha sido muy buena en el marketing de productos, pero ¿se trata sólo de palabras? Una primera respuesta la proporciona esta pagina, se proporciona una respuesta más detallada aquí: De hecho, Apple está tomando muchas iniciativas. por ejemplo, podemos citar:

La privacidad es uno de los valores fundamentales de Apple:

privacidad

Pero Apple podría ir mucho más allá y yo estaría dispuesto a pagar para que los siguientes servicios estén cifrados de extremo a extremo: Fotos de Apple, Calendarios, Contactos, iCloud Drive, Notas o Mensajes en iCloud. Después su disputa con el FBI durante el ataque terrorista de San Bernardino, durante el cual luchó valientemente contra la introducción de puertas traseras en iOS, Apple tuvo la oportunidad de ampliar el uso de cifrado de extremo a extremo a todos sus servicios. Lamentablemente, bajo presión del FBI, no se atrevió.:

Apple abandonó sus planes de permitir a los usuarios de iPhone cifrar completamente las copias de seguridad de sus dispositivos en el servicio iCloud de la compañía después de que el FBI se quejara de que la medida perjudicaría las investigaciones, dijeron a Reuters seis fuentes familiarizadas con el asunto.

Para deleite de los gobiernos, los servicios policiales y los servicios secretos, Apple no cifra iCloud de extremo a extremo. Y para vender mejor sus productos en China, Apple acepta almacenar las claves de cifrado de iCloud de sus usuarios chinos directamente en servidores ubicados en China. Otro compromiso con el régimen chino, Apple censura aplicaciones en China.

Ahora veamos las iniciativas de Apple contra la vigilancia publicitaria. ¿Llegan lo suficientemente lejos?

Safari ITP, buena protección contra el rastreo

En 2017, Apple integró la funcionalidad. “Intelligent Tracking Prevention” (ITP) en Safari, el objetivo es combatir el seguimiento de múltiples sitios. Desde este primer lanzamiento, Apple ha evolucionado ITP, con por ejemplo bloqueo completo de cookies de terceros o el limitación de la vida útil de las cookies colocadas a través de CNAME, lo que te permite ofrecerle una buena protección contra el seguimiento por parte de empresas de tecnología publicitaria.

Cuando hablamos de privacidad, Apple también tiene una excelente influencia en el ecosistema web.

Las acciones de Apple contra el seguimiento de múltiples sitios sin duda inspiran a otros navegadores. En 2018, Firefox anuncia cambio en su política de seguimiento, que ahora desea ofrecer protección contra el seguimiento de forma predeterminada. En 2019, Firefox toma medidas con Protección de seguimiento mejorada (ETP), el equivalente a ITP, una funcionalidad que también ha evolucionado desde entonces.

Como beneficio adicional, si usas un iPhone o iPad y revisas otro navegador, Las protecciones ITP también se aplican! De hecho, Apple bloquea las opciones de los navegadores de terceros, que se ven obligados a utilizar WebKit, el motor de renderizado de Safari.

Apple contrarresta la influencia de Google en el W3C

En el W3C, la organización encargada de construir y desarrollar estándares web, Apple ofrece alternativas a Google en el campo de la publicidad. Si Google hizo mucho ruido con propuestas para sustituir las cookies de terceros (“Privacy Sandbox”), en particular la controvertida propuesta FLoC, Apple ofrece estándares para un mejor respeto de la privacidad:

  • “Medición de clics privada (PCM)”: para atribuir correctamente las conversiones a las campañas publicitarias. Google tiene su propia propuesta llamada "Conversión de API de medición", pero esto apenas protege la privacidad porque Googte permite al anunciante asignar un identificador único a cada clic en un anuncio... Apple, por su parte, limita las opciones a 256 valores diferentes, lo que simplemente permite saber qué campaña publicitaria es eficaz.
  • “API de acceso al almacenamiento”: Si Apple impide que terceros rastreen al usuario sin su consentimiento (mediante restricciones de cookies, almacenamiento local, etc.), pueden solicitar autorización explícita al usuario a través de esta API. Ciertos casos de uso, como los sistemas de autenticación, pueden justificar esta autorización.

Aún en el W3C, si Apple no es la única que defiende la privacidad (Firefox y Brave también son muy activos), su inversión no es excesiva a la hora de contrarrestar los ejércitos de desarrolladores de Chrome. Estos a menudo comprometen la privacidad del usuario con el pretexto de agregar nuevas funciones a la web. por ejemplo, aquí hay una lista de 16 características que Safari no implementa porque la seguridad y huella dactilar son demasiado grandes.

¿Safari podría llegar más lejos?

Safari podría decidir luchar más radicalmente contra la vigilancia publicitaria integrando por defecto un rastreador y un bloqueador de publicidad como uBlock Origin. Beneficios para el usuario:

Hablando de encubrimiento CNAME, Apple también utiliza la técnica en su sitio web, con la herramienta Adobe Analytics:

Hoy, Brave va mucho más allá a través de su funcionalidad “Escudos”: el objetivo no es evitar el seguimiento de múltiples sitios sino bloquear la ejecución de rastreadores. Un ejemplo para ilustrar la diferencia de enfoque: los trazadores que utilizan el encubrimiento CNAME son bloqueado por defecto.

Por su parte, Firefox ofrece menos protecciones por defecto pero su sistema de extensiones es muy abierto (Safari mucho menos, hay que conformarse con una "Bloqueador de contenido" como Firefox Focus), que permite, por ejemplo, que uBlock Origin sea eficaz contra el encubrimiento CNAME.

Ten en cuenta que, lamentablemente, las herramientas de marketing aún pueden evadir las protecciones del navegador y otros bloqueadores de rastreadores, a veces incluso a través de soluciones llave en mano.

Una política coherente en la web... con una excepción

Por tanto, en la web, Apple tiene una política coherente:

  • Safari protege contra el seguimiento de múltiples sitios.
  • Apple considera legítimo el seguimiento dentro del mismo sitio, pero sigue siendo posible.
  • Se fomenta una publicidad más respetuosa con la privacidad.

Si siempre es posible hacerlo mejor, Safari está a años luz de Google Chrome en materia de protección de la privacidad.

Excepto que cuando hablamos de dinero, Apple hace un trato con el diablo: Google paga a Apple entre 8.000 y 12.000 millones de dólares al año por ser el motor de búsqueda predeterminado en Safari.

En las apps, una puesta al día necesaria

Con iOS 14.5, Apple estrena el sistema “Transparencia de seguimiento de aplicaciones” (ATT), el seguimiento se convierte en opción. Aquí está el definición de “seguimiento” según Apple:

El seguimiento se refiere al acto de vincular los datos del usuario o del dispositivo recopilados desde su aplicación con los datos del usuario o del dispositivo recopilados de aplicaciones, sitios web o propiedades fuera de línea de otras empresas para fines de publicidad dirigida o de medición de publicidad. El seguimiento también se refiere a compartir datos de usuarios o dispositivos con intermediarios de datos.

Esta definición es clásica, similar a el de firefox:

El seguimiento es la recopilación de datos sobre la actividad de un usuario en particular en múltiples sitios web o aplicaciones (es decir, de origen) que no son propiedad del recopilador de datos, y la retención, el uso o el intercambio de datos derivados de esa actividad con partes distintas a la primera parte en la que se recopilaron.

También es similar a el del W3C:

El seguimiento es la recopilación de datos sobre la actividad de un usuario particular en múltiples contextos distintos y la retención, uso o intercambio de datos derivados de esa actividad fuera del contexto en el que ocurrió. Un contexto es un conjunto de recursos que están controlados por la misma parte o controlados conjuntamente por un conjunto de partes.

Apple por fin es coherente con la política que ya aplicaba en la web:

  • ATT protege contra el seguimiento entre aplicaciones.
  • Apple considera legítimo el seguimiento dentro de la misma aplicación o en varias aplicaciones de la misma empresa, pero sigue siendo posible.

En iOS, Apple históricamente ha facilitado el seguimiento de la publicidad mediante la provisión de un identificador publicitario único llamado IDFA. Este identificador estaba habilitado por defecto, los usuarios de iOS podían desactivarlo si lo deseaban:

hacer un seguimiento En Configuración > Privacidad > Publicidad, era posible marcar "Seguimiento de publicidad limitado" (lo cual hice, como se muestra en la captura de pantalla), pero la opción no estaba marcada de forma predeterminada.

La opción predeterminada es de suma importancia: pocas personas cambian la configuración de privacidad (según Adjust, sólo el 20% de los usuarios desactivaron el identificador).

Apple tiene, por tanto, una responsabilidad histórica en este sentido: el IDFA ha facilitado a multitud de empresas su seguimiento durante años. Como recordatorio:

Aquí está la reacción de un anunciante con el anuncio del lanzamiento del IDFA (en 2012 con iOS 6), y el "dark pattern" asociado a la opción “Seguimiento publicitario limitado”:

"Es una solución muy elegante y sencilla", afirma Scott Swanson, director ejecutivo de Mobile Theory. "Lo que más nos entusiasma es que está activado de forma predeterminada, por lo que esperamos que la mayoría de la gente lo deje activado".

Por lo tanto, esta responsabilidad histórica ha valido la pena. una denuncia GDPR ante la CNIL, de Quadrature du Net:

manzana-sabe

Cambio de paradigma, por lo tanto, con iOS 14.5, las aplicaciones deberán pedirle autorización para rastrearte, como se muestra en la nueva interfaz (visible desde iOS 14, incluso si la protección aún no es efectiva):

pedido En Configuración > Privacidad > Seguimiento, "Permitir solicitudes de seguimiento de aplicaciones" está marcado de forma predeterminada (en el peor de los casos, las aplicaciones le preguntarán si desea que lo rastreen) y puede desmarcar la opción.

A modo de comparación, el equivalente de IDFA en Google Android esID de publicidad de Android. Pero las protecciones son casi inexistentes:

  • Es imposible desactivar el ID de publicidad de Android (era posible desactivar IDFA desde iOS 10).
  • Sólo es posible restablecerlo.

La asociación noyb lanzó una Reclamación RGPD contra Google por rastrear a los usuarios a través de un “ID de publicidad de Android” sin una base legal válida. Se puede notar que un Reclamación RGPD De noyb también existe contra Apple por rastrear sin consentimiento a través de IDFA. Pero con esta actualización, Apple arriesga mucho menos que Google (noyb también señala que después de la actualización, Apple seguirá pudiendo utilizar IDFA sin consentimiento, lo cual es falso).

Técnicamente, los anunciantes ya no tendrán acceso al IDFA si usted no ha dado su permiso explícitamente. Pero los anunciantes tienen otras armas a mano para vigilarlo (huellas dactilares, hash de dirección de email...). ¿Apple también luchará contra estas técnicas? El tiempo lo dirá, pero esta parece ser su intención:

caido

La configuración de tu dispositivo iOS para generar la huella digital CAID.

Del mismo modo que en la web con su “Medición de clics privada (PCM)”, Apple no deja en la estacada a los anunciantes. La medición de las descargas de aplicaciones tras una campaña publicitaria se realizó mediante IDFA o mediante una huella digital (producida por empresas como Adjust). Apple ya pone a disposición de los desarrolladores la API SKAdNetwork, para realizar la medición protegiendo la privacidad de los usuarios.

Apple contra Facebook

La promesa de ATT es simple:

cocinar

Gracias Tim Cook.

La importancia de esta actualización se puede medir por la reacción instintiva de Facebook, que vio seriamente reducida su capacidad de vigilancia en iOS (su SDK ahora está omnipresente en las Apps). Facebook justifica su enfoque defendiendo a las pequeñas empresas, que dependerían de la publicidad dirigida de Facebook para encontrar nuevos clientes:

Facebook también compró páginas enteras de publicidad en los principales periódicos estadounidenses para denunciar la actualización de Apple:

pequeño

Facebook nunca decepciona:

gratis

Apple contra los anunciantes franceses

Los anunciantes franceses están en primera línea de la lucha contra Apple, y después una carta pública enviada a Tim Cook en julio (spoiler: no respondió), deciden presentar una queja ante la autoridad de competencia octubre pasado. ¿El tema de su queja? La introducción obligatoria de la solicitud ATT para aplicaciones en iOS que deseen rastrear la actividad del usuario en sitios de terceros.

Primera respuesta de la autoridad de competencia el 17 de marzo y primer desaire a la industria publicitaria, en el aspecto de privacidad:

En el estado actual de la investigación, la Autoridad consideró que la decisión de Apple de crear un sistema de recogida de consentimiento complementario al de otros actores de la publicidad en línea no parecía una práctica abusiva.

Sin embargo, la instrucción continúa:

Esto debería permitir, en particular, verificar que la aplicación por parte de Apple de la solicitud ATT no puede considerarse una forma de discriminación o "autopreferencia", lo que podría ser el caso, en particular, si Apple aplicara, sin justificación, normas más restrictivas a terceros operadores que las que se aplica a sí misma para operaciones similares.

Es seguro que los anunciantes también saldrán derrotados en el aspecto anticompetitivo porque Apple no favorece sus propias aplicaciones: no practica el seguimiento (y por tanto no utiliza IDFA). Apple ofrece publicidad dirigida en sus Apps (Apple News, App Store, Stock Market), utilizando los datos personales que recopila. Google, Facebook o cualquier otra App puede hacer lo mismo en iOS, Apple no se opone a los anuncios personalizados.

Otra queja, esta vez ante la CNIL por la asociación France Digitale. El ataque es más sutil, Apple activa por defecto anuncios personalizados en sus propias aplicaciones:

personalizar

Si vas a Configuración > Privacidad > Publicidad de Apple, la opción de anuncios personalizados está habilitada de forma predeterminada.

Claramente, Apple tendría que pedir tu consentimiento antes de poder ofrecer publicidad personalizada, por lo que no cumple con el RGPD. France Digital indica que esto causa un daño importante:

  • Para los usuarios (es cierto, aunque la publicidad personalizada en Apple News, App Store y Stock Exchange está muy lejos del perjuicio de la publicidad personalizada en las apps de Google o Facebook).
  • A las startups francesas que, cito, “respetan escrupulosamente las normas establecidas por el RGPD”. ¡Es atrevido! La lista de empresas que forman parte de la asociación no es pública, pero se puede señalar que Frichti es una de ellas, y la aplicación que infringe el RGPD.

La denuncia habla además de distorsión de la competencia al insinuar que Apple ofrecería publicidad personalizada con sus “empresas afiliadas”:

digital

El cuadro incluido en la denuncia de France Digitale supuestamente muestra una distorsión de la competencia.

Como ya se ha visto, Apple considera legítimo el seguimiento personalizado y la publicidad dentro de la misma aplicación o de varias aplicaciones de la misma empresa; esta práctica no es un simple acto de Apple, sino también de Google, Facebook, Twitter, etc. France Digitale habla, por tanto, de “empresas afiliadas”, socios de Apple que conspirarían juntos para localizarle.

Las explicaciones de Apple sobre su programa publicitario Sin embargo, son muy claros: no se transmite ni se comparten datos personales con terceros:

Apple no comparte ni transmite su información de identificación personal a terceros.

Además, Apple no recopila datos personales a través de terceros:

La plataforma de publicidad de Apple no rastrea sus actividades, lo que significa que no combina datos de usuarios o dispositivos recopilados en nuestras aplicaciones con datos de usuarios o dispositivos recopilados de terceros con fines de medición o orientación publicitaria, y no comparte datos de usuarios o dispositivos con intermediarios de datos.

No se mencionan "empresas afiliadas" en Política de privacidad de Apple, parece una invención de France Digitale.

Pero ¿por qué tanta implacabilidad de los “inversores y empresarios digitales franceses” contra Apple? Sin duda, debido a que la adtech pesa mucho en Francia, podemos ver, por ejemplo, la implicación de Criteo (el famoso gigante francés del marketing de vigilancia) desde el lanzamiento de France Digitale aquí Y allá. Hay que decir que a Criteo no le gusta Apple, y que desde hace algún tiempo.

Apple contra los anunciantes americanos

Entre los anunciantes estadounidenses, los ataques son más sutiles pero poco convincentes. puedes leer Ben Thomson o Eric Benjamin Seufert (en Ben Thomson O en su sitio web). Aquí hay algunos argumentos:

  • Al abordar el seguimiento, fortaleceríamos los “jardines amurallados” (Google, Facebook, etc.). Lo cual Wolfie Christl responde muy bien en este hilo de Twitter:

lobo

  • En cuanto al supuesto refuerzo de “Walled Gardens”, abordar el seguimiento no impide atacar a los gigantes de la publicidad. Los 2 ejes pueden complementarse: lea por ejemplo La denuncia de Braves contra RTB (datos "externos" gratuitos para todos), así como La denuncia de Brave contra Google (datos "internos" libres para todos). Sin hablar de privacidad, sería interesante abordar el abuso de posición dominante de los gigantes de la publicidad, Google Y Facebook. Pero los lobbystas de la publicidad ignoran la opción.
  • Apple no buscaría proteger tu privacidad en las aplicaciones (a través de ATT), sino controlar toda su experiencia. Excluir a Facebook molestaría a Apple porque el descubrimiento de nuevas aplicaciones ya no pasaría por la App Store sino a través de publicidad personalizada en Facebook o Instagram. Al abordar el seguimiento, Apple intentaría recuperar el control sobre la distribución de aplicaciones. Pero ¿cuál es el papel real de la publicidad en la distribución de Apps?
  • Argumento similar en la web (vía ITP), donde Apple preferiría asfixiar los recursos publicitarios. En consecuencia, los editores deberían centrarse en las suscripciones a través de aplicaciones, por las que Apple gana una comisión. Pero ¿por qué no ofrecer publicidad que respete la privacidad?
  • Apple lucharía contra los actores de la publicidad para impulsar su propio negocio publicitario. Cuesta creerlo porque el negocio publicitario de Apple (App Store, Apple News y Stock Market) es insignificante en comparación con sus otros ingresos (productos, servicios). Apple también cerró iAd, su red publicitaria, en diciembre de 2016..

Si el deseo de control de Apple es obvio y si el monopolio de la App Store es un gran problema, los argumentos de los lobbystas de la publicidad carecen de relevancia. Apple tiene una razón obvia para invertir en una mejor protección de la privacidad: la demanda de protección es alta (y los clientes potenciales de Apple no somos anunciantes, sino usted y yo).

Apple obliga a la transparencia entre los desarrolladores de aplicaciones

Desde diciembre de 2020, Apple lo hace obligatorio etiquetas de privacidad en aplicaciones. Estas etiquetas ayudan a resaltar las diferencias entre aplicaciones. Si comparamos navegadores por ejemplo:

cromo

Software espía de Google Chrome.

pato

El navegador de DuckDuckGo, respetuoso con tu privacidad.

Si ahora miramos los mensajes:

mensajero

Messenger, el software espía de Facebook, incluso peor que WhatsApp.

señal

Signal, una App que respeta la privacidad.

Por supuesto, estas etiquetas tienen límites:

  • Se basan en la autodeclaración. ¿Apple comprobará si el desarrollador dice la verdad?
  • No existe información sobre datos personales que puedan filtrarse a terceros. Sería interesante ver quién recopila tus datos personales y por qué.

Pero ya representan un buen paso adelante y quizás impulsen a los desarrolladores de aplicaciones a limitar el uso de datos personales a lo estrictamente necesario.

¿Podría Apple ir más allá en el ámbito de las aplicaciones?

Con ATT, Apple ha alcanzado el nivel de Safari ITP (protección contra seguimiento). Si quisiera ir más allá, podría decidir bloquear anuncios y rastreadores propios (análisis, pruebas A/B, administradores de etiquetas, etc.). Beneficios para el usuario:

  • Se bloquearían los anuncios.
  • Los rastreadores propios (análisis, pruebas A/B, administradores de etiquetas, etc.) también se bloquearían. Hoy en día, por ejemplo, los trackers de Google Analytics, Segment, Mixpanel o Amplitude no están bloqueados.

Pero alejaría a ciertos desarrolladores, y esto no sería coherente con su política actual en la web a través de Safari ITP.

Desafortunadamente, este anuncio no se aplica a los rastreadores propios, su iPhone aún se comunica con muchos terceros, incluidos los de Google (aunque los identificadores ahora deberían ser específicos de cada aplicación, porque IDFA ya no está disponible de forma predeterminada):

cartelera

Con soporte nativo para DNS cifrado a través de iOS 14, sin embargo, permitió que los rastreadores y bloqueadores de publicidad hicieran mejor su trabajo (estos bloqueadores tuvieron que crear una pseudo VPN local, lo cual fue un desastre para la batería). Yo uso NextDNS por mi parte., lo que me permite bloquear todos los rastreadores y otros anuncios.

Sí, Apple te protege contra la vigilancia publicitaria, cada vez mejor

Como hemos visto, las protecciones proporcionadas por Apple contra la vigilancia publicitaria en iOS se pueden mejorar en gran medida. Pero tienen el mérito de ser coherentes y de luchar con bastante eficacia contra el seguimiento, como lo demuestra la irritación de Facebook y de la adtech en general. Un usuario avanzado puede ir más allá pasando por un rastreador y adblocker como NextDNS, AdGuard o un Pi-agujero.

Aunque es saludable criticar a una multinacional tan dominante, y por razones muy válidas (sistema cerrado, bloqueado, reparabilidad muy limitada, monopolio de la App Store, "optimización fiscal", obsolescencia programada, etc.), la alternativa "Android by Google" no es creíble si se quiere proteger tu privacidad.

Si eres alérgico a Apple pero aún quieres proteger tu privacidad en tu teléfono inteligente, tendrás que pasar por distribuciones que han eliminado la capa "Google" de Android (/mi/ por ejemplo, basado en SO de linaje Y microG), pero necesitarás buenas habilidades técnicas.