Vigilancia publicitaria cada vez más intrusiva
A pesar de las regulaciones (RGPD, ePrivacy, CCPA), las protecciones del navegador (Firefox, Safari o Brave), los bloqueadores de anuncios del navegador (uBlock Origin) o los servicios DNS (NextDNS, AdGuard o Pi-hole), la vigilancia publicitaria no ha disminuido. Ha mutado para eludir tus protecciones.
¿El acelerador de esta evolución? Facebook obviamente, con sus “señales resilientes”, permitiéndole desviar una gran parte de los datos generados por sus actividades en línea y fuera de línea. Dado que las cookies de terceros como vector de vigilancia están desapareciendo (Google Chrome es la excepción), era necesario encontrar nuevos vectores de vigilancia que los usuarios de Internet no puedan restablecer fácilmente. Tomando como inspiración “Campeones” de adtech como Criteo, Facebook anima a los anunciantes a enviarle su email, su nombre, su número de teléfono o su dirección postal: “señales resilientes”.
Si muchos jugadores de adtech (LiveRamp, Criteo) llevan mucho tiempo identificándote a través de tu email, el fenómeno es relativamente nuevo entre las grandes plataformas publicitarias. El estudio "Formularios con fugas: un estudio sobre la filtración de email y contraseñas antes del envío del formulario" ilustró el alcance de las filtraciones de email en la web, a los actores de la tecnología publicitaria, pero también a Facebook y TikTok.
¿Cómo podría filtrarse su email a estas grandes plataformas? Esto es lo que vamos a descubrir con Guerlain, uno de los buques insignia del lujo francés, y propiedad de grupo LVMH.
Incluso antes de crear una cuenta de Guerlain, el hash de tu email ya se filtra a Pinterest
Para esta prueba, naveguemos hasta el sitio web de Guerlain, con la herramienta Charles Proxy activado y, excepcionalmente, haga clic en "Aceptar y cerrar" cuando se muestre el banner de consentimiento (para crédito de Guerlain, no noté ninguna fuga de hash de email en caso de rechazo):
“Mejorar tu experiencia y ofrecerte servicios y comunicaciones adaptadas a tus intereses”, un mensaje aparentemente inofensivo.
Entonces, naveguemos por Página de creación de cuenta Guerlain, y comencemos a llenar el formulario:
Estos datos personales sólo deberían referirse a Guerlain, ¿verdad?
Veamos lo que sucede en Charles Proxy cuando ingresa su email, incluso antes de confirmar el email:
Note una extraña solicitud a la red social Pinterest.
El parámetro pd de la solicitud a Pinterest contiene otro parámetro em, formado por una larga cadena de caracteres aparentemente indescifrable. La documentación de Pinterest para anunciantes da la respuesta:
PD: Datos de socios.
ellos: valor de dirección de email con hash.
Por tanto, Guerlain filtra un hash de tu dirección de email a Pinterest incluso antes de que hayas confirmado la creación de tu cuenta. Este servicio se llama en realidad "Enhanced Match" (el significado de em), hablé de ello el pasado mes de mayo:
¿Sin cookies de terceros? Ningún problema!
Pero no te preocupes, Pinterest usa un hash de su dirección de email y la conexión a Pinterest es segura, tu privacidad está protegida!
¡Permita que los sitios web filtren su email y pretenda hacerlo para proteger su privacidad!
La realidad es que La correspondencia entre su email y su hash probablemente ya esté circulando ampliamente y las empresas estén ganando dinero con ella..
¿Cómo comprobar por ti mismo si Guerlain está filtrando un hash de tu email a Pinterest? Ingrese su email en este sitio, seleccionando la función hash correcta (a menudo SHA256):
Bienvenidos a la matriz.
Bingo, el valor numérico 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c corresponde al campo em enviado a Pinterest.
Tenga en cuenta que cuando el anunciante envía datos del cliente directamente a Pinterest, este no tiene tanto cuidado con el email:
email: Admitimos tanto hash (SHA256, SHA1, MD5) como campos de datos del cliente en texto claro.
Confirma la creación de la cuenta y di adiós a tus datos personales
Ahora termino de completar el formulario y hago clic en 'Confirmar'. Las filtraciones de datos personales son masivas:
Notemos ya uso ilícito de Google Analytics (si Guerlain quisiera seguir utilizando Google Analytics, tendría que seguir estas recomendaciones de la CNIL).
Al ampliar los parámetros enviados a Google Analytics, observamos el mismo hash de su email (SHA256), enviado a través del parámetro cd11 (una dimensión "personalizada", que Guerlain se ha tomado la libertad de crear especialmente para la ocasión). Resulta que la práctica está prohibida por Google Analytics (si tan solo Google hiciera cumplir sus reglas):
Para proteger la privacidad del usuario, las políticas de Google prohíben el envío de datos que podríamos utilizar o considerar información de identificación personal.
Se podría argumentar: este es un hash de mi email, no mi email simple (como si Google no conociera ya su email y, por lo tanto, su hash). Excepto que Google se encargó deTambién prohibir el envío de hashes a Google Analytics.:
Guerlain viola las reglas de Google Analytics para monitorearte mejor, con calma.
Con Guerlain, la vigilancia es estadounidense pero también china ya que el mismo hash de su email se filtró a TikTok (El control remoto mágico de Xi Jinping):
TikTok es más transparente, la variable se llama email.
Esta fuga está permitida gracias a la función "Advanced Matching" de TikTok:
Por supuesto, en el lado privado se estudia todo, toma de huellas si no hay coincidencia:
“Privacidad Segura”, de TikTok.
El hash SHA256, donde se encuentra la varita mágica de la protección de la privacidad:
TikTok no es capaz de identificar a los clientes que no son usuarios de TikTok, excepto que TikTok aspira las libretas de direcciones de sus usuarios...
Y para los anunciantes perezosos, TikTok ofrece la opción “Automatic Advanced Matching”, que le permite escanear por sí solo los diferentes campos de los formularios, para recuperar, por ejemplo, su email y su número de teléfono:
¡Regocíjense, anunciantes, el software espía TikTok puede recuperar automáticamente los datos personales de sus clientes!
Hay que señalar que, una vez más, TikTok no inventó nada: simplemente copió a Facebook.
Echa un vistazo a una nueva página, tu email se filtró a Facebook
Fue sorprendente no ver a Guerlain filtrar su email a Facebook. Si ve una página adicional, verá que la llamada a Facebook contiene una variable udff[em], este contiene el hash SHA256 de tu email:
em, la pequeña nota para tu email.
La concordancia avanzada permite a los anunciantes filtrar una amplia gama de datos personales:
No te preocupes, Facebook te encontrará.
Facebook Advanced Matching está lejos de ser la única herramienta de Facebook disponible para que los anunciantes puedan monitorearte, encontrarás algunas otros en este hilo:
Pinterest, Google, TikTok y Facebook recopilan toda su navegación en el sitio de Guerlain, asociada a un identificador persistente (su email), pero esto no es una excepción en la galaxia LVMH, miremos a Givenchy, por ejemplo.
Creación de cuentas de Givenchy y filtración de datos personales
Si creas una cuenta Givenchy, también notarás filtraciones basadas en tu email (hash SHA256 siempre), ahora a Snapchat a través de la variable u_hems:
Una red social americana más, ¿para qué privarse?
Snapchat también hace la vida más fácil a los anunciantes, como puedes ver lee en este hilo:
Creación de cuentas de Givenchy Beauty y filtración de datos personales
apenas comencé crear una cuenta de belleza de Givenchy (diferente de Givenchy), en el que veo solicitudes extrañas a través de Charles Proxy:
La variable browser-info es muy detallada; combinada con tu dirección IP, permite a Yandex disponer de una huella muy fina. La variable point-click recupera la ubicación en píxeles de todos tus clics. Entonces, ¿te alegra ver que tu comportamiento se filtra a Rusia?
Pero esto no ha terminado, la empresa francesa Contentsquare parece recuperar mucha información sobre lo que escribe (keylogger?!):
Cada movimiento que hagas, cada paso que des, te estaré observando.
Después de haber ingresado nombre y apellido, haga clic en 'Continuar':
Verifique en Charles las solicitudes enviadas, el hash de su nombre (udff[fn]) y tu nombre (udff[ln]) ya se están filtrando a Facebook:
En el siguiente paso, cuando ingresas tu email, el hash de este (udff[em]) filtración en vivo a Facebook (sin siquiera hacer clic en 'Continuar'):
Tenga en cuenta las filtraciones a Google Analytics y DoubleClick, mientras Contentsquare continúa recopilando información mientras crea su contraseña...
Tenga en cuenta que solo probé 3 sitios del grupo LVMH, al azar. Es probable que esta vigilancia de las grandes plataformas publicitarias a través de datos persistentes, como su email, esté generalizada en LVMH.
Todas las principales plataformas publicitarias tienen un servicio de "Matching"
Pudimos ver el uso del servicio de emparejamiento de Facebook, TikTok, Pinterest o Snapchat por los sitios del grupo LVMH. Evidentemente, más allá de su servicio Google Analytics, Google no se queda fuera:
El último juguete de Elon Musk, Twitter también ofrece su servicio de “matching”:
Los sitios del grupo LVMH están lejos de ser una excepción, como lo demuestra el estudio de formas filtradas. Un gran número de anunciantes ya confían en estos métodos invasivos y, con la próxima desaparición de las cookies de terceros en Chrome (si google lo quiere), este modo de seguimiento se está convirtiendo en el estándar.
Cómo protegerte
Al no sancionar este tipo de prácticas (hola CNIL), tendrás que protegerte individualmente. Dado que los bloqueadores de anuncios son ineficaces (a menos que bloquee todas las llamadas a Google y las redes sociales), las protecciones del navegador son ineficaces (seguimiento basado en datos persistentes, no en cookies), una opción es utilizar un alias de email diferente para cada servicio que utilice. Conozco estos 4 servicios pero seguro que podrás encontrar otros en la red:
- SimpleLogin, recientemente adquirido por ProtonMail, lo que augura una integración interesante.
- Firefox Relay, directamente desde tu navegador favorito.
- DuckDuckGo Email Protection, con la extensión DuckDuckGo, para una buena protección en la web.
- Hide My Email si estás en Apple, incluida la integración de Safari.
Tenga en cuenta que existen límites: los alias de email no le protegerán cuando Facebook (u otros) realicen la "combinación" a través de su número de teléfono, su nombre y apellido, o su dirección postal.