A principios de este mes, Google publicó la versión 69 de Chrome, su famoso navegador y el más usado a nivel global. Entre los cambios que este navegador recibía se encontraban un nuevo diseño, un nuevo gestor de contraseñas, más velocidad y, casi de forma desapercibida, la unificación de inicio de sesión en Google Sites y Google Chrome.
En otras palabras, cuando un usuario inicie sesión en Gmail, automáticamente se iniciará sesión en Google Chrome. Esto, hasta la fecha, estaba claramente diferenciado. Puede parecer un cambio superfluo, pero es importante destacar que tiene algunas implicaciones serias de cara a la privacidad y a la subida de datos a Google. Vayamos por partes.
¿Qué ha pasado exactamente?
Empecemos por el principio. Desde hace unos cuantos años, Google ofrecía a sus usuarios la opción de iniciar sesión en Google Chrome para sincronizar sus datos, historial, marcadores, etc., en la nube. Se llamaba Sync. De esa forma, un usuario podría acceder al historial de navegación de su smartphone desde su ordenador, y viceversa. De no activar esta función, los datos de navegación se quedarían almacenados de forma local en el ordenador, y no en la nube de Google. Dicho de otra forma, el envío de datos a Google era algo opcional.
Sin embargo, en la versión 69 de Google Chrome, el inicio de sesión en el navegador se ha vinculado al inicio de sesión en los servicios de Google, véase Gmail. Esto lo hace sin preguntar, sin ni siquiera mostrar una notificación. La única forma que el usuario tiene de saberlo es comprobando que su foto de perfil de Google aparece en la zona superior derecha, justo al lado de las extensiones.
Esto no sincroniza los datos de navegación con Google inmediatamente, ya que requiere de una confirmación adicional, tal y como puede comprobarse en la imagen superior. Una vez se pulsa sobre la foto de perfil, el desplegable nos permite sincronizar nuestra información con Google para usarla en diferentes dispositivos.
Note that it doesn’t turn on Sync. You still have to explicitly opt in to that.
— Chris Palmer (@fugueish) 22 de septiembre de 2018
The goal is to resolve a problem people had: people logged in as account A in the content area, but syncing as B, and bad confusion would ensue.
Google llama a esta función "consistencia de identidad entre navegador y cookie jar", y un representante de Chrome en el foro de ayuda oficial de Google Chrome lo confirmó. La idea, apunta un desarrollador de Google en Twitter, es evitar que si A tiene la sesión iniciada en Chrome y B inicia sesión en Gmail, los datos de B se suban a la cuenta de A. Uniendo el inicio de sesión, todo va al sitio correcto. Sin embargo, este nuevo sistema tiene, para algunos otros usuarios, "un patrón de diseño oscuro".
Antes, iniciar sesión en Chrome suponía tener que pulsar sobre al apartado correspondiente e introducir el correo y la contraseña. Ahora, basta con pulsar sobre el botón azul que puede verse en la imagen superior para, en cuestión de un clic, sincronizar aplicaciones, marcadores, contraseñas, métodos de pago, etc., con la nube de Google. Antes era complicado, y ahora es demasiado fácil.
Google acaba de vincular el navegador a la persona. Y, con ello, el ID de trackeo y publicidad.
— Carlos Fenollosa (@cfenollosa) 23 de septiembre de 2018
Te están diciendo, “para qué engañarnos, mi trabajo es espiarte. Dejémonos de apariencias”
Que cada cual actúe en consecuencia.
Para Matthew Green, profesor de criptografía en la Universidad Johns Hopkins, "esto es una locura, por varias razones". La primera de ellas es que no se solicita permiso expreso para iniciar sesión en Google Chrome. "Durante diez años, el navegador Chrome me ha hecho una sola pregunta: "¿Desea iniciar sesión con su cuenta de Google?", y durante diez años he dicho que no, gracias. Chrome todavía me hace esa pregunta, solo que ahora no respeta mi decisión".
Este nuevo sistema, en palabras de Green, "tiene el efecto de facilitar a las personas la activación de Sync sin saberlo, o pensar que ya se están sincronizando y, por lo tanto, no hay un costo adicional para aumentar el acceso de Google a sus datos".
¿Puede evitarse este vínculo?
Ahora mismo, sí. La forma más fácil es yendo a chrome://flags, buscar la opción "Identity consistency between browser and cookie jar" y desactivarla. El problema de este sistema es que Google puede eliminarlo en cualquier momento del navegador, por lo que es interesante tener otras opciones.
- Usar el modo incógnito: de esta forma no se iniciará sesión en Google Chrome aunque se entre en Gmail y los datos se quedarán almacenados de forma local sin riesgo a ser subidos a la nube de forma accidental.
- Usando otro usuario: pulsa sobre la foto de perfil que aparece arriba a la derecha, selecciona "Administrar usuarios" y crea uno nuevo. Cuando lo hagas, pulsa sobre él y se abrirá una nueva ventana de Chrome con esa sesión secundaria. No correrás el riesgo de subir tus datos, pero te verás obligado a navegar usando dos ventanas.
Vía | GHacks
Ver 10 comentarios