Mozilla critica varios aspectos de la privacidad de FLoC, el nuevo sistema de rastreo de Chrome tras las cookies

Mozilla critica varios aspectos de la privacidad de FLoC, el nuevo sistema de rastreo de Chrome tras las cookies
2 comentarios

El aprendizaje federado de cohortes (FLoC), el sistema que Google Chrome está probando actualmente para rastrear a los usuarios en vez de las cookies, acaba de volver a ser cuestionado por Mozilla tras un análisis en torno a la privacidad. FLoC busca orientar los anuncios en función de los intereses de los usuarios sin revelar su historial de navegación a los anunciantes.

En la web actual, los rastreadores (y por tanto los anunciantes) asocian una cookie a cada usuario. Cada vez que un usuario visita un sitio web que tiene un rastreador incrustado, el rastreador obtiene la cookie y puede así elaborar una lista de los sitios que visita el usuario.

Los anunciantes pueden utilizar la información obtenida a partir del seguimiento del historial de navegación para dirigir anuncios que pueden ser relevantes para los intereses de un determinado usuario. El problema aquí es que implica que los anunciantes se enteren de todos los sitios que visitamos.

FLoC ha sustituido esta cookie por un nuevo identificador de "cohorte" que no representa a un solo usuario, sino a un grupo de usuarios con intereses similares. Los anunciantes pueden elaborar una lista de los sitios que visitan todos los usuarios de una cohorte, pero no el historial de ningún usuario individual. Si los intereses de los usuarios de una cohorte son realmente similares, este identificador de cohorte se usa paraa orientar la publicidad.

Los diferentes problemas de seguridad que plantea FLoC

FLOC

Tras esta introducción, Eric Rescorla, CTO o Chief Technology Officer de Firefox en Mozilla, explica cómo fue el análisis realizado por el equipo que muestra varios problemas de privacidad. Por un lado, los ID de cohorte pueden utilizarse para el seguimiento. Aunque cualquier cohorte va a ser relativamente grande (el tamaño exacto aún está aún en proceso de discusión, pero estos grupos probablemente estarán formados por miles de usuarios), eso no significa que no puedan utilizarse para el seguimiento.

Dado que solo unos pocos miles de personas compartirán un ID de cohorte determinado, si los rastreadores disponen de una cantidad significativa de información adicional, pueden reducir el conjunto de usuarios muy rápidamente. Hay varias formas posibles de que esto ocurra.

Por un lado, las huellas digitales del navegador. Por ejemplo, algunas personas utilizan Chrome y otras Firefox; algunas personas utilizan Windows y otras Mac; algunas personas hablan inglés y otras francés. Cada una de las variaciones específicas de los usuarios puede utilizarse para distinguir a estos usuarios. Cuando se combina con una cohorte FLoC que sólo tiene unos pocos miles de usuarios, se requiere una cantidad relativamente pequeña de información para identificar a una persona individual o al menos reducir la cohorte FLoC a unas pocas personas.

Por otro lado, de acuerdo a las conclusiones de Mozilla, los intereses de las personas no son constantes y tampoco lo son sus ID en FLoC. En la actualidad, estas ID parecen volver a calcularse cada semana aproximadamente. Esto significa que si un rastreador es capaz de utilizar otra información para relacionar las visitas de los usuarios a lo largo del tiempo, puede utilizar la combinación de los FLoC ID en diferentes semanas para distinguir a los usuarios individuales.

Este sistema es capaz de funcionar incluso con mecanismos anti-seguimiento como la Protección Total de Cookies (TCP) de Firefox. FLoC restablece el rastreo entre sitios incluso si los usuarios tienen el TCP activado.

FLoC filtra más información de la que un usuario puede querer filtrar

google

Con el rastreo basado en cookies, la cantidad de información que obtiene un rastreador está determinada por el número de sitios en los que está incrustado. Además, un sitio que quiera conocer los intereses del usuario debe participar él mismo en el seguimiento del usuario en un gran número de sitios, trabajar con algún rastreador razonablemente grande o trabajar con otros rastreadores, tal y como explica Eric Rescorla.

Bajo una política de cookies permisiva, este tipo de seguimiento es sencillo utilizando cookies de terceros y sincronización de cookies. Sin embargo, cuando las cookies de terceros están bloqueadas (o aisladas con TCP) es mucho más difícil para los rastreadores recopilar y compartir información sobre los intereses de un usuario entre sitios.

FLoC socava estas políticas de cookies más restrictivas: como los ID de FLoC son los mismos en todos los sitios, se convierten en una clave compartida a la que los rastreadores pueden asociar datos de fuentes externas.

FLoC se enfrenta a varios retos de confianza

duckduck go

No solo Firefox ha analizado la privacidad de este nuevo sistema de rastreo de Google. A principios de 2020 Google anunció su plan de acabar con las cookies de terceros en Chrome y que iba a sustituir este común rastreo de la actividad de los usuarios en Internet.

Chetna Bindra, directora de producto para la confianza del usuario, privacidad y transparencia en Google, habló con Genbeta sobre una API en la que la empresa estaba trabajando como parte de los experimentos de Privacy Sandbox: Federated Learning of Cohorts (FLoC).

Las voces opuestas, como la Electronic Frontier Foundation, dicen que la idea de privacidad que vendió Google no se ajusta a la realidad. El caso es que si quieres desactivar ese rastreo, puedes hacerlo. Las autoridades europeas también han mostrado su preocupación.

Wordpress también plantea la posibilidad de bloquear el software de rastreo FLoC de Google como una amenaza de seguridad. De este modo, Wordpress se une así a una lista de empresas que rechazan la nueva forma de rastreo del gigante de Alphabet. Dos firmas de navegadores alzaron la voz al respecto. Según Brave y DuckDuckGo esta herramienta ni siquiera cumple con su objetivo de salvaguardar la privacidad.

Temas
Inicio