¿Rechazas las cookies? Un estudio demuestra que a menudo no sirve de nada y te espían igual

Un estudio de la Universitat de Girona (UdG) ha comprobado que más de la mitad de las páginas web vulneran la privacidad de sus usuarios, para que tengan o no su consentimiento, acaban instalando "cookies" de rastreo u otras tecnologías de monitorización.

El principal investigador del estudio, David Martínez Álvarez, explica que las infracciones que han constatado son múltiples:

Las conclusiones del estudio "Large-*scale web tracking and cookie compliance" van todavía más allá y demuestran que el sector del espionaje comercial de usuarios a internet está muy concentrado: solo 10 empresas de seguimiento son responsables de la mayoría de infracciones detectadas.

Detrás las cookies, en el top 10 de las páginas más infractoras hay los sospechosos habituales: Microsoft, Google, Apple, Amazon... y también Cloudflare, Yandex, Xiaomi, Wordpress, Adobe o GitHub, entre otros.

 ¿Qué son y como se instalan, las cookies?  

Las galletas son pequeños archivos que se instalan en el navegador o en el dispositivo del usuario cuando visita una página web o utiliza una aplicación móvil.

Hay de diferentes tipos, desde las esenciales o técnicas que son necesarias para prestar el servicio, a las cookies de rastreo que recopilan la actividad del usuario durante la navegación, pasando por las de personalización o las analíticas.

Las de rastreo son las más sensibles, porque se encargan de recopilar datos sobre la actividad en línea de una persona. Donde hace clic, que mira, desde qué dispositivo y ubicación, cuánto rato pasa...

Especialmente comprometidas para la privacidad son las galletas de rastreo de terceros, que acompañan el usuario allá donde vaya, recopilando información, tal como explica el profesor del Departamento de Arquitectura y Tecnología de Computadores de la UdG y responsable del estudio, David Martínez:

"Si entras en un web mirando un ventilador, como que hay una cookie de alguna gran empresa publicitaria, cuando entres en otra, te enseñarán anuncios de ventiladores, porque aquella cookie también estará".

Como que estos datos pueden llegar a ser tan precisos se pueden asociar a un usuario en concreto. "Las galletas pueden ser consideradas datos de carácter personal", según el departamento  de la Autoridad Catalana de Protección de Datos (APDCAT).

En estos casos, "la normativa de protección de datos es aplicable" y, si no se cumple, se trata de una vulneración del reglamento general de protección de datos (RGPD).

 ¿Cómo nos espían las páginas web?  

La mayoría de infracciones detectadas son para utilizar técnicas de rastreo sin un consentimiento válido del usuario, sea porque ha rechazado las cookies, porque no ha dado respuesta ,ni positiva ni negativa, al banner de galletas, o porque no se le ha informado de la existencia de estos u otros métodos para recoger datos.

Son tres casuísticas que son equivalentes.Los banners informativos "tienen que ser claramente visibles antes de empezar a recoger cookies", y el usuario tiene que saber para qué finalidades se recogerá la información, con qué plazos de conservación y con quien se compartirán, además de tener las opciones de "aceptar, rechazar o configurarlas".

Aparte de galletas de seguimiento, las empresas que gestionan las páginas web tienen otras maneras de recoger datos de los usuarios. Principalmente, hay dos:

Píxeles de rastreo: también conocidos como "web beacons" o "píxel tracking". Se trata de elementos muy pequeños de una página web que a veces no son ni siquiera visibles, pero que están transmitiendo nuestra información a servicios externos. El usuario no los detecta porque tienen código por detrás que no es visual y, cuando se cargan, aprovechan y en esta misma petición que se hace al servidor, envían datos extras.

Impronta de navegador: también conocido como "browser fingerprinting". Es la técnica de recoger un conjunto de datos sobre nuestro navegador que puede llegar a ser muy específico. Registra el tipo de navegador que utiliza un usuario que entra en un web, pero también puede recoger ,el número de extensiones que tengamos instaladas y marcadores guardados, la medida de la ventana, el sistema operativo, la versión del navegador... Esta información, introducida a los algoritmos, conforma detalles tan específicos del navegador del usuario que acaba siendo un número en concreto que nos identifica de manera única, a pesar de que a menudo se nos presenta como información anonimizada.

Más de 15 años después de implantarse el consentimiento informado del uso de cookies, miles de empresas siguen aplicando la ley incorrectamente y no informan completamente de la recolección de datos.

 ¿Cómo se ha hecho el estudio?  

La mayoría de webs,  recopilan datos de los usuarios sin permiso, vulneran el RGPD y la privacidad de sus usuarios. En definitiva: nos espían.

Esto es el que demostró el grupo de investigación en Comunicaciones y Sistemas Distribuidos (BCDS) de la Escuela Politècnica Superior (EPS-UdG) y el Departamento de Derecho Público de la Universitat de Girona (UdG) que ha liderado David Martínez.

A partir de la publicación de una herramienta de inspección de páginas web del Supervisor Europeo de Protección de Datos (EDPS), denominada Website Evidence Collector (WEC), el grupo de investigación de la UdG notó que "algo tambaleaba".

El grupo de investigación vio un vacío en "las evaluaciones automatizadas a gran escala" y desarrolló "nuevos algoritmos, métodos y un modelo de inteligencia artificial (IA) para analizar de manera masiva y automática el cumplimiento de las normativas sobre cookies y rastreo web".

El estudio se hizo sobre más de un millón de sitios web de la lista Tranco Top, el ranking "más riguroso que hay en cuanto a las páginas más visitadas a escala mundial".

 Las principales conclusiones son tres:  

Casi la mitad de los sitios web utilizan galletas de rastreo, y más de la mitad optan por el "píxel tracking" sin el consentimiento válido del usuario.

Hay diferencias notables entre categorías de contenido: las páginas web de moda o "retail" son las que acumulan más infracciones registradas en el estudio, seguidas del sector de la alimentación y la automoción.

Un algoritmo de creación propia basado en inteligencia artificial (Massive Tracking Study o ETS) ha conseguido hacer una clasificación automática con una precisión superior al 96%.

El espionaje a internet es un sector muy concentrado: solo las 10 compañías de seguimiento más importantes son responsables de la mayoría de las infracciones.

Microsoft es la empresa número 1 en cuanto a las infracciones en la gestión de cookies o el uso de píxeles de rastreo y Google las con técnicas de huella digital, seguidas de cerca por empresas como Apple, Amazon o Yandex, el motor de búsqueda ruso.

Herramientas para proteger la privacidad de los usuarios  

El principal éxito del estudio ha sido establecer un método para analizar de manera automatizada y a gran escala el uso de técnicas de rastreo de los usuarios en páginas web.

Martínez explica que así podrán "analizar la evolución de esta práctica de manera periódica, ver el impacto de nuevas normativas europeas y su efectividad a medio y largo plazo y si realmente se está protegiendo la privacidad de los usuarios o no."

Mientras tanto, desde el APDCAT, recuerdan que "si una persona considera que una entidad del sector público " o una empresa privada no respeta su privacidad en el tratamiento de datos, "puede presentar una denuncia" desde su servicio y, si procede, ellos se encargarán de gestionarlo directamente o derivarlo a la autoridad competente.