La noticia se difundió en todos los medios de comunicación: Avast, una empresa que produce software de antivirus, recibió una multa de $16.5 millones de dólares por la venta no autorizada de los datos de sus clientes. Una práctica que, según las reconstrucciones de los investigadores, habría durado hasta 2014.
La compañía, al responder a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) que impuso la multa, se defendió alegando que los datos vendidos carecían de información de identificación del usuario.
La FTC también prohibió formalmente a Avast transferir los datos de navegación de sus usuarios a terceros con fines publicitarios.
Este es el panorama general y Avast, al anunciar que había llegado a un acuerdo con la FTC, también anunció que Jumpshot, la filial a la que transfirió los datos, cerró a principios de 2020.
Sin embargo, el gigante de la seguridad con sede en Praga sale de la disputa con un daño a su reputación porque la que autoproclama su misión; es decir, defender los dispositivos de los usuarios y protegerlos también del rastreo en línea, fracasó. Lo que ha sucedido parece estar bastante claro: sin embargo, el motivo sigue siendo incierto.
¿Por qué Avast vendió los datos de sus clientes?
Los datos son tan valiosos que quienes los recopilan corren riesgos incalculables. Es trivial e ilógico que se venda a quien debería impedir que se vendan. Sin embargo, ha sucedido —y volverá a suceder—, a pesar de los esfuerzos de los reguladores nacionales y supranacionales en materia de privacidad y confidencialidad.
Para aclarar, utilizamos el consejo de Pierluigi Paganini, experto en ciberseguridad e inteligencia, con quien también reconstruimos los antecedentes y los precedentes porque, el de Avast, no es un caso aislado.
Es posible decir o, al menos, respaldar lógicamente a quién Avast pudo haber vendido sus datos. ¿Y por qué una empresa como Avast necesita venderlos?
«Lo que ha surgido en los últimos días no sorprende a los profesionales, al contrario, causa una profunda preocupación, porque se ha discutido durante años y no se ha hecho nada hasta que la FTC lo prohibió.
En enero de 2020, una investigación conjunta de Motherboard y PCMag reveló que Avast, a través de su filial Jumpshot, vendía datos de usuarios a prácticamente cualquier persona que los solicitara. En ese momento, los periodistas identificaron a empresas como Home Depot, Google, Microsoft, Pepsi y McKinsey entre sus clientes potenciales.
Tras la investigación, Avast anunció que bloquearía la venta de datos de los usuarios, pero obviamente no salió como se esperaba. En cuanto a las motivaciones para vender información, no hay otra razón que la económica. Los datos son tan valiosos como el oro y son una importante fuente de ingresos para la empresa».
¿Cómo utilizan los compradores los datos?
«La adquisición de esta información podría permitir a las empresas especializadas en publicidad y marketing llevar a cabo campañas específicas mediante la elaboración oportuna de perfiles de los usuarios. Sin embargo, hay que decir que, al cruzar datos como los hábitos en línea de los usuarios, con la información recopilada por sistemas de seguridad como los desarrollados por Avast, también es teóricamente posible monitorear la actividad de usuarios específicos, lo que hace que esta información también sea atractiva para las agencias de inteligencia».
China lleva años comprando datos, pero las razones para hacerlo no siempre están claras. ¿Existen únicamente motivos para la elaboración de perfiles o Pekín tiene otras intenciones?
«Las motivaciones son esencialmente la recopilación de información de inteligencia y las motivaciones comerciales. China sigue una estrategia comercial extremadamente agresiva hacia Occidente y sus empresas. La recopilación de información sin duda podría beneficiar a las empresas chinas. Sin embargo, no debe pasarse por alto la posibilidad de que los datos se adquieran para cotejarlos con otra información en poder de la inteligencia china para actividades de vigilancia e incluso para llevar a cabo campañas de desinformación extremadamente eficaces».
Es difícil decir cuánto podrían valer los datos vendidos en términos económicos. Sin embargo, es posible establecer una relación entre costes y beneficios. ¿Vale la pena el santo económicamente? En otras palabras, ¿necesita Avast monetizar tanto que corre el riesgo de arruinar su reputación?
«Sin duda, sería interesante conocer los ingresos relacionados con la venta de datos de los usuarios de Avast y sus filiales, y el hecho de que llevemos años aplicando esta práctica sugiere que las ganancias están lejos de ser insignificantes. Objetivamente, para una empresa que tiene como objetivo proteger la privacidad y la seguridad de los usuarios, acciones como las adoptadas por la FTC representan una grave vergüenza y deben hacer que los usuarios reflexionen sobre el trabajo de Avast y otras empresas».
Fuente: Cybersecurity360.it, Network Digital360