Los próximos planes de Google para reemplazar las cookies de terceros con un mecanismo de publicidad dirigida menos invasivo tienen una serie de problemas que podrían frustrar sus objetivos de privacidad y permitir una vinculación significativa del comportamiento del usuario, posiblemente incluso identificando a usuarios individuales.
«FLoC se basa en una idea convincente: permitir la orientación de anuncios sin exponer a los usuarios a riesgos», dijo Eric Rescorla, autor del estándar TLS y director de tecnología de Mozilla. «Pero el diseño actual tiene una serie de propiedades de privacidad que podrían crear riesgos significativos si se implementara ampliamente en su forma actual».
Abreviatura de Federated Learning of Cohorts , FLoC es parte de la incipiente iniciativa Privacy Sandbox de Google que tiene como objetivo desarrollar soluciones alternativas para satisfacer los casos de uso entre sitios sin recurrir a cookies de terceros u otros mecanismos de seguimiento opacos.
Básicamente, FLoC permite a los especialistas en marketing adivinar los intereses de los usuarios sin tener que identificarlos de manera única, lo que elimina las implicaciones de privacidad asociadas con la publicidad personalizada, que actualmente se basa en técnicas como las cookies de seguimiento y la toma de huellas dactilares del dispositivo que exponen el historial de navegación de los usuarios en los sitios a los anunciantes o plataformas publicitarias.
FLoC evita la cookie con un nuevo identificador de «cohorte» en el que los usuarios se agrupan en grupos basados en comportamientos de navegación similares. Los anunciantes pueden agregar esta información para crear una lista de sitios web que visitan todos los usuarios de una cohorte en lugar de utilizar el historial de visitas realizadas por un usuario específico, y luego orientar los anuncios según el interés de la cohorte.
La idea, en pocas palabras, es aprovechar el aprendizaje automático en el dispositivo y «ocultar» a las personas entre la multitud manteniendo privado el historial web de los usuarios en el navegador Chrome.
«Con FLoC, los perfiles individuales son una fuente potencial de información adicional sobre las propiedades del FLoC en su conjunto», dijo Mozilla. «Por ejemplo, la información de los perfiles individuales se puede generalizar para informar las decisiones sobre la cohorte FLoC en su conjunto».
Además, el ID de cohorte asignado a los usuarios se vuelve a calcular semanalmente en el dispositivo, lo que pretende reflejar la evolución de sus intereses a lo largo del tiempo y evitar su uso como un identificador persistente para rastrear a los usuarios. Google está ejecutando actualmente una prueba de origen para FLoC en su navegador Chrome, con planes de implementarlo en lugar de cookies de terceros en algún momento del próximo año.
A pesar de su promesa de ofrecer un mayor grado de anonimato, las propuestas de Google han encontrado una fuerte resistencia por parte de reguladores, defensores de la privacidad, editores y todos los navegadores importantes que utilizan el proyecto Chromium de código abierto, incluidos Brave, Vivaldi , Opera y Microsoft Edge. . «El peor aspecto de FLoC es que daña materialmente la privacidad del usuario, con el pretexto de ser amigable con la privacidad», dijo Brave en abril.
El método de «segmentación de anuncios seguros para la privacidad» también ha sido analizado por la Electronic Frontier Foundation, que calificó a FLoC como una » idea terrible » que puede reducir la barrera para que las empresas recopilen información sobre individuos basándose únicamente en las identificaciones de cohorte que se les asignaron. «Si un rastreador comienza con su cohorte FLoC, solo tiene que distinguir su navegador de algunos miles de otros (en lugar de unos cientos de millones)», dijo la EFF.
De hecho, según un informe reciente de Digiday, «las empresas están empezando a combinar las ID de FLoC con la información de perfil identificable existente, vinculando información única sobre los viajes digitales de las personas con lo que ya saben sobre ellos, incluso antes de que el seguimiento de cookies de terceros lo haya revelado. , «neutralizando efectivamente los beneficios de privacidad del sistema.
El análisis de Mozilla de FLoC respalda este argumento. Dado que solo unos pocos miles de usuarios comparten un ID de cohorte específico, los rastreadores que están en posesión de información adicional pueden reducir el conjunto de usuarios muy rápidamente al acoplar los identificadores con datos de huellas digitales e incluso aprovechar los ID de cohorte recalculados periódicamente como un punto de fuga para distinguir a los usuarios individuales de una semana a otra.
«Antes de la pandemia y hace algún tiempo, asistí a un concierto de Mew, un concierto de Ghost, Disney on Ice y un concierto de Def Leppard. En cada uno de esos eventos formé parte de una gran multitud. Pero apuesto a que fui el único uno para asistir a los cuatro «, dijo John Wilander, ingeniero de privacidad y seguridad de WebKit, a principios de abril, y señaló cómo las identificaciones de cohortes se pueden recopilar con el tiempo para crear identificaciones de seguimiento entre sitios.
Además, debido a que los ID de FLoC son los mismos en todos los sitios web para todos los usuarios de una cohorte, los identificadores socavan las políticas restrictivas de cookies y filtran más información de la necesaria al convertirse en una clave compartida a la que los rastreadores pueden mapear datos de otras fuentes externas, los investigadores detallado.
Google ha puesto en marcha mecanismos para abordar estas deficiencias de privacidad indeseables, incluida la opción de FLoC para los sitios web y la supresión de cohortes que cree que están estrechamente correlacionadas con temas «sensibles». Pero Mozilla dijo que «estas contramedidas se basan en la capacidad del fabricante del navegador para determinar qué entradas y salidas de FLoC son sensibles, lo que a su vez depende de su capacidad para analizar el historial de navegación del usuario según lo revelado por FLoC», eludiendo a su vez las protecciones de privacidad.
Como posibles vías de mejora, los investigadores sugieren crear ID de FLoC por dominio, dividir la ID de FLoC por el sitio de origen y suprimir falsamente la ID de cohorte que pertenece a usuarios sin historiales de navegación sensibles para proteger a los usuarios que no pueden informar una ID de cohorte . Vale la pena señalar que la API de FLoC devuelve una cadena vacía cuando una cohorte se marca como sensible.
«Cuando se considera que coexiste con los mecanismos de seguimiento existentes basados en el estado, FLoC tiene el potencial de aumentar significativamente el poder del seguimiento entre sitios», concluyeron los investigadores. «En particular, en los casos en que el almacenamiento particionado impide el seguimiento entre sitios, el patrón longitudinal de los ID de FLoC podría permitir que un observador vuelva a sincronizar las visitas del mismo usuario en varios sitios, obviando así parcialmente el valor de estas defensas».
En última instancia, la mayor amenaza para FLoC puede ser el propio Google , que no solo es el motor de búsqueda más grande, sino también el desarrollador detrás del navegador web más utilizado del mundo y el propietario de la plataforma publicitaria más grande del mundo, lo que lo coloca entre la espada y la pared. lugar donde cualquier intento de reescribir las reglas de la web podría percibirse como un intento de reforzar su propio dominio en el sector.
Tal es su alcance e impacto descomunal, Privacy Sandbox está atrayendo mucho escrutinio regulatorio. La Autoridad de Mercados y Competencia del Reino Unido (CMA) anunció hoy que está asumiendo un «papel en el diseño y desarrollo de las propuestas de la zona de pruebas de privacidad de Google para garantizar que no distorsionen la competencia».
