Los próximos planes de Google para reemplazar las cookies de terceros con un mecanismo dirigido a anuncios menos invasivos tienen una serie de problemas que podrían frustrar sus objetivos de privacidad y permitir una vinculación significativa del comportamiento del usuario, posiblemente incluso identificando usuarios individuales.
«FLoC se basa en una idea convincente: permitir la orientación de anuncios sin exponer a los usuarios a riesgos», dijo Eric Rescorla, autor del estándar TLS y director de tecnología de Mozilla. «Pero el diseño actual tiene una serie de propiedades de privacidad que podrían crear riesgos significativos si se implementara ampliamente en su forma actual».
Abreviatura de Aprendizaje federado de cohortes, FLoC es parte de la incipiente iniciativa Privacy Sandbox de Google que tiene como objetivo desarrollar soluciones alternativas para satisfacer los casos de uso entre sitios sin recurrir a cookies de terceros u otros mecanismos de seguimiento opacos.
Esencialmente, FLoC permite a los especialistas en marketing adivinar los intereses de los usuarios sin tener que identificarlos de manera única, eliminando así las implicaciones de privacidad asociadas con la publicidad personalizada, que actualmente se basa en técnicas como cookies de seguimiento y huellas dactilares de dispositivos que exponen el historial de navegación de los usuarios en los sitios a los anunciantes o plataformas de publicidad
FLoC elude la cookie con un nuevo identificador de «cohorte» en el que los usuarios se agrupan en grupos en función de comportamientos de navegación similares. Los anunciantes pueden agregar esta información para crear una lista de sitios web que visitan todos los usuarios de una cohorte en lugar de usar el historial de visitas realizadas por un usuario específico, y luego orientar los anuncios según el interés de la cohorte.
La idea, en pocas palabras, es aprovechar el aprendizaje automático en el dispositivo y «ocultar» a las personas entre la multitud manteniendo privado el historial web de los usuarios en el navegador Chrome.
«Con FLoC, los perfiles individuales son una fuente potencial de información adicional sobre las propiedades de FLoC en su conjunto», dijo Mozilla. «Por ejemplo, la información de los perfiles individuales se puede generalizar para informar las decisiones sobre la cohorte de FLoC en su conjunto».
Además, la ID de cohorte asignada a los usuarios se vuelve a calcular semanalmente en el dispositivo, lo que pretende reflejar sus intereses en evolución a lo largo del tiempo y evitar su uso como un identificador persistente para rastrear a los usuarios. Actualmente, Google está ejecutando una prueba de origen para FLoC en su navegador Chrome, con planes de implementarlo en lugar de cookies de terceros en algún momento del próximo año.
A pesar de su promesa de ofrecer un mayor grado de anonimato, las propuestas de Google han encontrado una fuerte resistencia por parte de los reguladores, los defensores de la privacidad, los editores y todos los principales navegadores que utilizan el proyecto Chromium de código abierto, incluidos Brave, Vivaldi, Opera y Microsoft Edge. . «El peor aspecto de FLoC es que daña materialmente la privacidad del usuario, bajo el pretexto de ser amigable con la privacidad», dijo Brave en abril.
El método de «orientación de anuncios seguros para la privacidad» también ha estado bajo el escáner de Electronic Frontier Foundation, que calificó a FLoC como una «idea terrible» que puede reducir la barrera para que las empresas recopilen información sobre personas solo en función de las identificaciones de cohortes asignadas a ellos. «Si un rastreador comienza con su cohorte FLoC, solo tiene que distinguir su navegador de unos pocos miles (en lugar de unos pocos cientos de millones)», dijo la EFF.
De hecho, según un informe reciente de Digiday, «las empresas están comenzando a combinar ID de FLoC con información de perfil identificable existente, vinculando información única sobre los viajes digitales de las personas con lo que ya saben sobre ellos, incluso antes de que el seguimiento de cookies de terceros pudiera haberlo revelado. , «neutralizando efectivamente los beneficios de privacidad del sistema.
El análisis de Mozilla de FLoC respalda este argumento. Dado que solo unos pocos miles de usuarios comparten una ID de cohorte específica, los rastreadores que poseen información adicional pueden reducir el conjunto de usuarios muy rápidamente al combinar los identificadores con datos de huellas dactilares e incluso aprovechar las ID de cohortes recalculadas periódicamente como un punto de fuga para distinguir a los usuarios individuales de una semana a otra.
«Antes de la pandemia y hace algún tiempo, asistí a un concierto de Mew, un concierto de Ghost, Disney on Ice y un concierto de Def Leppard. En cada uno de esos eventos fui parte de una gran multitud. Pero apuesto a que fui el único uno para asistir a los cuatro «, dijo John Wilander, ingeniero de privacidad y seguridad de WebKit, a principios de abril, señalando cómo las identificaciones de cohorte se pueden recopilar con el tiempo para crear identificaciones de seguimiento entre sitios.
Es más, dado que los ID de FLoC son los mismos en todos los sitios web para todos los usuarios de una cohorte, los identificadores socavan las políticas de cookies restrictivas y filtran más información de la necesaria al convertirse en una clave compartida a la que los rastreadores pueden asignar datos de otras fuentes externas, dijeron los investigadores. detallado.
Google ha implementado mecanismos para abordar estas deficiencias de privacidad no deseadas, incluida la opción de FLoC para sitios web y la supresión de cohortes que cree que están estrechamente relacionadas con temas «sensibles». Pero Mozilla dijo que «estas contramedidas se basan en la capacidad del fabricante del navegador para determinar qué entradas y salidas de FLoC son sensibles, lo que a su vez depende de su capacidad para analizar el historial de navegación del usuario según lo revelado por FLoC», eludiendo a su vez las protecciones de privacidad.
Como posibles vías de mejora, los investigadores sugieren crear ID de FLoC por dominio, dividir la ID de FLoC por el sitio propio y suprimir falsamente la ID de cohorte que pertenece a usuarios sin historial de navegación confidencial para proteger a los usuarios que no pueden informar una ID de cohorte. . Vale la pena señalar que la API de FLoC devuelve una cadena vacía cuando una cohorte se marca como confidencial.
«Cuando se considera que coexiste con los mecanismos de seguimiento basados en el estado existentes, FLoC tiene el potencial de aumentar significativamente el poder del seguimiento entre sitios», concluyeron los investigadores. «En particular, en los casos en que el almacenamiento particionado impide el seguimiento entre sitios, el patrón longitudinal de las ID de FLoC podría permitir que un observador vuelva a sincronizar las visitas del mismo usuario en varios sitios, lo que obvia parcialmente el valor de estas defensas».
En última instancia, la mayor amenaza para FLoC puede ser el propio Google, que no solo es el motor de búsqueda más grande, sino también el desarrollador detrás del navegador web más utilizado del mundo y el propietario de la plataforma de publicidad más grande del mundo, lo que lo pone entre la espada y la pared. lugar donde cualquier intento de reescribir las reglas de la web podría percibirse como un intento de reforzar su propio dominio en el sector.
Tal es su alcance y su enorme impacto que Privacy Sandbox está atrayendo mucho escrutinio regulatorio. La Autoridad de Mercados y Competencia del Reino Unido (CMA) anunció anteriormente que asumirá un «papel en el diseño y desarrollo de las propuestas de Privacy Sandbox de Google para garantizar que no distorsionen la competencia».
