En este blog le hemos dedicado a Beacon, el sistema publicitario de Facebook, algunas anotaciones. Desde el principio nos pareció demasiado intrusivo, y no gustó que lo metieran hasta en la sopa (daba igual que no fueras usuario de Facebook) para recoger información sobre tí sin avisar a nadie (y sin que tan siquiera fueras usuario de Facebook).

Ante las críticas y las primeras denuncias, Facebook ha ido haciendo movimientos (a menudo bastante tibios) siempre acompañados de grandes promesas. En realidad lo que molesta es que no estaban avergonzados de haberlo hecho, sino de que los hubieran pillado, o al menos esa es la sensación que se desprendió del modo en que actuaron.

Sin duda a estas alturas no darán marcha atrás, no van a retirar Facebook Beacon, las bases de datos con información personal son el gran negocio del futuro, pero está claro que aún tienen mucha tierra que tragar. Lo último es que los han acusado de realizar escuchas ilegales (TheRegister), ya que pactó con 44 socios recoger actividad online de sus usuarios en hasta 44 servicios web y recopilarla, sin avisar a los mismos.

Esta no es la primera denuncia que recibe Facebook, ni será la última, y aunque aquí sólo comentamos la primera en hacerse pública (EPIC vs Facebook) para no aburrir a nadie, ésta me ha parecido reseñable por tener un enfoque interesante. No es sólo violación de privacidad, sino hacerlo premeditadamente y sin el más mínimo respeto a todos mis derechos, tal y como sucede con las escuchas ilegales (no mediadas por un juez ni acompañadas de un proceso judicial que las ampare). Desde luego un enfoque curioso, aunque así visto no es absolutamente ilógico. Veremos en qué queda, está claro que Beacon es una apuesta arriesgada y que de prosperar lo hará a costa de la privacidad de los usuarios de Facebook (y de cualquiera). La receta perfecta para que alguien en esa empresa tenga un gran dolor de cabeza.

GigaOM sobre publicidad personalizada:

Pero la individualización tiene implicaciones relativas a la privacidad. Los anuncios impresos han dependido siempre de encuestas y estadísticas de lectores para dirigir el gasto en publicidad: Los anuncios en Vogue asumen que me gusta la moda y soy probablemente mujer -pero no están seguros. En la red, sin embargo, los datos se acumulan mientras consumo información: digamos que visito la web de Vogue y después me voy a una página con información para padres y de ahí me voy a mi agregador online a leer feeds de tecnología y a buscar información sobre la depresión post-parto. Sumalo todo, junto a mi IP y ahora soy una madre techie que vive en Austin, Texas, que posiblemente está de bajón. De repente, soy algo mucho menos difuso en la mente de esos anunciantes.

Sobre esto he hablado bastante: Publicidad en la red, lo que el usuario no ve, y facebook ha aparecido a menudo (con facebook beacon como protagonista) y TiVo vendiendo los datos de sus clientes y Phorm y más y más.

«Conecta to Bluetooth y gana fantásticos regalos»

Este cartel lo encontramos en la puerta de la estación central de trenes de Málaga, recientemente convertida en centro comercial (de hecho hay que atravesar una barrera de tiendas antes de llegar al tren) y renombrada a Estación María Zambrano.

¿La promesa? Que el bluetooth sea utilizado por las tiendas del centro comercial para hacerte maravillosos regalos. Supongo que no pasarán de algún descuento bajo condiciones nada relajadas.

¿La realidad? El bluetooth bien utilizado nos sirve para sincronizar el móvil con el portátil y pasarnos fotos y alguna pijada con nuestros amiguetes de forma cómoda. El bluetooth mal utilizado (y llevarlo conectado todo el tiempo, más aún dentro de un centro comercial, entra dentro de los malos usos) supone riesgos grandes para tu privacidad y es una ventana abierta a la publicidad no deseada mientras andamos por el centro comercial.

En realidad, al llevar el bluetooth encendido en el centro comercial facilitamos la recolección de datos personales (todo sobre nuestros hábitos de circulación por el centro comercial) para el desarrollo de perfiles personales que serán utilizados para enviarnos publicidad adaptada a ese perfil nuestro. Exactamente lo mismo que no nos gusta de la publicidad tipo Phorm o de algunos movimientos de Facebook, pero fuera de internet esta vez. El primer día que entre al centro comercial fallarán mucho, pero el 5º día va a ser entrar a la zona de tiendas y largarte publi de tu tienda preferida del edificio. ¿Las últimas 3 veces entraste a, digamos, una tienda de ropa? Pues un anuncio sobre «lo baratísimos que están los vaqueros esta semana, sólo ésta (sic)».

Todo así. Sin recibir nada a cambio; en todo caso, nada que compense el valor de la información que entregamos y el plus de gasto que conlleva el hecho de que la publicidad dirigida nos afecta más que la genérica. Sin recibir nada a cambio más que la promesa de un «maravilloso premio» que nunca compensará el precio que pagamos.

El tema de las estadísticas de tráfico web es muy recurrente en internet, sobre todo por parte de todos aquellos que por uno u otro motivo utilizan esa vara de medir como medio para monetizar un sitio web (tanto tráfico, tanto te pago por anuncio). No es de extrañar, por tanto, que muchas compañías intenten vender un sistema de estadísticas «fiable» (si es que alguno merece tal nombre). El que consiga ese sistema capaz de medir con exactitud, o cuando menos capaz de comparar diferentes webs, tendrá una joyita en sus manos. Google ya lo sabe.

El tema de la publicidad asociada a nuestros hábitos de navegación también lo hemos tratado últimamente, y es (por descontado) uno de los más habituales temas de conversación cuando se habla de privacidad. Al fin y al cabo, es poco probable que la policía mande registrar mi casa, pero no sería tan raro que manden espiar mi correo electrónico o la navegación web que me sirve mi ISP. Por eso el sistema publicitario de Phorm (recientemente imitado por Charter) levantó tantas ampollas y por eso se cuestiona su legalidad.

Por eso el último proyecto del que Mozilla ha hablado dará mucho que hablar. El proyecto, aún sin nombre (referido internamente como «Data»), persigue incluir un sistema opt-in en Firefox de forma que su amplia (y creciente) base de usuarios puedan aceptar enviar estadísticas «anónimas» sobre su navegación a los servidores de Mozilla. El sistema, al más puro estilo Alexa, pretende usar el gancho del 2º navegador en cuota de usuarios (estimada en unos 170millones de usuarios) para conseguir rápidamente una base representativa de los usuarios de la web (si es que el mero hecho de ceñirse a un único navegador no invalida -por perfilado de usuarios- el método en sí mismo). El sistema fue comentado con entusiasmo en TechCrunch y en el blog de John Lilly (CEO de Mozilla). Según Arrington esto es justamente lo que internet necesita (¿de verdad no hay problemas mayores?), algunos gurús son pa mear y no echar gota.

Sin embargo, no todo el mundo parece tan contento y entusiasmado como los chicos de TechCrunch. En Cryptome enlazaron a esos dos artículos con dos fatídicos subtítulos: «Firefox ponders Suicide» (Firefox pondera el suicidio) y «Firefox Ponders Screwing Users Phormlike» (Firefox pondera joder a los usuarios al estilo Phorm). Igual de descontentos se muestran en The Reg.

Yo tampoco acabo de verlo claro. ¿Qué hace una organización supuestamente sin ánimo de lucro desarrollando un sistema como ese? ¿Acaso es la guerra de Mozilla el generar un sistema de ránking de sitios web? No lo es, a menos que pretenda hacer dinero con ello. Pero, ¿no tiene Mozilla suficiente con el dinero que le da su alianza con Google? El sistema es opt-in y no aspiran a modificar tu tráfico web (no creo que pudieran), algo que definitivamente me impide calificar a este proyecto de algo «tipo Phorm», pero aún así es un sistema tan nocivo como otro cualquiera de recolección de hábitos de navegación que se les pueda ocurrir. Tan malo como lo es cualquier sistema de recolección masiva de datos. Esos datos no serán nunca tan anónimos como ellos prometen que serán.

Definitivamente una mala idea por parte de Mozilla. Vale que es software libre, que en un momento dado la comunidad podría eliminar ese plugin, o desactivarlo, o negarse por siempre a participar en el proyecto, pero la pregunta subsiste a todas esas hipótesis: ¿Para qué quiere Mozilla meterse en el ámbito de la recolección masiva de datos? Dirán que lo hacen para mantener la infraestructura, pero la gente olvida que Mozilla dice ser una fundación sin ánimo de lucro, cuando paga sueldos millonarios a sus directivos y hace tiempo que se cambió el nombre a Mozilla Corporation.

Hace un par de días comentábamos que Charter (8º operador de Estados Unidos) pensaba utilizar un sistema publicitario basado en la intercepción y modificación del tráfico web que solicita y recibe el cliente. Algo parecido a lo que Phorm hace para algunos ISP del Reino Unido.

Mientras en UK hubo todo un escándalo, en EE.UU. el tema parece haber pasado desapercibido. Desapercibido para casi todos, pero no para dos congresistas de aquel país que ya han escrito a Charter para comunicarle que «yo de tí no lo haría forastero», vamos... que tienen dudas sobre la legalidad de esa acción y habría que estudiarlo antes. Según cuentan en TheRegister, la empresa no habría (aún) contestado a la misiva que, por otra parte, no hace hincapié en la neutralidad de la red sino tan sólo en que el sistema debería ser opt-in en lugar de opt-out. Una vergüenza.

Una vergüenza, porque que les den el aviso es buena noticia, pero que se centren en lo menos importante es un peligro, porque se dejan de guardar las implicaciones más importantes.

Por supuesto, nada de esto se aplica a nuestra legalidad, pero es que yo no creo que aquí eso fuera considerado más legal. Y más nos vale estar atentos, las malas costumbres se transmiten como la gripe.

La intercepción del tráfico web por parte de las telecos es una de las mayores amenazas para la libertad de expresión, para nuestra privacidad y también, por qué no decirlo, para la libre competencia. Esos tres motivos son suficientes (cada uno, por separado) para removernos en nuestro asiento de intranquilidad y conseguir que comencemos a buscar una solución a esta práctica rampante.

La intercepción y modificación del tráfico web (esto es, que tú solicitas ver una página web y tu ISP te la entrega modificada, siquiera mínimamente) ya ha alcanzado titulares en los medios en alguna ocasión. Recientemente, el caso de Phorm sacudió todo el mundo anglosajón y fue muy discutido en medios y círculos hispanos como una advertencia de lo que nos podría suceder a nosotros más pronto que tarde; una advertencia de lo que hay que comenzar a combatir ya para evitar que suceda.

¿En qué consiste el escándalo de Phorm? Básicamente, tu ISP se pone de acuerdo con una empresa de publicidad dirigida para interceptar tus peticiones web para analizar lo que lees y trazar perfiles vinculados a los gustos, aficiones e intereses de las personas que lo utilizan. Publicidad personalizada basada en hábitos y aficiones.

Lo malo de este tipo de prácticas es que bajo su discurso de la opcionalidad encubren un poderoso boomerang que puede volver contra nosotros de forma violenta si aceptamos el juego (en realidad está lejos de ser un juego) y lo lanzamos: si todas las compañías de telecomunicaciones alcanzan pactos similares con Phorm o empresas del estilo para realizar este análisis del tráfico web obtenemos la imposición de facto de un control que viola nuestros derechos más básicos (la privacidad y la libertad de información entre ellos, pero también -como ya menciono más arriba- la libre competencia.

El problema es que, siendo ilegal esta intercepción, resulta difícil evitarla. Más aún, las compañías pretenden utilizando la laxitud legal al respecto incluir estas cláusulas en las condiciones de uso del servicio. El último caso conocido es el de Charter, un ISP de Estados Unidos que ha anunciado que va a comenzar a analizar el tráfico web de sus clientes y a sustituir los anuncios que crea conveniente. (TheInq). Otras voces, por contra, comentan que aunque la tecnología permite el reemplazo de anuncios no piensan hacer eso por el momento sino que plantean acordar con los publicistas actuales la cesión de la información (más gente al tanto de todo lo que lees/piensas) para personalizar aún más los anuncios. Esta última posibilidad es sostenida según las fuentes de ArsTechnica.

Esta práctica tiene todos los problemas éticos del caso Phorm, añadiendo otro: atentar contra la libre competencia, ya que si Charter decide incluir una determinada publicidad en su lista negra y añadir sus propios anuncios, aunque una determinada web tenga publicidad contratada, ésta no se mostrará. Por supuesto, esto es un problema derivado de la violación que la intercepción y modificación del tráfico web supone del derecho básico a la neutralidad de la red. De hecho, de confirmarse este paso, Charter daría un paso tan grande que hace que todo lo que Phorm tiene de malo se vea pequeño, pese a la enorme magnitud de aquello.

Para los escépticos que aún piensen que Charter hace bien proponiendo esas condiciones (libre mercado, laissez faire) pues ya habrá otros que no lo oferten y ganen la cuota de mercado, un par de reflexiones: la primera hace alusión a la concentración del mercado de ISP. Si la red está cada vez más concentrada, el mercado de ISP adolece de una falta de frescura abrumadora con no más de 5 grupos (antiguos monopolios estatales privatizados-vendidos-regalados a amigos de los políticos de turno) que se reparten la mayor parte del mercado continental (BT, Vodafone, Deutsche Telekom, France Telekom, Telefónica). Si todos adoptan técnicas de este estilo, ¿dónde queda nuestra libre elección?

Si la primera no fuera suficiente, aquí va la segunda: imagina que el ISP de turno decide que no va a mostrar más anuncios de AdSense y que cada vez que aparezca un anuncio de AdSense lo sustituirá por un anuncio de su elección, cuyos beneficios no serán para el proveedor de la web sino para él mismo. ¿Qué consecuencias tendría eso para la libre competencia? Dramáticas. Por supuesto, Charter debería hacer frente a un aluvión de denuncias, pero mientras tanto uno por otro y la casa sin barrer: con el rendimiento económico de esas actividades podrían bien defenderse y los pequeños anunciantes/generadores de contenidos estarían inmediatamente fuera del mercado.

Pero es que siempre hemos dicho que en cuanto la neutralidad de la red desaparece, internet deja de ser lo que hemos conocido para convertirse en un coto cerrado, un medio absolutamente bajo control donde nada se publica si no tiene un músculo financiero enorme detrás. Un jardin vallado. Una televisión 2.0 donde nada se publica si no tiene el suficiente respaldo detrás.

Y todo eso, además, con violación flagrante e impune de nuestra privacidad. Si en Reino Unido se permite esto, habrá que estar preparados porque aquí las telecos ya hace tiempo que quieren romper la baraja y seguro que más pronto que tarde intentan adaptar este sistema.

Phorm es una empresa de publicidad que ha saltado a la fama por su asociación con algunos de los ISP más grandes de Reino Unido, motivo que le ha llevado en los primeros meses de 2008 a ser objeto de críticas feroces por parte de los activistas pro-privacidad y pro-libertades debido a un sistema de intercepción de tráfico de internet que usaba para recopilar información de los usuarios con el fin de construir perfiles sobre sus hábitos, aficiones e intereses que luego serían utilizados para ofrecer publicidad personalizada a estos usuarios.

La idea es que los anunciantes puedan conocer mejor al público objetivo de sus campañas de modo que se te muestren anuncios cada vez más adaptados a lo que realmente te interesa. Esta publicidad tiene mayor éxito y acaban contigo gastando más dinero del que esperabas gastar. Por supuesto, todo esto tiene lugar sin que el usuario siquiera tenga un atisbo de conocimiento al respecto, como es habitual. Volvemos al final al primero de todos los problemas: las técnicas publicitarias modernas están fuera de control y nadie les pone coto.

El sistema utilizado por Phorm redirigía todas las peticiones web hasta tres veces hacia su sistema (usando HTTP 307) para recoger todas las cookies de forma que pudieran saber si el usuario había optado por salir del sistema, o identificar al usuario si éste no había salido y, finalmente, colocar una nueva cookie en el tráfico que recibe el cliente. Esta última cookie simulará provenir del sitio web original pedido por el usuario, pero habrá sido colocada ahí por Phorm. Esto podría ser ilegal en todo régimen que contemple la libertad de información y de expresión como parte básica del estado de derecho, ya que la comunicación está no sólo siendo interceptada sino también modificada por una tercera parte con el desconocimiento de los dos comunicantes. Mucho más allá que lo que han osado ir otros sistemas publicitarios como el de Facebook (sobre todo porque Facebook no es tu ISP y no goza de tanto poder).

Además, Phorm dice revisar el robots.txt para ver si el sitio web permite el análisis por parte de sistemas automáticos que indicen el contenido. Esto es una acción falaz, pues una cosa es que yo utilice (o deje de utilizar) un robots.txt y otra bien diferente que permita a Phorm interceptar y modificar la comunicación con los visitantes de mi sitio de forma que ellos puedan obtener un beneficio a base de violar los derechos de estos visitantes. Son dos asuntos distintos, por mucho que Phorm se escude en esto para justificar la legalidad (bastante dudosa, de paso) de su actividad. Phorm se excusa también diciendo que el sistema es opcional, pero esto es una falacia: si todas las telecos incorporan este tipo de prácticas, ¿es opcional es una imposición de facto?

Ante todo este escándalo, Phorm se esfuerza en decir que todo su trazado de perfiles es anónimo pero eso no es cierto. Los datos se asocian a un perfil, no son anónimos. Otra cosa es que no conozcan mi nombre (que lo dudo), pero desde luego no son datos anónimos que se puedan asociar a cualquiera. Están claramente identificados. Hay muchas formas de identificar a una persona y sólo unas pocas requieren saber el nombre real de esa persona: si quieres mi nombre tendrás que leer el DNI, si quieres saber si soy yo el que cada tarde revisa una determinada cuenta de webmail tan sólo tendrás que leer la cookie de la web que solicito. Ambas cosas me identifican, y ambas cosas sirven para los planes publicitarios de Phorm. Por supuesto, ambas cosas son nocivas. La gente tiende a pensar que si alguien no sabe su nombre ya se conserva el anonimato; nada más lejos de la realidad.

Y es que todo lo malo que os podáis imaginar en cuanto a registro de lo que leemos, lo que decimos, hacemos y nos interesa se hace realidad con este sistema. Evidentemente, desde la lógica de la democracia miramos a todo con confianza: esto es sólo un sistema publicitario (dirán algunos). Pero no hay que olvidar que el capitalismo que tenemos se vira autoritario por momentos, que los sistemas de vigilancia y control centralizados que nos describió Orwell dejan paso a sistemas descentralizados bajo dominio no solamente del estado sino de empresas privadas y que entre todos forjan una sociedad de control indeseable.

Por concluir, no es sorprendente los activistas pro-privacidad y pro-derechos, como el OpenRightsGroup, se opongan enérgicamente a este modelo desarrollado por Phorm. Me tomé el asunto de Phorm con mucha calma y de hecho no he comentado este asunto hasta ahora (unas semanas después), pero espero haber aclarado algo este tema espinoso que seguro dará mucho que hablar pues mucho me temo que habrá más escándalos de este tipo a los que tendremos que hacer frente.

*** Los detalles técnicos fueron estudiados a fondo en Light Blue Touch Paper.