Avast responde sobre la supuesta venta de datos de usuarios

Avast responde sobre la supuesta venta de datos de usuarios

Recordáis aquel dicho…? Si el producto es gratis, tú eres el producto. Efectivamente, esta verdad inexorable ha vuelto a contrastarse. El popular antivirus gratuito de Avast podría haber sufrido un duro golpe con estas noticias.

Medios especializados en tecnología como Vice o PCMag han recogido en los últimos días algo preocupante para la privacidad de los usuarios del antivirus Avast Free, ya que una empresa subsidiaria de Avast estaría vendiendo los datos de los usuarios sin consentimiento.

Jumpshot no respeta los datos de clientes de Avast

Esta empresa, JumpShot, ha estado vendiendo información de usuarios de Avast a empresas como IBM, Intuit, L’Oreal o Home Depot. Eso sí, no todas las empresas estuvieron dispuestas a cometer estas prácticas abusivas.

¿Qué información personal?

Hablando sin mucho detalle, es estima que incluía búsquedas de Google, búsquedas de ubicaciones de GPS o coordenadas de GPS de Google Maps y, en ciertos casos, términos introducidos en sitios web pornográficos y el vídeo que consumieron los usuarios, concretamente.

Es imposible determinar de entre la información recopilada qué datos y fechas el usuario anonimizado visitó Youporn o PornHub, y en algunos casos el término de búsqueda introducido en el sitio web que visitaron.

¿Información anominizada?

Supuestamente (eso dicen todos) la información habría sido desprendida de trazas que relacionen la misma con usuarios concretos (nombre de usuario, por ejemplo) pero los expertos temen que puedan reconstruirse ciertas partes, combinando los bloques vendidos por Jumpshot con otras filtraciones en Internet.

De-anonimizar los datos es difícil, pero parece que no imposible. Jumpshot parece ofrecer múltiples «feeds» o fuentes de información. En concreto uno es «All Clicks Feed» que ofrece información detallada sobre todas las webs visitadas, cuándo y en qué dispositivo.

Las empresas, en teoría, podrían combinar estos registros detallados con sus propios conjuntos de datos para romper el anominato de muchos usuarios.

Respuesta de Avast

La firma de antivirus ha comentado que Jumpshot no recopila información personal identificable o PII, por ejemplo nombres, emails o detalles de contacto.

Tenemos un largo historial en lo que se refiere a proteger los dispositivos y los datos del usuario frente al malware, y entendemos y nos tomamos en serio la responsabilidad de balancear la privacidad del usuario con el necesario uso de datos para nuestros principales productos.

Avast no se puede decir que haya escondido deliberadamente esta práctica, que ya anunciaban desde el año 2015 y que está recogida en las condiciones de uso del antivirus. 

Eso sí, la tipología de los datos no había sido previamente compartida por Avast ni Jumpshot, por lo que no han sido del todo honestos. No hace mucho, empezaron a ofrecer un aviso en la instalación con una casilla que el usuario puede desmarcar y que reza:

Si lo permites, proporcionaremos a la subsidiaria Jumpshot Inc. un conjunto de datos fragmentados y anonimizados derivados de tu historial de búsqueda con el fin de permitir que Jumpshot analice los mercados y tendencias de negocio y recoger datos de valor.

falta de transparencia y entendimiento

Todo lo anterior está muy bien, pero hay más cosas en su «debe». Ya el pasado mes de Octubre de 2019 la empresa fue criticada duramente por recopilar datos de usuario mediante extensiones en el navegador (algo que en teoría no hacían).

avast-data-sharing

De hecho, los navegadores de Microsoft, Google y Opera «banearon» de su app store estas extensiones, en respuesta.

Salvando este último caso, que no ofrece excusa alguna por parte de Avast, lo que es seguro es que cientos de millones de usuarios en todo el mundo -Avast tiene más de 400 millones activos todos los meses- no piensan en que el antivirus gratuito realmente les está «costando» algo.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.