Internet es para muchos un territorio dudoso o incluso hostil, en el que cada botón con el que aceptamos continuar implica una decisión, y cada paso se ha convertido en una transacción en la que alguien se está quedando con nuestros datos.
Muchas veces, como sucede con las cookies de terceros, no nos lo preguntan. Por otro lado, es cierto que la Web no podría haber logrado ser lo que es sin la publicidad como su principal fuente de mantenimiento. El inmenso negocio de los anuncios dirigidos ha sido desde hace años la forma de financiar la cantidad de servicios que utilizamos a través de internet y que se ofrecen sin el requisito de un pago a cambio.
En los últimos años, el público ha ido conociendo, con cierto estupor, las formas en las que nuestros datos más sensibles son moneda de cambio de data brokers. Hay trackers o mecanismos de recolección de datos en todos los rincones de la web. Se considera que una página web comparte datos de sus visitantes con una docena de terceras partes de promedio.
Las cookies arrastran un nombre bastante simpático para algo que se ha convertido en una de las principales maneras de espiarnos
En cuanto los ciudadanos han comenzado a ser conscientes de esta situación, los legisladores han aprobado normativas de privacidad, y muchas empresas han empezado a ofrecer seguridad o privacidad como un valor diferencial para sus clientes. Pero es Google, cuyo navegador Chrome es usado por un 70% de los usuarios de internet, quien ha pateado el tablero.
El año pasado anunció que ponía fecha de caducidad a las cookies de terceros, una pieza clave en este ecosistema, a las que dejará de dar soporte en 2023. Inicialmente el plazo era 2022, pero en marzo la tecnológica decidió retrasarlo un año, para dar tiempo a la discusión pública, a los reguladores y a la industria a que puedan asimilar los cambios. Se habló de “cookiecalipsis” y el anuncio fue un seísmo en el sector de la publicidad digital, que ingresó 260.000 millones de euros en el mundo el año pasado.
Las cookies de terceros
Las cookies (galletas en inglés) arrastran un nombre bastante simpático para algo que se ha convertido en una de las principales maneras de espiarnos. Se inventaron para ayudar al dueño de una web a saber si un visitante había estado antes en su sitio, lo que las hace perfectas para la monitorización de comportamientos.
No todas lo hacen. Técnicamente son una forma de comunicar información desde el navegador hacia la web que estamos visitando: son archivos de texto que se guardan en el ordenador y a los que acceden los servidores de las páginas web que visitamos. Estos pequeños trozos de software sirven normalmente para facilitar la vida al navegante: es una cookie la que permite que no tengamos que registrarnos cada vez que visitamos una página web, y es una cookie la que hace que los objetos que hemos metido en un carrito de compras de un comercio electrónico permanezcan ahí cuando volvamos, aunque cerremos la página.
Hasta aquí parece lógico que los administradores de las web pongan cookies para una mejor experiencia del usuario, pero las problemáticas no son estas sino las de terceros: cookies creadas por páginas o dominios que no son el que estás visitando y que hacen muy fácil recopilar datos de usuarios.
Normalmente estas son las cookies usadas para la publicidad digital, y se les llama cookies de seguimiento o trackers. Las redes publicitarias hacen que sean colocadas en las páginas web de los medios instalando scripts o tags en el código de programación. Pueden desplegar anuncios en la página o ser invisibles, y mediante ellas, los anunciantes (estos son los terceros) pueden monitorizar la actividad de un lector o de su dispositivo a través de las páginas que va visitando.
Shoshana Zuboff considera las cookies uno de los elementos iniciales aprovechados por Google para que triunfara el capitalismo de vigilancia. En su libro ‘La era del capitalismo de la vigilancia’, la socióloga explica cómo esta y otras prácticas fueron desarrolladas para el aprovechamiento comercial de la vigilancia, como las herramientas analíticas privativas y la expropiación unilateral de datos conductuales. Zuboff dice que “el impacto de esa invención fue igual de espectacular que la producción en serie de Ford”.
La situación de los medios y la web abierta
Todos hemos sentido esa sensación de persecución cuando navegamos por internet y el mismo anuncio aparece en diferentes páginas. Si es sobre algo de lo que hemos estado buscando información, mucho más. A esto alude Mikel Lekaroz, presidente de IAB Spain, la asociación que representa el sector de la publicidad en España, cuando define una mala utilización del modelo retargeting como ejemplo de prácticas a las que el Reglamento General de Protección de Datos (RGPD) viene a dar respuesta.
«Ya no se compran espacios en medios, sino perfiles de usuarios a través de miles de páginas web y aplicaciones»
Lekaroz cree que la decisión del fin de las cookies dictada por Google debe entenderse por un lado, desde ese entorno regulatorio, y por otro, desde unas particulares circunstancias de mercado. Unas pocas plataformas tecnológicas disponen de enormes cantidades de datos personales declarados por sus usuarios durante el registro, mientras que otra gran parte de la web recibe visitas de usuarios mayoritariamente no registrados.
Las primeras plataformas, con un modelo denominado Walled Garden (jardín vallado), se encuentran en una mejor disposición para servir publicidad segmentada y, a consecuencia de ello, acaparan la mayor parte de la inversión publicitaria digital, dice Lekaroz. El resto de la web abierta («Open Web”) ha podido desarrollar en los últimos 25 años un modelo publicitario que se apoya en las cookies de terceros.
La compraventa de perfiles de usuarios
Esta industria “no es un mercado transparente”, opina Gustavo Entrala, experto en marketing digital, y explica que esta opacidad viene desde antes de internet. “La compra de espacios en medios tradicionales configuró en su día -años 90- un mercado en el que predominaba la falta de transparencia. Los intermediarios tenían acuerdos con los propios medios de comunicación que el cliente final -el anunciante- desconocía. Había tanto dinero en juego que se extendieron prácticas de dudosa ética entre los brokers, como seleccionar aquellos medios con los que se tenían acuerdos y no por su eficacia; o la existencia de comisiones bajo mano entre algunos medios y los intermediarios”.
El cambio de modelo que trajo la invención de internet no contribuyó a la transparencia. “Cuando se empezó a comercializar la publicidad programática, un aspecto de la relación cambió radicalmente: ya no se compran espacios en medios, sino perfiles de usuarios a través de miles de páginas web y aplicaciones. De tal modo que los anunciantes pagan dinero a un intermediario que a su vez tiene los datos de millones de personas en todo el mundo. La captación de esos datos se produce a nivel global, a veces desde países que no tienen una legislación que proteja a los usuarios. Además, estas empresas compran y venden los perfiles de los usuarios a los que tienen identificados a terceros”.
Una encuesta del Pew Research Center reveló que una mayoría de ciudadanos estadounidenses cree que gran parte de su actividad online está siendo rastreada (un 72%) y el 81% cree que los riesgos potenciales que enfrentan por la recolección de datos por las empresas sobrepasan los beneficios que pudieran tener.
Un gran cambio de modelo de publicidad digital
Los datos dan la razón a esa percepción de los usuarios. El 76% de las páginas web contiene cookies de seguimiento de Google. Esto dice Vivaldi, uno de los navegadores basados en Chromium -una versión de código abierto de Chrome- que nacieron con el reclamo de proteger la privacidad de sus usuarios. Brave o Iron son otros de ellos. Otras compañías, ya habían comenzado a bloquear las cookies de seguimiento en sus navegadores: Mozilla comenzó a hacerlo por defecto en Firefox en 2019 y Apple lo hizo al año siguiente.
En 2019 Google estimaba que “la tecnología que utilizan editores y publicistas para que los anuncios sean más relevantes se está usando mucho más allá de su intención de diseño original, hasta un punto en que las prácticas no coinciden con las expectativas de privacidad de los usuarios”. En 2020 la cantidad de anuncios bloqueados o quitados por parte de Google por violar sus políticas de uso fue de 3,1 mil millones, de los cuales más de 99 millones de anuncios maliciosos trataban de aprovecharse de la situación de pandemia.
Desde IAB señalan que la mayor parte de los medios de comunicación dispone de un nivel de tráfico de usuarios registrados muy bajo, en el mejor de los casos 5%-7% y no se han encontrado soluciones que a corto plazo sean capaces de gestionar el resto del tráfico no registrado para conseguir el mismo nivel de monetización publicitaria que tiene ahora con cookies de tercera parte.
Google reconoce que otros navegadores han intentado abordar el problema, pero considera necesario un conjunto de estándares acordado para hacer frente al fin de las cookies. Conscientes de que la definición de estándares web es un proceso complejo que requiere participación de más actores de la industria, les ha invitado a trabajar en un programa llamado ‘Privacy Sandbox’, con el objetivo de encontrar una solución que proteja la privacidad de los usuarios sin poner en riesgo la financiación de los editores que quieren mantener sus contenidos abiertos en la web.
Entrala cree que con el fin de las cookies “lo que Google intenta hacer, en parte, es poner un poco de orden y sentido en el mercado. Intenta dificultar que en la relación que tú y yo tenemos con una app o con una página web intervenga un tercero que acumule información sobre lo que a nosotros nos interesa para luego vender ese acceso a otras compañías”, lo que le parece correcto.
David Temkin, director de gestión de productos, privacidad en publicidad y confianza de Google, afirmó: “una vez que desaparezcan las cookies de terceros, no crearemos identificadores alternativos para rastrear a los usuarios que naveguen por la red, y tampoco los utilizaremos en nuestros productos”. ¿Qué sustituirá entonces a las cookies?, se preguntaron muchos entonces.
La propuesta de Google: FLoC y las cohortes federadas
La respuesta, según Google, es productos que utilicen APIs que preserven la privacidad, y uno de ellos es FLoC, una API que se encuentra en una fase de proyecto piloto. Estas son las siglas de Federated Learning of Cohorts (Aprendizaje Federado de Cohortes).
El aprendizaje federado utiliza Machine Learning para agrupar a los usuarios basándose en las páginas web que han visitado, antes que hacerlo a un nivel individual: los usuarios individuales serían indistinguibles dentro de una cohorte. La intención es extraer datos en bruto de los dispositivos de los usuarios utilizando analítica y sin almacenarlos. La API de FLoC se basa en un algoritmo de asignación de cohortes, es decir, una función que asigna una identificación de cohorte a un usuario en función de su historial de navegación.
Para garantizar la privacidad, Chrome requiere que esta identificación de cohorte sea compartida por al menos cierta cantidad de usuarios distintos, un número que Google no ha precisado, sitúandolo en “algunos miles”. La explicación no ha convencido a algunos expertos.
La Electronic Frontier Foundation ha calificado a FLoC de una “idea terrible” que reemplazará las cookies de seguimiento por una nueva forma de recolectar datos de comportamiento de los usuarios, y denuncia la falsa premisa que constituye el cambio de un antiguo seguimiento por uno nuevo, en el que esta vez, Google se guarda todos los datos para sí. Han lanzado una página que te permite comprobar si tu sesión con Chrome está participando del experimento de FLoC, que está siendo testeado en un pequeño porcentaje de usuarios en Australia, Brasil, Canadá, India, Indonesia, México, Nueva Zelanda, Filipinas y Estados Unidos.
Hemos preguntado a Google cómo garantiza que no se obtienen datos personales de los usuarios y nos aclaran que las funciones de entrada del algoritmo, incluyendo el historial de navegación, se guardan localmente en el navegador o dispositivo y no se cargan en ningún otro lugar.
Reacciones de la industria al fin de las cookies
“Google tiene una información muy precisa sobre nuestros intereses por el uso que hacemos de sus servicios, y no necesita para nada la información que pueda aportarle un tercero”, apunta Entrala. Eliminando el rastreo por parte de terceros “estaría matando dos pájaros de un tiro: puede con verdad decir que ha contribuido a limpiar el sector, pero al mismo tiempo el valor de las propiedades de Google crecerá con el cambio”.
Las reacciones de otros actores de la industria no han tardado en llegar. Los principales navegadores derivados de Chromium se niegan a utilizar FLoC: Brave y Vivaldi consideran que entraña riesgos para la privacidad y Opera cree que es demasiado pronto para ello.
DuckDuckGo ha actualizado su extensión para bloquear a FLoC, Twitter lo ha quitado de su código y Amazon lo ha bloqueado en la mayor parte de sus propiedades comerciales, como Amazon.com, WholeFoods.com, Zappos.com y GoodReads, aunque lo ha dejado en AbeBooks. En Digiday especulan con que puede ser parte de su experimentación con la nueva API.
Aún no se conoce qué empresas o desarrolladores publicitarios están probando FLoC, y preguntado por Newtral.es, Google se niega a dar esta información sin su permiso. RTB House, una tecnológica mundial que utiliza inteligencia artificial para la publicidad personalizada, ha publicado la resolución exitosa de sus pruebas con FLEDGE, otra de las APIs de la Privacy Sandbox orientada a buscar la privacidad del usuario en la construcción de audiencias relevantes.
El movimiento de Google “no gusta a muchas pequeñas empresas de medios o de contenidos de entretenimiento», dice Entrala, y “la controversia se ha traducido en una moratoria de un año para seguir hablando”. El plazo para terminar con el soporte a cookies de seguimiento que Google ha estirado hasta 2023 hace que aún sea pronto para saber qué pasará.
Desde la compañía del buscador dicen que “pese a los considerables progresos realizados, hemos comprobado que todo el ecosistema necesita más tiempo para que este proceso se lleve a cabo como es debido”. Entienden que de otra manera se pondrían en peligro los modelos comerciales de muchos editores digitales que respaldan la disponibilidad gratuita de contenidos, y también quieren evitar que las cookies sean reemplazadas por otros métodos de rastreo individual o técnicas encubiertas como el fingerprinting, otro proceso por el que se constituyen perfiles de identidad digital de un usuario a través de la recolección de distintos datos de su dispositivo.
IAB Spain, que cuenta con 200 empresas asociadas del sector de la publicidad en España, trabaja por su parte en una solución de código abierto llamada TCPF que pretenden poner a disposición de la industria próximamente. El sistema funciona con el consentimiento del usuario a través de un doble opt-in, y crea “un identificador pseudoanónimo sin necesidad de datos personales, que permite monetizar el tráfico no registrado de los medios de comunicación y de las páginas web en general”, según detalla Lekaroz. A través de un portal el usuario podrá conocer y gestionar quién tiene su identificador, dónde se otorgó el consentimiento y durante cuánto tiempo.
Fuentes
- Gustavo Entrala, experto en marketing digital y marcas
- Mikel Lekaroz, presidente de IAB Spain y CEO de ADBIBO
- ‘La era del capitalismo de la vigilancia’, Shoshana Zuboff
- The Privacy Sandbox
- Building a more private web, Justin Schuh
- Privacy Sandbox: Construyendo el futuro de la publicidad en la red, Google blog
- Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information, Pew Research Center
- Evaluation of cohort algorithms for the FLoC API
Foto: Vyshnavi Bisani
