En internet cada clic implica pensar qué datos personales estamos cediendo a cambio de continuar navegando. La mayoría en general accedemos a hacerlo cuando queremos seguir usando servicios gratuitos que nos proveen plataformas privadas como Google o TikTok; pero con la llegada de la pandemia muchas gestiones ciudadanas no dieron lugar a opción. En este contexto, las páginas web gubernamentales han sido indispensables y sin embargo están llenas de cookies de terceros, al igual que las de organizaciones internacionales y las que dieron información sobre la COVID-19.
En el estudio titulado Measuring Web Cookies in Governmental Websites [PDF], investigadores de IMDEA y otras universidades analizaron la presencia de cookies de terceros en sitios web gubernamentales del G20, en organizaciones internacionales y en sitios con información sobre la pandemia.
La digitalización de servicios públicos representa un punto único de interacción para trámites obligatorios o vitales, y puede convertirse, de forma intencional o no, en un ojo único de monitorización y vigilancia de toda la población de un país.
No parece propio de países democráticos o con leyes que protegen la privacidad que recojan datos de seguimiento de sus usuarios. Ni que lo hagan desde webs de gobiernos financiadas con dinero público. Mucho menos que permitan que terceros se lleven esos datos, y desde luego, menos aún sin nuestro consentimiento.
Esto justamente es lo que está sucediendo, según encontró este estudio: las webs gubernamentales de los países del G20 están plagadas de cookies de terceros. Un equipo internacional de académicos ha analizado unas 5.500 páginas web gubernamentales y ha encontrado que hasta un 90% incluye cookies de terceros, sin el consentimiento de los usuarios.
El grupo, formado por investigadores de la Universidad Técnica de Berlín, la de Delft, la Universidad de Chipre de Tecnología, IMDEA Software e IMDEA Networks, ha publicado un estudio a gran escala para el cual examinaron 118.000 direcciones web pertenecientes a páginas web oficiales de los gobiernos con las 20 mayores economías del mundo.
La mayoría de los sitios web gubernamentales de los países del G20 crean al menos una cookie de terceros en los dispositivos de los usuarios que los visitan sin su consentimiento. Japón aparece como el país con menor porcentaje de páginas web con cookies, con un 77,2%. Corea del Sur, Arabia Saudí e Indonesia lideran el ranking con casi un 100%.
El G20 está compuesto por la Unión Europea, Alemania, Arabia Saudita, Argentina, Australia, Brasil, Canadá, China, Corea del Sur, Estados Unidos, Francia, India, Indonesia, Italia, Japón, México, Reino Unido, Rusia, Sudáfrica y Turquía. España tiene estatus de país invitado permanente en este grupo desde 2008, pero no está entre los miembros, por lo que ha quedado fuera de este estudio.
Sitios web gubernamentales de países proprivacidad
Muchos de estos países tienen leyes estrictas de privacidad, como es el caso de Alemania, Francia o Italia, que están bajo la normativa del Reglamento General de Protección de Datos (RGPD), considerado de los más garantistas del mundo. Los investigadores analizaron sitios web gubernamentales de dos países miembros de la Unión Europea, en las que esperaban no encontrar cookies instaladas.
Sin embargo, descubrieron que en Francia un 87,2%, en Alemania un 82,7%, y en Italia un 82,9% de las páginas web gubernamentales cuentan con al menos una cookie de terceros que ha sido instalada sin consentimiento del usuario. También en Alemania y Francia, países con alta protección legal de datos personales, se han encontrado muchas cookies con tiempo de caducidad de más de un año. Los investigadores creen que los sitios web gubernamentales deberían tener estándares más altos de privacidad. “¿No es un caso obvio de que deberían predicar con el ejemplo?”, se pregunta Nikolaos Laoutaris, uno de los investigadores.
Las ‘cookies’ de terceros son, en la actualidad, una de las principales maneras de recoger información masiva sobre los usuarios de internet
El caso de Alemania, uno de los países históricamente más cuidadosos de la privacidad, tiene alguna particularidad, sin embargo. En este análisis encontraron que en este país, más del 25% de los sitios web gubernamentales añaden cookies de terceros, pero tienen menos cookies de seguimiento que el resto de países analizados. “Además del RGPD, en Alemania las leyes locales concernientes a la privacidad son bastante avanzadas y como sociedad están al frente de la protección de datos”, observa el especialista.
El estudio ha ido más allá y ha revisado también las webs lanzadas por estos países por la COVID-19, y las principales organizaciones internacionales. En ambos casos encontraron resultados similares. Un estudio anterior [PDF] muestra que otro tipo de sitios web con datos personales sensibles, como los relacionados con salud, religión, ideas políticas o preferencias sexuales, también son “altamente rastreados” por este tipo de cookies, observa Laoutaris.
Cookies buenas, malas y de terceros en sitios web gubernamentales
El estudio identifica entre cookies de origen (emitidas por el sitio web visitado) y cookies de terceros. Técnicamente una cookie es un archivo de texto que se guarda en el ordenador y al que acceden los servidores de la página web que visitamos. No todas monitorizan comportamientos, y normalmente sirven para hacernos la vida más fácil cuando navegamos.
Son útiles, por ejemplo, para que no tengamos que meter nuestra contraseña cada vez que refrescamos una página web de registro. Un ejemplo es cuando tenemos que completar datos en un formulario como los que hay en las páginas web gubernamentales, o para que la entrada a una clase en un polideportivo municipal que ponemos en nuestro carrito de la compra electrónica siga estando ahí aunque sigamos mirando otras opciones relacionadas. Esto ayuda al sitio web a hacer la experiencia más agradable de una manera bastante invisible.
Las verdaderamente problemáticas para nuestros derechos son las que no pertenecen al sitio web que se visita, sino a un tercero (por eso se les llama cookies de terceros o trackers), y suelen ser creadas por partes externas e incrustadas en una página web. Estas cookies son en la actualidad una de las principales maneras de recoger información masiva sobre las personas que utilizan aplicaciones o navegadores en internet y saber qué comportamiento tienen millones de usuarios: qué leen, dónde se detienen, qué compras hacen y qué temas les interesan.
Ya dentro de las cookies de terceros, el estudio diferencia entre las cookies genéricas y las cookies de terceros procedentes de rastreadores conocidos. ¿A cuáles se les llama conocidos? A “empresas cuyo modelo de negocio es compilar perfiles de personas y luego utilizarlos para publicidad dirigida o venderlos en el mercado abierto de datos personales”, responde Laoutaris, y nos pide que veamos el episodio de Last Week Tonight en el que John Oliver desgrana el negocio de los data brokers (en inglés).
Quiénes nos vigilan desde sitios web gubernamentales: los trackers conocidos
Las cookies de terceros más frecuentes en webs gubernamentales de países del G20 pertenecen a las grandes plataformas de internet relacionadas con anuncios y redes sociales. Los analistas se centraron en los 10 trackers más frecuentes en los sitios oficiales de cada país.
Lo primero que salta a la vista es que casi todos los trackers operados por Google (Doubleclick, YouTube, Google) que están relacionados con las estadísticas de visitas están muy arriba, con una cobertura de entre un 20% y 50%. Una excepción notable es China, donde su muralla digital bloquea el acceso a contenidos extranjeros. En el gigante asiático solo uno de los trackers de Google está presente en la lista de los 10 primeros: Doubleclick. Esta es una empresa propiedad de Google que gana dinero con los anunciantes y editores en línea, mediante anuncios y seguimiento del comportamiento del usuario.
El tracker de Facebook, la red social, está presente en webs gubernamentales de 14 de los 19 países del G20, pero su cobertura es menor que Google, entre un 5% y un 20% dependiendo del país.
Los investigadores han encontrado cookies de terceros regionales que son muy populares en ciertos países. Por ejemplo Xiti en Francia, con una cobertura del 50%, Baidu en China (40%), Twitter en Indonesia (50%), o Yandex (60%) y la red social VKontakte en Rusia (20%).
Muchas de estas cookies de terceros se añaden porque los sitios web incluyen enlaces hacia redes sociales y enlazan a vídeos alojados en YouTube o Vimeo. Otra de las razones de la alta presencia de cookies de seguimiento es que las páginas web oficiales utilizan herramientas de analítica para monitorizar el número de visitas. Las redes sociales más conocidas y los servicios de vídeo, buscadores como Google o Yandex y compañías de análisis de tráfico web más pequeñas como Xiti ofrecen estas herramientas. Otras veces, estas cookies de terceros provienen de librerías gratuitas que los diseñadores de páginas web utilizan para programar, y pueden actuar como trackers.
Si la privacidad del usuario no es una prioridad, ¿qué lo es para los responsables de estos sitios web? “La comodidad y poner algo en línea rápidamente y al menor coste”, dice Laoutaris, aclarando que esta es su opinión personal. El trabajo de estos investigadores muestra la dificultad de que las leyes de protección de datos se incorporen a la práctica, y Laoutaris menciona como causa el hecho de que suponen costes extra. “Es difícil resistirse a lo gratuito”, señala.
No solo webs gubernamentales: organizaciones internacionales y sitios COVID-19
Además de analizar sitios web gubernamentales, el estudio ha revisado una lista de dominios y URL relacionadas con organizaciones internacionales, como el Banco Mundial, UNICEF o la Unión Internacional de Telecomunicaciones. Para ello ha recolectado todos los enlaces de agencias incluidas en las páginas web oficiales de la Unión Europea y las Naciones Unidas, además de las más reconocidas.
Los resultados son similares en otros tipos de sitios web creados para dar información indispensable para la salud de la población. El estudio analizó 131 sitios web oficiales y 1.355 enlaces asociados a COVID- 19, y encontró que más del 99% de las páginas web dedicadas a la COVID-19 agregan al menos una cookie de terceros sin consentimiento del usuario. El porcentaje es aún más alto que otras webs de uso general.
Este tipo de sitios web han sido populares y un recurso de información vital durante la pandemia. La que ha sido probablemente la web más conocida con mapas y estadísticas durante esta crisis, la de Johns Hopkins, mantenida por esta universidad, agrega siete cookies de terceros sin consentimiento.
La siguiente con más trackers es la de la Dirección de Salud de Islandia con seis, que al igual que las siguientes nueve en la lista, son páginas web informativas nacionales de países europeos. El resto tiene entre tres y cuatro cookies de terceros. Los investigadores concluyen en que la presencia de trackers en estas webs es alta y no hay especial cuidado en quitarlos.
- Nikolaos Laoutaris, investigador del IMDEA Networks Institute de Madrid
- Srdjan Matic, investigador del IMDEA Software Institute
- Measuring Web Cookies in Governmental Website
Para cookie la de ferreras en la sexta. A ver si la analizáis.