Cómo Facebook espía tus datos a través de anuncios en apps sin tener una cuenta Facebook

No es no. Pero en la vida digital, parece que ese ‘no’ nuestro es un no de pacotilla que no se va a tener en cuenta. Los datos personales se han convertido en la mayor fuente económica para negociar en la Red, y aunque existen elementos para mantener una privacidad, lo cierto es que estamos bastante vendidos, como señala la AEPD, la Agencia Española de Protección de Datos, en su último informe sobre el control del usuario en la personalización de anuncios en Android.

El AAID, Android Advertising ID

En 2014, con el lanzamiento de KitKat, Android introdujo un identificador de publicidad conocido como AAID, en línea con el Identifier for Advertisers (IDFA) que Apple venía utilizando tiempo atrás. Este identificador también se conoce como Google Advertising ID (GAID). IDFA y AAID son identificadores únicos para publicidad, que en el caso de Android es proporcionado por los servicios de Google Play, y que el usuario puede cambiar en cualquier momento desde su dispositivo móvil.

El uso de otros identificadores únicos del dispositivo como el IMEI, la dirección MAC o el número de serie del dispositivo debía ser plenamente sustituido por el uso de identificadores como el AAID e IDFA. La política del programa para desarrolladores de Google Play establece que, “para cualquier fin publicitario, debe usarse el ID de publicidad en todas las actualizaciones y aplicaciones nuevas subidas a Google Play, y no otros identificadores de dispositivo, cualesquiera que sean”.

Ampliar

El objetivo alegado por Google para la introducción de AAID es “proporcionar al usuario mejores controles sobre su privacidad, a la vez que dota a los desarrolladores de un sistema que les permite seguir obteniendo ingresos con sus aplicaciones”. La mejora para los usuarios consiste básicamente en que pueden cambiar (restablecer según Google) el identificador, lo que permitiría desvincular el dispositivo de los datos recopilados anteriormente, y también pueden inhabilitar los anuncios personalizados en las aplicaciones de Google Play. Para ello:

Algunos estudios han puesto de manifiesto cómo Facebook puede realizar seguimiento de los usuarios en Android, incluso a usuarios que no tengan cuenta en Facebook. Por ejemplo, el estudio publicado a finales de 2018 ‘How Apps on Android Share Data with Facebook’, de Privacy International, analiza más de 30 aplicaciones, concluyendo que más del 61% de esas aplicaciones envían datos a Facebook en el momento en el que el usuario abre la aplicación. En otros estudios del mismo año se indica que hasta un 42% de aplicaciones gratuitas del Google Play Store podrían estar compartiendo datos con Facebook.

¿Cómo funciona esta técnica? El informe de la AEPD coge como ejemplo a la app AZ Screen Recorder, y nos cuenta que la aplicación “utiliza los servicios de publicidad de Facebook, instalada en un dispositivo Android con la personalización de anuncios habilitada. Durante los momentos en los que la aplicación está en ejecución se producen comunicaciones con servidores de Facebook en los que se envía el AAID junto con otra información entre la que destaca el nombre de la aplicación. El AAID se envía mediante una petición POST a graph.facebook.com dentro del parámetro IDFA6, y el nombre de la aplicación en el campo BUNDLE”.

Lo curioso es que si se ejecuta la misma aplicación, en el mismo dispositivo, pero esta vez con la personalización de anuncios deshabilitada, se produce una petición POST muy similar: “A pesar de la nueva configuración, se sigue enviando a graph.facebook.com el AAIDy el nombre de la aplicación que se está ejecutando, la única diferenciase encuentra en el parámetro IDFA_FLAG, cuyo valor en este caso es 0, y sirve para indicar a la API de Facebook que el usuario no desea que el anuncio a mostrar en la aplicación esté basado en sus gustos o intereses”.

Ampliar

El despersonalizar los ads que vamos a ver sirve únicamente para indicar a Facebook que no devuelva un anuncio personalizado, pero "no evita que éste pueda seguir recopilando datos del usuario y asociándolos a un identificador de publicidad", como el nombre de la aplicación que ha generado la petición, por lo que puede continuar elaborando un perfil basado en las aplicaciones que se ejecutan. Como se ha indicado anteriormente, esta recopilación de datos se produce independientemente de que el usuario del dispositivo esté registrado en Facebook

Una función que no sirve de mucho

Según la AEPD, en cuanto a los efectos de inhabilitar los anuncios personalizados, la AAID es una configuración que se transmite a las entidades que generan la publicidad, y depende de estas entidades respetar o no esta preferencia del usuario. Sin embargo, esto no evita que el AAID sea enviado por algunas aplicaciones y por tanto no impide que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario para, por ejemplo, utilizarlo en un futuro cuando la personalización de anuncios pueda volver a estar activa.

Al inhabilitar la personalización de anuncios, el propio Google advierte de que si el usuario borra la caché,’ la personalización de la publicidad volvería a estar activa’, y además advierte de la ineficacia de la medida al indicar también que es posible que los anuncios no estén basados en los intereses del usuario, no asegurando este extremo en ningún caso.

Por ejemplo, tras reiniciar un dispositivo a valores de fábrica la personalización de anuncios vuelve a estar habilitada por defecto. El usuario tiene que realizar una acción para deshabilitarla a través del menú anteriormente expuesto, y no al revés, que es como debería suceder de acuerdo al principio de privacidad por defecto del RGPD