Por Alicia Hegar, Óscar F. Civieta
¿Sabes qué pasa con tus datos después de pulsar ‘aceptar cookies’? Analizamos las principales empresas -ubicadas por todo el mundo- que gestionan los datos recabados en algunas de las webs más leídas de España.
Algo ha cambiado en la forma en que navegamos por Internet. A principios de 2024, la ventana emergente que nos invitaba a clicar en «aceptar cookies», y que se había convertido en costumbre, pasó a incluir una segunda opción. Desde entonces, podemos rechazarlas. Antes también, otra historia era descubrir cómo.
El cambio se produce porque la Agencia Española de Protección de Datos (AEPD) dio de plazo hasta el 11 de enero de 2024 para que las páginas webs siguieran las directrices europeas. La UE dictaminó en 2022 que la opción de rechazar las cookies -los ficheros de datos que recoge una web cada vez que recibe una visita-, debe ser igual de visible que la de aceptarlas. Pero tenía truco: Bruselas también dio la posibilidad de que rechazarlas tuviera un coste económico.
Desde entonces, diarios digitales de toda Europa tapan sus páginas de modo que las personas no suscritas al medio ni siquiera pueden ver los titulares de la portada, puesto que quedan ocultos bajo una ventana emergente o pop-up. Es más, en algunos casos –cuando el medio trabaja con suscripciones–, es posible que, incluso dando el consentimiento para ceder las cookies (es decir, pagando con tus datos), no puedas leer todos los artículos.
Elegir ante esta disyuntiva es complejo, sobre todo porque en esas mismas ventanas emergentes se especifica que los datos se comparten con los «socios» del medio. Y estos se cuentan por centenares. Por ello, tras asomarse a una lista inmensa, cada vez son más quienes le dan al botón de «aceptar» con resignación. En La Marea hemos querido averiguar qué datos personales estamos cediendo cada vez que aceptamos cookies, quién los está recopilando y con qué fin. Para ello, hemos analizado la configuración de las cookies de los 10 periódicos digitales más leídos de España, que suman millones de lectores cada día, y también sus listados de socios. El viaje, advertimos, ha sido opaco y cambiante.
Nos subimos al tren
En realidad, en cuanto aceptamos las cookies, nos estamos subiendo a centenares de trenes con un solo billete. Cada medio tiene en torno a 800 socios que recopilan esas cookies. En febrero de 2024, cuando comenzamos el reportaje, encontramos un total de 1.062 empresas asociadas diferentes. Muchas de ellas se repetían constantemente. En concreto, había 328 que aparecían en las 10 listas analizadas. Durante la investigación, hemos comprobado que estos socios -también conocidos como vendors– pueden cambiar en lapsos muy cortos de tiempo, especialmente en las webs que se sustentan con publicidad, como explica Adrianus Warmenhoven, experto en ciberseguridad y portavoz de la empresa NordVPN: «Los sitios web que dependen en gran medida de los ingresos publicitarios pueden actualizar a menudo sus asociaciones con redes publicitarias y corredores de datos».
Los medios, argumenta un experto en protección de datos que prefiere mantenerse en el anonimato, tienen la opción de seleccionar las empresas a las que les llegarán las cookies que consientan sus lectores. Sin embargo, es habitual que opten por incorporar listados completos, aunque luego sólo trabajen de manera efectiva con algunas de ellas.
Una muestra de esto es lo que sucede en elDiario.es, el único digital de los diez más leídos que ha respondido al cuestionario enviado por La Marea. El pasado febrero tenía 797 empresas asociadas, las de «la lista de socios que incorpora por defecto nuestro proveedor de consentimiento de cookies (el más usado en los medios españoles, Didomi)». Este diario, uno de los pocos que practica la transparencia y, entre otros, publica sus fuentes de ingresos cada año, confirmó que solo trabaja de forma directa con 10 o 20 de esos socios, «pero cada uno de ellos lo hace a su vez con otros tecnológicos, con los que también debemos conectar de forma indirecta. Y, lógicamente, la ley obliga a que se reporten todos ellos».
La respuesta es similar a la del director de un periódico local consultado no ser consciente de que su medio tenía más de 200 empresas asociadas. En su momento, el responsable de programación dio de alta el servicio de anuncios de Google, y a partir de ahí se fueron sumando el resto de compañías. En principio, todas ellas pueden recibir las cookies de sus lectoras y lectores, si estos las aceptan para leer los artículos.
Cierto es que los usuarios tienen la opción de seleccionar qué empresas del listado obtienen su información. También puede hacerlo descartando socios por bloques, a través de las finalidades o propósitos. Por ejemplo, rechazar todas las compañías que recolectan datos declarativos o sobre navegación e interacción. Los medios han ido incorporando esta opción de manera progresiva, pero aún cuesta encontrarla en las webs, aunque, en realidad es la única factible para rechazar cookies, puesto que el gran número de socios que suele tener cada medio dificulta enormemente que un usuario vaya uno a uno decidiendo con cuál quiere (o no) compartir su privacidad.
Destino principal: USA
Nuestro viaje es internacional. Las sedes principales de los socios presentes en los 10 medios analizados se reparten por todo el mundo. Estados Unidos es el destino favorito de nuestras cookies, pero también se desplazan, entre otros destinos, a China o Emiratos Árabes Unidos.
Samuel Parra, abogado en derecho tecnológico, advierte que el principal riesgo de este viaje por diferentes países «es que las medidas de protección y contención en materia de privacidad sean más tenues (o inexistentes) que las que tenemos en Europa y eso se traduzca en un mercadeo sin control de nuestra información, incluso para finalidades directamente ilícitas».
Llegadas a la primera parada, detengámonos un momento a analizar dónde estamos. El país cambia, pero las estaciones son similares. La mayoría de empresas asociadas, a veces con nombres y definiciones complicadas de descifrar, trabajan en el sector de la publicidad y el marketing online. Aunque hay desde las que se dedican a organizar eventos deportivos o a vender pisos, pasando por páginas de apuestas, realizar estudios de mercado o publicar información meteorológica.
Muchas se venden a potenciales clientes destacando las dimensiones de su banco de datos y la capacidad que tienen de hacer llegar la publicidad a millones de personas de forma individualizada. Así, Zeotap, por ejemplo, presume de tener una base de datos compuesta por más de 500 millones de IDs. Identificadores de usuarios que además tiene clasificados en cientos de categorías según sus gustos y su estilo de vida, como vemos en su página web.
Esto no implica que Zeotap ofrezca todas esas ID a sus clientes. «Lo que está diciendo es que tiene una gran capacidad de recopilación y análisis de datos y, por tanto, una fiabilidad muy alta en el perfilado de los usuarios, lo que se traduce, por ejemplo, en una publicidad mejor segmentada », aclara Parra.
Zeotap también asegura que el 100% de los datos que ofrece son datos consentidos. Aquí cabe preguntarse si, cuando la alternativa es pagar y, además, la información sobre lo que se acepta es poco clara o insuficiente, dar nuestros datos es un acto consentido.
Hablar en términos de millones no es atípico en la industria. Yoc, otro de los socios, presume de poseer un mercado único desde el cual se puede acceder a «cientos de millones de usuarios ». Zeta Global menciona una base de datos de 200 millones de usuarios en Europa. Y en Pixalate, ellos mismos afirman que monitorizan más de 5 millones de apps, 80 millones de dominios y más de 300 millones de dispositivos OTT. Estos últimos son todos los dispositivos diferentes de ordenadores y móviles que se usan para ver vídeos, como televisores inteligentes o consolas de videojuegos.
Nuestro equipaje de datos recopilados por las «cookies» (2)
Tu ubicación geográfica, tu estado civil o si tienes hijos son solo algunos de los datos personales recopilados a través las ‘cookies’ por empresas de publicidad programática como Google Ads o Microsoft Advertising.
Nuestro equipaje (los datos que viajan cuando aceptamos las cookies) viene determinado por el tipo de cookies que recopila cada socio. Algo que sólo podemos saber si estos tienen el sello IAB TCF.
Este distintivo indica que la empresa se adhiere al TCF, el marco de transparencia y consentimiento creado por IAB Europe (Asociación Europea de Publicidad Interactiva) del que ya hablamos en este artículo. Este marco tiene en cuenta los requisitos legales del Reglamento General de Protección de Datos (RGPD) y la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas. Por ello, si una empresa decide adherirse al TCF estará obligada a detallar qué tipo de datos recopila.
El experto en protección de datos consultado para este análisis aclara que el TCF establece un marco estandarizado, pero si luego un agente no lo cumple la responsabilidad no es de IAB, sino que recaerá en la agencia de datos que corresponda.
De los 1.062 socios que nos encontramos en nuestra primera batida sobre los 10 medios más leídos de España, 805 siguen el TCF, pero otros 257 no lo hacen. Esto significa que en febrero de 2024, un total de 257 empresas podían recopilar nuestras cookies sin especificarnos con qué finalidad lo hacían o durante cuánto tiempo. Entre ellas, dos con sede en Rusia: Mail.Ru (socio de 20 Minutos) y Target RTB (socio de 20 Minutos y de La Vanguardia).
Por otro lado, todas las compañías que se repiten en los 10 medios analizados tienen el sello TCF. De estas 328 empresas, sabemos que la gran mayoría recopila direcciones IP. Ese dato puede revelar la ubicación general de un usuario. Un gran número de ellas, 231, también recogen «datos de localización geográfica no precisa», es decir, la región o ciudad en la que nos encontramos, y 86 obtienen cookies de «localización geográfica precisa», nuestra ubicación exacta.
Analizando las webs de estos socios, nos encontramos que, por ejemplo, ADventori recopila cookies de localización geográfica no precisa y hace campañas publicitarias basadas en la geolocalización. Por su parte, Adxperience obtiene datos de localización geográfica precisa y segmenta a su audiencia a través de sus coordenadas GPS.
Sabemos, por tanto, que hay empresas de publicidad programática que saben la ubicación de nuestro dispositivo y, en función de estos datos, nos lanzan unos anuncios concretos. ¿Recuerdan aquella escena de Minority Report en la que los carteles publicitarios hablaban a los peatones?
Los socios también recopilan otros datos que les sirven para identificar a un único individuo entre varias sesiones y vincularlo a su dispositivo. Otro tipo de cookies les permite segmentar audiencias. Esto es clave porque permite clasificar esos millones de usuarios en categorías a las que dirigir la publicidad. De los 328 socios repetidos en los 10 diarios digitales más leídos, 143 obtienen cookies de «inferencias o segmentación de audiencia».
Categorizando nuestra vida
Llegados a este punto, hay que citar a Google. Google Advertising Products está presente en nueve medios y Google Analytics Products en siete. El primero sigue el marco de IAB, el otro no. Las bases de datos de Advertising y Analytics, como ellos mismos afirman, tienen el mismo origen: Google Ads. Como Google Ads sí sigue el marco de IAB, sabemos que recopilan cookies de «inferencias o segmentación de audiencias». Y no queda ninguna duda cuando se accede a sus servicios de publicidad. Google Ads crea segmentos de audiencia con la actividad que recopila de los usuarios cuando estos usan productos de Google y sitios webs de terceros.
Las clasificaciones pueden variar desde lo más común, sus intereses y aficiones, hasta eventos importantes de su vida. Segmentos muy específicos al alcance de cualquier empresa, entidad o administración pública que quiera realizar una campaña de marketing. En total, 41 categorías y 926 subcategorías. Audiencias clasificadas en características tan específicas como la preferencia de una persona por salir de noche, su interés por las noticias de política, su situación sentimental, que esté pensando en comprar lencería, que quiera viajar Granada, si tiene hijos de entre 13 y 17 años o que viva de alquiler, por nombrar solo unas cuantas. Datos que, además, se actualizan cada semana.
¿Sería entonces descabellado pensar que Google podría saber que, entre la semana pasada y ésta, mi estado civil pasó de estar en una relación a soltera y, por ello, mostrarme anuncios acordes a un proceso de ruptura? ¿O, si me gustase leer noticias económicas y educar a mis hijos en casa, me serviría anuncios de un determinado candidato político que apostase por políticas liberales y denostara la educación pública?
«Esos perfiles pueden llegar a unos niveles de conocimiento sobre una persona incluso superiores a los que esa persona tiene de sí mismo», comenta Samuel Parra. Este abogado especializado en derecho tecnológico añade como ejemplo que, «hace unos años, se demostró que Facebook sabía cuándo una persona iba a serle infiel a su pareja (antes de que la infidelidad fuera siquiera una idea en su cabeza) o incluso cuándo iba a terminar su relación».
Al menos, Google se jacta de que «nunca utilizará información sensible (como la salud, la raza, la religión o la orientación sexual) para personalizar los anuncios que ven los usuarios». Microsoft no puede decir lo mismo.
Microsoft Advertising se repite en los 10 diarios y sigue el marco TCF. Por ello, sabemos que recopila cookies que incluyen datos sobre la orientación sexual o la salud para clasificar su audiencia, que consta de 686 millones de usuarios en todo el mundo. Sobre los datos que recoge Bing Ads, que también pertenece a Microsoft y aparece en la lista de 20 Minutos, La Vanguardia y El Mundo, no sabemos nada porque no tiene el sello TCF.
Acceder a este tipo de datos «es especialmente preocupante en regiones donde las orientaciones sexuales no tradicionales pueden acarrear graves repercusiones. En poder de los ciberdelincuentes, las cookies activas pueden aprovecharse para acceder a cuentas personales, crear perfiles detallados de individuos y lanzar ciberataques dirigidos tanto a personas como a sus lugares de trabajo», alerta Adrianus Warmenhoven, de la empresa NordVPN.
Las «cookies» y los socios de los socios que acceden a nuestros datos (y 3)
Cuando aceptamos las ‘cookies’, podemos ceder el acceso a parte de nuestros datos a la web en la que estamos. Pero también podrán recibirlos sus socios, y los socios de estos, en una escalera casi infinita.
Los centenares de socios que mencionábamos al inicio de este reportaje son solo la primera parada en el viaje de nuestras cookies (y de parte de nuestros datos). Muchos de ellos tienen sedes secundarias repartidas por prácticamente todos los países del planeta, desde Arabia Saudí hasta El Salvador, pasando por Catar o Líbano.
Además, cada vendor trabaja a su vez con decenas de clientes que contratan sus servicios para anunciarse en Internet o realizar estudios de audiencia. Conocer todas estas compañías finales es prácticamente imposible. En La Marea hemos analizado aquellos partners que los propios socios mencionan en sus páginas web, pero son solo una pequeña muestra, la que quieren destacar para promocionar su imagen.
Entre estos clientes vuelve a figurar un gran número de empresas de marketing y publicidad. Cabe preguntarse entonces si éstas también recopilan esas cookies y hacen sus propios segmentos de audiencia que llegan a otras terceras empresas… Y así van apareciendo más y más paradas en un tren que nunca se detiene.
Uno de los principales problemas para Samuel Parra, abogado especializado en derecho tecnológico, es que la información que recaban las cookies «puede ser distinta cada día y puede ser compartida por otras empresas, según necesidades del mercado o en función de campañas concretas». Añade que «una vez entras en el circuito de empresas que comparten la información, pierdes el control de cómo va a circular esa información y hacia quién».
Un partner habitual, Inmobi, promociona su capacidad de mantener sus segmentos de audiencia constantemente actualizados, según se desarrollan los «micromomentos» de la vida de los clientes. Otro de ellos, Live Ramp, elabora su segmentación colaborando con múltiples socios que recopilan datos de todo tipo, también de salud.
Aparte de estas empresas, abundan otras que nada tienen que ver con la publicidad. Se repiten marcas conocidas de automóviles, alimentación o tecnología. Pero también varios bancos y servicios financieros, empresas de seguros, webs de apuestas, farmacéuticas, inmobiliarias, eléctricas y hasta unas cuantas administraciones públicas, como el Gobierno de Canadá, la Generalitat de Catalunya o la Fiduciaria Colombiana de Comercio Exterior.
Aunque estas empresas no pudiesen acceder directamente a nuestros datos, que tengan la posibilidad de lanzar una publicidad muy personalizada también conlleva riesgos. Estos pueden venir «cuando con dicha segmentación sean capaces de llegar a alterar la vida de las personas, por ejemplo, motivando o incentivando al usuario final a comprar determinados productos que no necesita, a utilizar servicios que puedan perjudicarle o a tener ideas en su cabeza que pudieran dañarle», dice Parra.
Adelaide Metrics, por ejemplo, enumera sus colaboraciones como casos de estudio donde no revela quién los ha contratado. Uno de ellos forma parte de una campaña para una candidata o candidato a gobernador de un estado.
Preguntados al respecto, desde Adelaide Metrics solo nos confirmaron que se ubicó en el sureste de Estados Unidos. También aseguraron que ya no recopilan datos de cookies. Sin embargo, en el momento de elaborar este reportaje, Adelaide Metrics sigue presente en el listado de socios que cookies de los 10 medios españoles más leídos.
«Si estos agentes externos saben que una persona es de derechas, le mostrarán únicamente contenido que afiance esa posición, porque sabe que ese contenido lo va a consumir (porque le gusta) y, por ende, se va a poder monetizar». Parra sugiere que, en unas elecciones, esto puede implicar «dirigir el voto en una dirección».
Entre los socios hay marcas conocidas de automóviles, alimentación o tecnología. También varios bancos y servicios financieros, aseguradoras, webs de apuestas, farmacéuticas…
Cuanto más avanza este viaje, más son los destinos donde recalan nuestros datos. «Este modelo supone una invasión en toda regla de nuestra vida privada por la que se rastrean, monitorizan, analizan y monetizan todos y cada uno de nuestros actos. Y lo que es peor, el modelo está diseñado no sólo para comprender aquello que nos mueve, sino también para influir en nosotros y manipular nuestros pensamientos y conductas. Y, por más que el sistema busque sobre todo una mayor precisión en los contenidos publicitarios que nos ofrece Internet, puede tener consecuencias nefastas que mermen gravemente los derechos humanos», señala Pat de Brún, director adjunto de la sección de tecnología de Amnistía Internacional.
Más directo se muestra Adrianus Warmenhoven, de NordVPN: «Las cookies pueden usarse para construir perfiles ideológicos. Y estos perfiles, a su vez, se usan en las campañas electorales para dirigir a los votantes mensajes políticos específicos».
La Marea contactó con Warmehoven tras recibir un correo electrónico de su compañía especializada en ciberseguridad con una nota de prensa en la que aseguraban que «54.000 millones » de cookies robadas estaban a la venta en la web oscura (dark web). El estudio, explicaban, lo habían realizado «recopilando datos en colaboración con investigadores independientes». Todo fueron buenas palabras y máxima predisposición hasta que les preguntamos por la identidad de estos investigadores. A partir de ahí, sólo obtuvimos una respuesta: «No podemos nombrar a los investigadores, ya que hemos firmado un NDA (acuerdo de confidencialidad) con ellos».
¿Podemos bajarnos del tren de las ‘cookies’?
La opacidad parece inherente al sector. Para elaborar este reportaje, hemos hablado con especialistas de distintos ámbitos, pero nos pedían no especificar sus nombres. Hablar de cookies, y de lo que se puede hacer con ellas, es un tema incómodo. Es evidente que, en las manos equivocadas, tienen un potencial de explotación que va mucho más allá de ofrecerte el producto que necesitas. Sin embargo, existe una sensación generalizada en el usuario, acostumbrado a aceptar cookies de forma casi rutinaria, de que esa decisión es inocua.
David Carroll, protagonista del documental El gran hackeo (Netflix) por ser el profesor de la Parsons School of Design que exigió a la empresa Cambridge Analytica que le revelara el origen de todos los datos personales que tenía de él, se pregunta si «es posible consentir algo cuando no es comprensible ni revocable».
Al ser preguntado por La Marea sobre la responsabilidad individual a la hora de proteger nuestra privacidad, Carroll recomendaba quitarse peso de encima: «Hazlo lo mejor que puedas, pero no seas duro contigo mismo si no funciona» porque, explica, se trata de un problema «colectivo». «Nadie debería sentirse culpable por estar siendo tratado injustamente por el sistema. Todo el mundo está siendo engañado», añade. Aun así, el profesor no renuncia al optimismo y cree que la recopilación masiva de datos a través de las cookies tiene los días contados: «Es una situación temporal, esperemos, y un modelo mejor sustituirá al actual».
