Artículos

¿Buscando Síntomas en línea? Estas empresas te están rastreando

POR BRIAN MERCHANT TRADUCCIÓN:DAVID ORMEÑO

Es 2015, cuando nos sentimos enfermos, temenos tener una enfermedad, o si tenemos preguntas sobre nuestra salud, vamos primero a internet. De acuerdo con el Pew Internet Project, el 72 por ciento de los usuarios de internet de Estados Unidos buscan información relacionada con la salud, en línea. Pero un número asombroso de las páginas que se visitan para aprender acerca de las preocupaciones de salud privadas, realizan el seguimiento a nuestras preguntas, el envío de datos sensibles a empresas de terceros, incluso envían esta información a nuestros ejecutivos de cuenta bancaria. Ésto es con fines de lucro, para una “experiencia de usuario mejorada,” y ya que los desarrolladores han acudido a plugins “gratuitos” y las herramientas proporcionadas por las compañías de datos.

En abril de 2014, Tim Libert, un investigador de la Universidad de Pennsylvania, diseño un programa informático llamado webXray para analizar los primeros 50 resultados de búsqueda de cerca de 2.000 enfermedades comunes (más de 80.000 páginas en total). Encontró resultados sorprendentes: un total del 91 por ciento de las páginas hizo lo que se conoce como solicitudes de terceros a empresas externas. Esto significa que cuando usted busca “herpes labial”, por ejemplo, y hace clic en el enlace  “Cold Sores Topic Overview WebMD“, el sitio web está pasando a su solicitud de información sobre la enfermedad a lo largo de uno o más (y muchas veces muchas, muchas más) otras corporaciones.

Según la investigación de Libert, que se publicó en las Comunications de la ACM, alrededor del 70 por ciento del tiempo, los datos transmitidos “contenían información que expone condiciones específicas, los tratamientos y las enfermedades.” Eso, dice, es “pone la privacidad del usuario en riesgo “. Y esto significa que usted probablemente querrá pensarlo dos veces antes de buscar información médica en Internet.

Esto es lo que está sucediendo en un poco más detalle: Digamos que usted hace una búsqueda, esa consulta en un buscador devolverá una lista de resultados “herpes.”. Es probable que, cualquiera que sea el sitio que elija para hacer clic enviará la información no sólo de los servidores del sitio destinado; por ejemplo, del Centro para el Control de Enfermedades, que mantiene el resultado de la búsqueda superior de Google, perra a las empresas propietarias de los elementos instalados en la página. He aquí por qué.

Al hacer clic en ese enlace CDC, usted está haciendo una llamada o ” solicitud.” Esa solicitud se pasa a los servidores del CDC, y devuelve el archivo HTML con la página que estás buscando. En este caso, se trata de “Herpes Genital – CDC Factsheet“, tal vez la página en Internet no quiere que nadie sepa lo que estás mirando. Pero debido a que el CDC ha instalado Google Analytics para medir sus estadísticas de tráfico, y tiene, por alguna razón, incluido AddThis lo que permite compartir en Facebook y Twitter  (que deja en entredicho la cuestión de quién socializa páginas de enfermedades), el CDC también envía una tercera parte a petición cada una de esas empresas. Esa solicitud se ve algo como esto –http: //www.cdc.gov/std/herpes/STDFact-Herpes.htm y hace explícito a estos terceros tu cadena de referencia HTTP y que tu búsqueda era acerca del herpes.

Por lo tanto, Libert ha descubierto que la gran mayoría de los sitios de la salud, de la lucrativa WebMD.com al CDC.gov administrado por el gobierno, están cargados de elementos de seguimiento que están enviando los registros de sus consultas de salud a los gigantes de Internet como Google, Facebook y Pinterest, y corredores de datos  como Experian y Acxiom.

A partir de ahí, se hace relativamente fácil para las empresas que reciben las solicitudes, muchas de las cuales están recolectando otros tipos de datos (en las cookies, por ejemplo) sobre tu navegación, así, para identificarte y a tu enfermedad. Esa URL o URI, que contiene muy claramente la enfermedad que se busca, se transmite a Google, Twitter y Facebook, junto con la dirección IP de tu ordenador y otra información de identificación.

“El significado subyacente de la cifra del 91 por ciento es que esto es totalmente endémico en todos los tipos de sitios,” Libert dijo, “esto no es sólo los sitios comerciales que necesitan para obtener algún beneficio, se trata de organizaciones de confianza: el gobierno, las entidades sin fines de lucro, las universidades “.

El ejemplo de los CDC es notable porque es un sitio del gobierno, uno que suponemos debe ser libre de afán de lucro, y totalmente seguro para su uso. “Se trata básicamente de negligencia”, Libert dijo.

Sin embargo, los sitios de salud con fines de lucro son a menudo mucho peor. WebMD, por ejemplo, es el sitio más visitado 106º en los EE.UU., según Alexa, y ocupa un lugar destacado en los resultados de búsqueda de las enfermedades más comúnmente buscadas. Se envía solicitudes de terceros a la friolera de 34 dominios separados, incluyendo los corredores de datos Experian y Acxiom.

“WebMD esta básicamente llamando a todo el mundo en la ciudad y diciendoles que es lo que estamos viendo”, dijo Libert. Viendo como hay una buena probabilidad de que sea una enfermedad sensible, los usuarios probablemente no estará contentos.

Lo mismo es cierto para About.com (que distribuye nuestras peticiones a comScore, Experian, Google y Microsoft, entre otros), Health.com (que envía los datos a través de una docena de diferentes corporaciones de terceros), y muchos otros. Si usted está visitando un sitio web con fines de lucro de salud, usted puede garantizar esencialmente que está siendo rastreado, y que sus peticiones están terminando en manos de no sólo las empresas que ganan ingresos por publicidad (que es por eso que Facebook y Google recopilan este tipo de los datos), y a partir de la venta de datos de forma explícita (como Experian y Acxiom).

Muchos de los principales resultados de búsqueda para las consultas médicas ocupan un lugar destacado, y tienen la mayoría de los elementos de seguimiento de los sitios relacionados con la salud analizados por Libert. Espera que una visita a cualquiera de los anteriores sitios enviara tu información a más de una docena de compañías de rastreo.

Incluso  sitios web públicos de confianza, sin fines de lucro  (como la Clínica Mayo y Planificación de la Familia) te están siguiendo, por ejemplo, para enviar tus datos a terceros, como Google y Ensighten. Esto no es porque sea tengan la intención de hacer algo nefasto; es sólo porque han instalado software simple de entender y cómodo que está enviando, sin embargo, los datos sobre los problemas de salud que usted está mirando a las corporaciones. (WebMD, los CDC, y la Clínica Mayo no respondieron inmediatamente cuando se le pidió comentar.)

Y el trabajo de Libert confirma los informes realizados por la Associated Press y la Electronic Frontier Foundation que Healthcare.gov estaba exponiendo los datos de usuario.

“Healthcare.gov es sólo la punta del iceberg”, Cooper Quintin, tecnólogo de la EFF, que expuso cómo ese sitio estaba haciendo esto sin darse cuenta que publica datos de usuario a través de las cadenas de referentes de la misma manera, dijo después de enterarse de la investigación de Libert. “Se podría pensar que los datos que usted lee en el Internet son privados, entre usted y el proveedor de servicio”, dijo Quintín. “Pero no lo es.”

Así que ¿por qué tantos sitios transmiten su información confidencial, información de salud potencialmente embarazosa, y posiblemente perjudicial para las empresas? Con los sitios sin fines de lucro como el CDC y la Clínica Mayo, no es debido a ninguna intención nefasta; es simplemente porque los desarrolladores están instalando herramientas “gratuitas” como los botones de “compartir” en los medios de comunicación o las redes  sociales en sus sitios como Google Analytics, y la mayoría de los usuarios no tienen idea de lo que significa que la información sobre sus búsquedas se comparte con terceros.

“El problema es que el uso de estas herramientas “gratuitas” de terceros es muy fácil para los desarrolladores web. Lo que los desarrolladores no tienen en cuenta es, ¿por qué son estas herramientas gratuitas? “, Dijo Libert. “Estas empresas no son organizaciones benéficas que están ofreciendo estas herramientas para hacer dinero a partir de los datos del usuario. Así que lo que tienes es un desarrollador web del gobierno que pasa el costo a los usuarios que no tienen idea de que sus datos están siendo objeto de comercio sin su consentimiento “.

Google es el mayor delincuente aquí, no sólo en los sitios del gobierno, sino en todos los ámbitos,  posee la gran mayoría de los elementos que realizan el seguimiento. Libert encontró que el “78 por ciento de las páginas analizadas incluía elementos que eran propiedad de Google,” un resultado que él dice, lo aturdió.

Google no es la única compañía en el seguimiento de los sitios de salud. Pero en segundo lugar es bastante distante: el 38 por ciento de las 80.000 páginas analizadas envió solicitudes a comScore, otra empresa de análisis de Internet. Mientras tanto, el 31 por ciento de los sitios canalizó datos de Facebook, 22 por ciento a AppNexus, el 18 por ciento de AddThis (una empresa de seguimiento de la web), el 18 por ciento de Twitter, el 16 por ciento de Amazon, y el 12 por ciento de Yahoo. Varios enviaron solicitudes a una combinación de muchas de las empresas que se enumeran más arriba, y más. Y es notable que Google reciba datos mucho más frecuentemente que cualquier otra compañía.

“Mientras yo estaba esperando que Google tuviera una gran huella no me di cuenta de lo grande que sería exactamente”, Libert me dijo. “Incluso si utiliza un iPhone, DuckDuckGo, y Hotmail. El segundo que se abre el navegador hay una enorme oportunidad para Google de obtener tus datos.” Eso es porque Google está absorbiendo su información a través de una variedad de servicios alojados y nombres de dominio, de Google Analytics , que mide el tráfico del sitio, DoubleClick, un servicio de publicidad, y YouTube, la plataforma de vídeo.

Si un sitio web tiene Analytics instalado en su servidor, luego una solicitud se envían automáticamente a Google, porque esto ocurre en lo Libert llama la “web invisible”, el usuario nunca es consciente de que esto está ocurriendo. Libert encontró que Analytics ha impulsando estas solicitudes en un total del 45 por ciento de las páginas de salud que analizó.

“Sin importar el tipo de servicios proporcionados, de alguna manera todas estas peticiones HTTP llegan a  Google,” Libert escribe en su paper. “Esto significa que una sola empresa tiene la posibilidad de grabar la actividad en la web, de un gran número de personas que buscan información relacionada con la salud sin su conocimiento o consentimiento.”

¿Qué puede suceder cuando Google comienza a pasar la aspiradora en tus datos de salud? Un incidente que se produjo en una bandeja de entrada de Canadá ofrece una pista.

En enero de 2014, la comisión de privacidad de Canadá dictaminó que Google había violado las leyes de privacidad de la nación después de que un usuario descubrió que estaba en la mira de los anuncios para dispositivos que aseguraban el tratamiento de la apnea del sueño. Él había utilizado previamente el motor de búsqueda para aprender acerca de la condición y la búsqueda de dispositivos similares, pero nunca había ofrecido su consentimiento. La Oficina del Comisionado de Privacidad de Canadá fue capaz de replicar la experiencia, y dictaminó que Google había violado la ley.

“La mayoría de los canadienses consideran que la información de salud es extremadamente sensible”, dijo el comisionado de la época. “No es apropiado que este tipo de información se utilizará en la publicidad del comportamiento en línea.” Google argumentó que los “criterios de visualización y listas de usuarios para los anuncios en su red están determinadas por los anunciantes individuales,” no Google, según The Register, y que estaba en contra de su política de utilizar información confidencial para hacer publicidad, pero admitió que “algunos anunciantes o compradores de terceros pueden utilizar los productos de remarketing.” No hubo multas impuestas, sin embargo, como Canadá se mostró satisfecho con la insistencia de Google que adoptaría medidas más estrictas en las políticas de privacidad. Aún así, es ilustrativo en cuanto a lo que Google es capaz, si es que a la red de anunciantes que sirve muestre supuestos anuncios orientados a la venta de tratamientos para el herpes, a los que habían estado buscando por el término, esta claramente dentro de su capacidad.

Este riesgo está incluido en una de los dos que Libert identifica en su investigación; identificación personal y la discriminación ciega. El caso de Google es un ejemplo de la primera, si Google quiere, tiene los datos para discernir lo que eres y lo que te aflige. Esto es espeluznante, sin duda, pero también tiene ramificaciones en el mundo real más allá del hecho de que el proveedor de búsquedas sabe que usted tiene algo. Los usuarios no tienen control sobre cómo se almacena o asegura, por ejemplo, los datos, y que pueden ser vulnerables a los piratas informáticos.

Un portavoz de Google emitió la siguiente declaración: “Un montón de sitios web utilizan nuestros servicios para medir su tráfico, incrustar vídeos de YouTube, o financiar su contenido con publicidad. Tenemos políticas estrictas que prohíben a tales sitios web de pasar los datos de identificación personal. No queremos y no utilizamos este tipo de datos sensibles. Y para ser claro: no permitimos que nuestros sistemas de anuncios que se utilizarán para formar perfiles, o para orientar los anuncios, con base en información de salud o médica”.

Google no dio más detalles cuando se le preguntó cómo esta denegación general podía conciliarse con las conclusiones del Libert. Libert, por su parte, llama la respuesta “típica.”

Las posibilidades más desconcertantes no yacen con Google o Facebook, que tanto aspiran a la seguridad de los datos de toda la web y almacenarla en sus servidores, pero con las prácticas de los corredores de datos como Experian, cuyos productos Libert se encuentran presentes en aproximadamente el 5 por ciento de las páginas muestreadas, en sitios con fines de lucro  como WebMD, About.com, y MedicineNet.com. Experian es una agencia de crédito que se ha disparado y convertido en un “grupo global de servicios de información.” Fue objeto de una investigación del Senado dirigida por Jay Rockefeller en 2013, y se ocupa de la recogida de todos los datos sobre las personas como sea posible, a continuación, el envasado y venta de ella. Y sí, eso incluye los datos de salud privados.

“Encontré Experian en miles de sitios,” Libert dijo, “aquí hay una empresa que conoce los detalles íntimos de mis préstamos estudiantiles, y también ¿puede saber acerca de mis problemas de salud? Eso me impactó”.

“Es escalofriante pensar que las empresas hagan el seguimiento de tu crédito y también están manteniendo un seguimiento de tu salud”, agregó.

Hay una serie de razones por las que es problemático que los corredores de datos basados ​​en todo el mundo almacenen tus datos de salud sin tu conocimiento o consentimiento. La primera es simple podían hacer mal uso de ella. En 2013, Experian fue multada por la venta de datos de los consumidores a los ladrones de identidad en Vietnam. Además, los datos, almacenados por entidades desconocidas con niveles desconocidos de seguridad, pueden estar en riesgo de hackers. “Simplemente el almacenamiento de información de identificación personal en las condiciones de salud plantea la posibilidad de pérdida, robo y abuso”, escribe.

Y como Libert señala en su paper, otra empresa, Medbase200, fue reportada por el uso de “modelos de propiedad” para generar y vender listas con clasificaciones como “victimas de violación”, “víctimas de violencia doméstica”, y “pacientes de VIH / SIDA” que tiene que estar entre la franja más fea de la publicidad dirigida.

“El problema es que los datos de las personas no están en el vacío. Experian puede tomar estos datos y agregarla a la otra información que tienen “, dijo Quintín. “Google es lo mismo, tienen una cookie en tu navegador que tiene tu nombre real, tus datos y todo eso. Y hay intercambio de datos detrás de las escenas. Experian puede compartir estos datos con otras empresas “.

Y ese tipo de práctica conduce a lo que Libert llama el problema de discriminación ciega.

“Experian es un corredor/broker de datos bien conocido por la venta de las puntuaciones de crédito, que incluyen información sobre quiebras”, dijo Libert. “La investigación académica por la senadora Elizabeth Warren ha demostrado que más del 60 por ciento de las quiebras son relativos a temas medicos. Dado que me encontré con Experian y su seguimiento de los usuarios en miles de páginas web relacionadas con la salud, es muy posible que la empresa no sólo sepa que los individuos se declararon en quiebra por razones médicas, pero la primera vez que se puso en línea para aprender acerca de su enfermedad también. En esencia Experian puede seguir a un individuo de su primer estornudo a su factura final de hospital sin pagar. “(Experian no respondió cuando se le pidió comentar.)

Quintin está de acuerdo que esto plantea una amenaza real. “Yo diría que eso es totalmente posible.” Él sugiere que es posible que los datos médicos que estos corredores absorben, eventualmente podrían tener en cuenta en tu puntuación de crédito, e incluso se utilicen para determinar la cantidad que paga por el cuidado de la salud. “Mira, esto es especulativo, ¿verdad? Pero si soy un banco y un cliente está solicitando un préstamo, no hay razón para que no me gustaría tener esa información. “Y los corredores de datos podrían proporcionarla. “Existe esta publicidad demográfica de usted, y ahora usted está recibiendo datos de salud allí, también. ¿Cuánto vamos a cobrar por el seguro médico, si usted ha estado buscando ‘el cáncer’ y un montón de enfermedades? Los servicios de salud pueden aumentar sus tarifas “.

“Otro escenario de pesadilla está en solicitar puestos de trabajo”, continuó Quintin. “Una empresa puede obtener un perfil demográfico de uno de estos corredores de datos y utilizar esa información para decidir si contratarte o no.”

Pero el principal problema es simplemente que casi todo lo anterior, bajo las leyes actuales, es legal.

“Lo único que dicta lo que va a suceder con los datos es que pueden hacer dinero con él”, dijo Libert. “Lo único que guía el uso de estos datos es la ganancia. Sin supervisión, ni leyes, ni nada. “Eso es cierto, en los EE.UU., de los hábitos de datos de tanto Google, y de vastas empresas de seguimiento de la salud con fines de lucro.

“Los datos de la Salud son unos de los datos más privado que tiene. Que un dato revela mucho acerca de usted. Hay una razón que tenemos leyes como HIPAA lamentablemente aquellos no se aplican aquí “, dijo Quintín. HIPAA es la Ley de Responsabilidad de 1996 y Portabilidad del Seguro de Salud o Health Insurance Portability and Accountability Act, y se obliga al gobierno y los médicos a mantener registros médicos del paciente seguro y confidenciales. No tiene ninguna jurisdicción sobre las compañías de motores de búsqueda o los corredores de datos que los individuos “ofrecieron voluntariamente”.

“Mientras Experian está sujeto a la Fair Credit Reporting Act, que no cae bajo HIPAA, lo que significa que la información de salud que recogen en la web es prácticamente libre de regulación”, dijo Libert. “Claramente, el Congreso tiene que intervenir aquí.”

Quintin dice que hay cosas que los usuarios pueden hacer para protegerse de este tipo de rastreo en estos momentos a instalar bloqueadores de publicidad como el Privacy badger. O usted podría detener el tráfico de sitios web de salud con fines de lucro por completo. Hay una luz brillante aquí: Wikipedia. Era uno de los pocos sitios que traficaban con información de salud que no envió solicitudes a las corporaciones.

Por ahora, sin embargo, millones de personas están exponiendo sus perfiles personales de salud a los anunciantes en Internet y corredores de datos, justo en el momento en que se están haciendo las averiguaciones más confidenciales imaginables.
“Este es un gran problema en la web”, dijo Quintín. “Es sólo la forma en que funciona la web, y necesita funcionar de manera diferente, sobre todo cuando se trata de los datos de salud de las personas.”

via