Avast recoge datos sensibles de navegación de los usuarios que vende a grandes empresas, según una investigación
El antivirus Avast recoge los datos de navegación de sus más de 400 millones de usuarios para vendérselos a terceros, un hecho reconocido por la empresa, pero que implica datos sensibles de los usuarios que pueden desanonimizarse y acabar por identificarlos.
Una investigación conjunta entre los medios especializados Motherboard y PCMag denuncia no sólo la recopilación y venta de los datos de navegación de los usuarios de Avast, sino también la forma en que lo hace y el tipo de datos que recoge.
Según explican, el antivirus instalado recopila la información del usuario que, posteriormente, la subsidiaria Jumpshot empaqueta para su venta. Entre los clientes se encuentran grandes empresas como Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast o Intuit.
Los datos vendidos incluyen lo que denominan 'todos los clics', es decir, todos los clics que el usuario hace mientras navega por Internet, como páginas de LinkedIn, localizaciones de Google Maps, vídeos determinados de YouTube o páginas pornográficas.
Aunque estos datos deberían mantener al usuario en el anonimato, la investigación señala que, por ejemplo, en el caso de páginas como PornHub o YouPorn se puede saber el día y la hora a la que el usuario accedió a ellas, o incluso los términos de búsqueda que introdujo o los vídeos que vio, como han podido saber a partir de datos filtrados y documentos internos.
A principios de diciembre, en una entrevista a Forbes, el director ejecutivo de Avast, Ondrej Vlcek, reconoció que una de las fuentes de ingresos de la empresa era la venta de datos de navegación de los usuarios de su antivirus, recogidos a través de las extensiones para los navegadores Mozilla, Opera y Google Chrome.
Vlcek aseguró que esta práctica está recogida en los términos de uso del servicio de ciberseguridad, donde, además, se explican los datos que recogen, e incluso proveen de una opción para deshabilitar esta monitorización.
El director ejecutivo también apuntó que los datos se anonimizan, lo que impide que puedan identificar al usuario. No obstante, la investigación realizada por los medios citados cuestiona este punto. Según indican, el tipo de datos recogidos, si bien no contienen datos personales, son lo suficiente detallados como para desanonimizar al usuario.