Cuando aceptamos las ‘cookies’, podemos ceder el acceso a parte de nuestros datos a la web en la que estamos. Pero también podrán recibirlos sus socios, y los socios de estos, en una escalera casi infinita.
Los centenares de socios que mencionábamos al inicio de este reportaje son solo la primera parada en el viaje de nuestras cookies (y de parte de nuestros datos). Muchos de ellos tienen sedes secundarias repartidas por prácticamente todos los países del planeta, desde Arabia Saudí hasta El Salvador, pasando por Catar o Líbano.
Además, cada vendor trabaja a su vez con decenas de clientes que contratan sus servicios para anunciarse en Internet o realizar estudios de audiencia. Conocer todas estas compañías finales es prácticamente imposible. En La Marea hemos analizado aquellos partners que los propios socios mencionan en sus páginas web, pero son solo una pequeña muestra, la que quieren destacar para promocionar su imagen.
Entre estos clientes vuelve a figurar un gran número de empresas de marketing y publicidad. Cabe preguntarse entonces si éstas también recopilan esas cookies y hacen sus propios segmentos de audiencia que llegan a otras terceras empresas… Y así van apareciendo más y más paradas en un tren que nunca se detiene.
Uno de los principales problemas para Samuel Parra, abogado especializado en derecho tecnológico, es que la información que recaban las cookies «puede ser distinta cada día y puede ser compartida por otras empresas, según necesidades del mercado o en función de campañas concretas». Añade que «una vez entras en el circuito de empresas que comparten la información, pierdes el control de cómo va a circular esa información y hacia quién».
Un partner habitual, Inmobi, promociona su capacidad de mantener sus segmentos de audiencia constantemente actualizados, según se desarrollan los «micromomentos» de la vida de los clientes. Otro de ellos, Live Ramp, elabora su segmentación colaborando con múltiples socios que recopilan datos de todo tipo, también de salud.
Aparte de estas empresas, abundan otras que nada tienen que ver con la publicidad. Se repiten marcas conocidas de automóviles, alimentación o tecnología. Pero también varios bancos y servicios financieros, empresas de seguros, webs de apuestas, farmacéuticas, inmobiliarias, eléctricas y hasta unas cuantas administraciones públicas, como el Gobierno de Canadá, la Generalitat de Catalunya o la Fiduciaria Colombiana de Comercio Exterior.
Aunque estas empresas no pudiesen acceder directamente a nuestros datos, que tengan la posibilidad de lanzar una publicidad muy personalizada también conlleva riesgos. Estos pueden venir «cuando con dicha segmentación sean capaces de llegar a alterar la vida de las personas, por ejemplo, motivando o incentivando al usuario final a comprar determinados productos que no necesita, a utilizar servicios que puedan perjudicarle o a tener ideas en su cabeza que pudieran dañarle», dice Parra.
Adelaide Metrics, por ejemplo, enumera sus colaboraciones como casos de estudio donde no revela quién los ha contratado. Uno de ellos forma parte de una campaña para una candidata o candidato a gobernador de un estado.
Preguntados al respecto, desde Adelaide Metrics solo nos confirmaron que se ubicó en el sureste de Estados Unidos. También aseguraron que ya no recopilan datos de cookies. Sin embargo, en el momento de elaborar este reportaje, Adelaide Metrics sigue presente en el listado de socios que cookies de los 10 medios españoles más leídos.
«Si estos agentes externos saben que una persona es de derechas, le mostrarán únicamente contenido que afiance esa posición, porque sabe que ese contenido lo va a consumir (porque le gusta) y, por ende, se va a poder monetizar». Parra sugiere que, en unas elecciones, esto puede implicar «dirigir el voto en una dirección».
Entre los socios hay marcas conocidas de automóviles, alimentación o tecnología. También varios bancos y servicios financieros, aseguradoras, webs de apuestas, farmacéuticas…
Cuanto más avanza este viaje, más son los destinos donde recalan nuestros datos. «Este modelo supone una invasión en toda regla de nuestra vida privada por la que se rastrean, monitorizan, analizan y monetizan todos y cada uno de nuestros actos. Y lo que es peor, el modelo está diseñado no sólo para comprender aquello que nos mueve, sino también para influir en nosotros y manipular nuestros pensamientos y conductas. Y, por más que el sistema busque sobre todo una mayor precisión en los contenidos publicitarios que nos ofrece Internet, puede tener consecuencias nefastas que mermen gravemente los derechos humanos», señala Pat de Brún, director adjunto de la sección de tecnología de Amnistía Internacional.
Más directo se muestra Adrianus Warmenhoven, de NordVPN: «Las cookies pueden usarse para construir perfiles ideológicos. Y estos perfiles, a su vez, se usan en las campañas electorales para dirigir a los votantes mensajes políticos específicos».
La Marea contactó con Warmehoven tras recibir un correo electrónico de su compañía especializada en ciberseguridad con una nota de prensa en la que aseguraban que «54.000 millones » de cookies robadas estaban a la venta en la web oscura (dark web). El estudio, explicaban, lo habían realizado «recopilando datos en colaboración con investigadores independientes». Todo fueron buenas palabras y máxima predisposición hasta que les preguntamos por la identidad de estos investigadores. A partir de ahí, sólo obtuvimos una respuesta: «No podemos nombrar a los investigadores, ya que hemos firmado un NDA (acuerdo de confidencialidad) con ellos».
¿Podemos bajarnos del tren de las ‘cookies’?
La opacidad parece inherente al sector. Para elaborar este reportaje, hemos hablado con especialistas de distintos ámbitos, pero nos pedían no especificar sus nombres. Hablar de cookies, y de lo que se puede hacer con ellas, es un tema incómodo. Es evidente que, en las manos equivocadas, tienen un potencial de explotación que va mucho más allá de ofrecerte el producto que necesitas. Sin embargo, existe una sensación generalizada en el usuario, acostumbrado a aceptar cookies de forma casi rutinaria, de que esa decisión es inocua.
David Carroll, protagonista del documental El gran hackeo (Netflix) por ser el profesor de la Parsons School of Design que exigió a la empresa Cambridge Analytica que le revelara el origen de todos los datos personales que tenía de él, se pregunta si «es posible consentir algo cuando no es comprensible ni revocable».
Al ser preguntado por La Marea sobre la responsabilidad individual a la hora de proteger nuestra privacidad, Carroll recomendaba quitarse peso de encima: «Hazlo lo mejor que puedas, pero no seas duro contigo mismo si no funciona» porque, explica, se trata de un problema «colectivo». «Nadie debería sentirse culpable por estar siendo tratado injustamente por el sistema. Todo el mundo está siendo engañado», añade. Aun así, el profesor no renuncia al optimismo y cree que la recopilación masiva de datos a través de las cookies tiene los días contados: «Es una situación temporal, esperemos, y un modelo mejor sustituirá al actual».