Escándalo Phorm: ¿Por qué lo llaman paranoia cuando quieren decir espionaje?

¿Cuál es el sueño dorado de una empresa de publicidad en Internet? Sin ninguna duda, saber qué páginas visitamos y poder servirnos anuncios ajustados a nuestros hábitos de navegación.

El problema es cómo lograrlo. Desde luego hace mucho que existen los medios técnicos (por ejemplo, una utilización intrusiva de las cookies), pero el método definitivo pasaría por poder contar con la ayuda de los grandes proveedores de Internet. Pero claro, por un lado habría que eludir las regulaciones legales que protegen la privacidad, y por otro ¿qué proveedor de Internet se atrevería a pedir autorización a sus usuarios de banda ancha para registrar sus actividades en Internet y cederlas a los anunciantes, a la vez que cobran a sus clientes sus buenos euros todos los meses? Probablemente ninguno... Claro que... siempre existe una solución: hacerlo sin pedirles autorización. Por supuesto si alguno pregunta, se niega todo y pelillos a la mar.

¿Parece demasiada paranoia, verdad? Pues aunque cueste creerlo, tres de los principales proveedores de Internet del Reino Unido (BT, Virgin Media y TalkTalk) han sido pillados in fraganti en esta actividad, mientras en Estados Unidos parece estar ocurriendo algo similar. En todos los casos el nexo común es Phorm, un broker de servicios publicitarios...

Otro aspecto común es el funcionamiento: la información sobre cada página que el usuario visita es remitida en tiempo real a los anunciantes, que responden con la inclusión de anuncios personalizados.

Phorm se excusa diciendo que se encargan de anonimizar los datos que recogen y que los usuarios disponen de la posibilidad de excluirse voluntariamente del sistema (opt-out), claro que: ¿cómo se excluye uno de algo que ni siquiera sabe que existe y -mucho menos- que rastrea sus actividades? Además, puesto que el opt-out se realiza mediante una cookie, es necesario excluir específicamente cada navegador que se utilice, sin que exista una especie de opt-out global. Obviamente, lo único "razonable" es que un sistema como éste sea absolutamente voluntario (es decir, mediante estricto opt-in).

Me parece necesario aclarar que Phorm no accede sólo a las URLs que se visitan, sino también a sus contenidos (a no ser que se trate de páginas cifradas), por lo que puede leer los correos en webmails, los contenidos de los formularios que se rellenan, etc. Esto viene a significar que Phorm se convierte de este modo -además- en una especie de "socio" obligado de cada sitio web.

Pese a las afirmaciones en contrario de Phorm, parece evidente que el sistema introduce riesgos añadidos para la seguridad y privacidad de los usuarios. Por ejemplo, Phorm afirma que no guarda las IPs, pero sí un Tracking ID (identificador de rastreo). Por tanto si un intruso logra hacerse con ese identificador y asociarlo a una IP concreta, el riesgo de identificación pasa a ser máximo.

Para mayor preocupación Phorm parece muy ligado a Rusia: emplea programadores rusos y algunas informaciones ligan la empresa a servicios de seguridad rusos. La empresa predecesora de Phorm (121 Media) estuvo en su día relacionada con el uso de un rootkit.

Referencias:

• To own, to be owned, or what else? BT and its proxies. [El verano pasado, un avispado usuario británico detallaba las "cosas raras" que observaba cuando navegaba con BT.].
• BT pimped customer web data to advertisers last summer [The Register].
• BT admits misleading customers over Phorm experiments [The Register].
• UK ISP Admitted to Spying on Customers [Slashdot].
• ISPs Using "Deep Packet Inspection" on 100,000 Users [Slashdot].
• The Phorm “Webwise” System [Computer Laboratory, University of Cambridge. El mismo sitio dispone de un documento que detalla los aspectos técnicos de Phorm].
• Every Click You Make [The Washington Post].
• The Already Big Thing on the Internet: Spying on Users [The New York Times].
• BadPhorm [El sitio incluye una interesante FAQ].
• Anti Phorm League.
• Phormwatch.
• Dephormation [Extensión antiPhorm para Firefox].