Los anunciantes digitales aprovecharon la pandemia para hacerse con los datos de millones de niños

Human Rights Watch / Hyperakt

Jérôme Hourdeaux (Mediapart)

La pandemia permitió a los anunciantes digitales hacerse con los datos personales de decenas de millones de niños de todo el mundo, según un informe publicado este 25 de mayo por Human Rights Watch (HRW), en colaboración con EdTech Exposed, un consorcio de 13 medios de comunicación, entre ellos Mediapart (socio editorial de infoLibre), coordinado por The Signal Network y con acceso a los documentos.

Durante casi dos años, la ONG ha analizado 165 herramientas digitales de EdTech, el término que designa al sector de la tecnología educativa, recomendado oficialmente por los gobiernos de 49 países. Y sus conclusiones son desastrosas para la protección de la intimidad de los niñoscookies en sus dispositivos para espiar sus actividades en línea, el seguimiento de su geolocalización, la atribución de un identificador publicitario para facilitar su rastreo... La inmensa mayoría de las soluciones digitales, desarrolladas directamente por los Estados o confiadas a empresas privadas, han contribuido a la vigilancia publicitaria obligada por el confinamiento y el cierre de las escuelas.

“De los 164 productos EdTech analizados, el 146 (89%) estaban implicados en prácticas de datos que ponían en peligro, contribuían a socavar o violaban activamente los derechos de los niños”, según el informe. “Estos productos vigilaban a los niños, en secreto y sin el consentimiento de los padres, recopilando datos sobre quiénes son, dónde están, qué hacen en clase, quiénes son sus familiares y amigos, y qué tipo de dispositivos puede permitirse su familia”.

El informe resultante detalla, en 145 páginas, el alcance de la recopilación de datos personales por parte de los productos EdTech y las diversas técnicas empleadas.

Asignación de un “identificador permanente”

Uno de los principales objetivos de las empresas de tecnología publicitaria es poder identificar a los usuarios de internet con la mayor precisión posible para poder hacerles seguimiento mientras los utilizan. “Para saber quiénes son las personas en internet”, explica el informe, “las empresas de tecnología publicitaria (AdTech) etiquetan a cada persona con una cadena de números y letras que actúan como un número de identificación que es permanente y único: se refiere a un solo niño o a sus dispositivos y no cambia”.

Así, “cada vez que un niño se conecta a internet y entra en contacto con una tecnología de rastreo, cada dato recogido sobre ese niño -dónde vive, quiénes son sus amigos, qué tipo de dispositivos puede permitirse su familia- se vincula al identificador que le asocia una empresa AdTech, lo que da lugar con el tiempo a un perfil completo. Los datos vinculados de esta manera no necesitan un nombre real para poder dirigirse a un niño o persona real”, subraya el informe.

Estos identificadores permanentes pueden tener varias finalidades. Pero algunas se dedican exclusivamente a la publicidad. Es el caso del Android Advertising ID (AAID), que estaba presente en 41 de las 73 aplicaciones estudiadas por HRW, es decir, el 56%. Durante la pandemia, fueron recomendados oficialmente por 29 gobiernos.

Algunas de estas aplicaciones no están dirigidas específicamente a los niños, como el servicio de transferencia de archivos Dropbox o la herramienta de trabajo colaborativo Padlet. Sin embargo, 33 aplicaciones se dirigieron específicamente a los escolares y recopilaron el AAID de unos 86,9 millones de niños. Entre ellos, el juego educativo de Microsoft Minecraft: Education Edition, recomendado oficialmente por el estado de Victoria en Australia, pero muy popular en las aulas de todo el mundo.

En nueve casos (Ghana, India, Indonesia, Irán, Irak, Rusia, Arabia Saudí, Sri Lanka y Turquía), las aplicaciones que recogen el AAID fueron desarrolladas por los propios gobiernos. El informe denuncia, “al hacerlo, estos gobiernos se han concedido a sí mismos la capacidad de rastrear a unos 41,1 millones de estudiantes y profesores con fines exclusivamente publicitarios y de monetización”.

Además, HRW encontró que 17 aplicaciones que obtienen identificadores que son aún más intrusivos porque son casi imposibles de cambiar. Ocho de ellos permitían obtener la dirección MAC del wi-fi, un identificador físico asignado a la tarjeta wi-fi de cada dispositivo. Estas aplicaciones figuran recomendadas por 13 gobiernos e incluyen algunas de las más populares: YouTube (recomendado por el estado de Uttar Pradesh en la India, Malasia, Nigeria e Inglaterra), Facebook (recomendado por Taiwán) o, de nuevo, Minecraft: Education Edition.

Otras nueve aplicaciones recogían el número IMEI (International Mobile Equipment Identity) asignado a cualquier dispositivo móvil. Una vez más, entre las herramientas recomendadas por 12 gobiernos figuran productos especialmente populares como el sistema de videoconferencia Cisco Webex (recomendado por el Estado de Victoria en Australia, Japón, Polonia, España, la República de Corea, Taiwán y el Estado de California), la mensajería Telegram (recomendada por Rusia) y Facebook.

El informe explica que sólo se han analizado las aplicaciones basadas en Android debido a la posición dominante del sistema operativo de Google en el mercado y a su arquitectura, más fácil de evaluar que la de su principal competidor, iOS de Apple. Pero señala que “las aplicaciones creadas para iOS de Apple también pueden emplear tecnologías de rastreo de datos y dirigirse a sus usuarios con publicidad basada en el comportamiento”.

En cuanto a los sitios web, HRW descubrió que ocho de ellos utilizaban otra tecnología de identificación especialmente eficaz: el “canvas fingerprinting”. Consiste en ocultar una forma o un texto en una página web que el navegador lee sin que el usuario se dé cuenta.

Cada ordenador mostrará estas huellas con muy ligeras diferencias relacionadas con sus componentes. Como resultado, “estas imágenes pueden utilizarlas los anunciantes, y cualquiera, para asignar un número único al dispositivo del usuario, que puede emplearse como un identificador singular para rastrear las actividades del usuario en internet”, explica el informe. HRW identificó ocho sitios web que utilizaban canvas fingerprinting, tres de los cuales fueron creados por gobiernos: uno en Canadá y dos en Rusia.

Geolocalización de estudiantes

Uno de los datos más valiosos para las empresas AdTech es la geolocalización de los usuarios de internet. Puede “revelar información sensible, como el lugar donde vive y va al colegio un niño, los viajes entre las casas de los padres divorciados y las visitas a la consulta del médico oncólogo pediátrico”, detalla el informe. Durante la pandemia, cuando “muchos niños estaban aprendiendo a distancia debido al confinamiento por el covid-19, el seguimiento de su presencia física a través de los datos de localización probablemente reveló sus direcciones y los lugares más significativos para ellos”, vuelve a subrayar HRW.

De las 73 aplicaciones analizadas, 22, es decir, el 30%, “tenían capacidad para recabar datos de localización precisos, o coordenadas GPS que pueden determinar la ubicación exacta de un niño con una precisión de 4,9 metros”. Además, estas 22 aplicaciones también recogían “la hora de la ubicación actual del dispositivo, así como la última ubicación conocida del mismo, lo que revela exactamente dónde se encuentra el niño, dónde estuvo antes y cuánto tiempo permaneció en cada lugar”.

Diez de estas aplicaciones estaban dirigidas directamente a los niños, como Minecraft: Education Edition, y recogieron los datos de localización de unos 52,1 millones de niños. Sólo cuatro aplicaciones desarrolladas directamente por los gobiernos indio, indonesio, iraní y turco recogieron los datos de localización de 29,5 millones de estudiantes.

De nuevo, también hay aplicaciones que no están destinadas a los niños pero que son recomendadas por los gobiernos, como la aplicación de videoconferencia Microsoft Teams (recomendada en Nueva Gales del Sur en Australia, Baviera en Alemania, la República de Corea, España, Taiwán, Inglaterra y Texas).

Algunas aplicaciones, 18 de 73, también obtenían el SSID del wi-fi, que es el nombre de la red a la que se conecta un teléfono móvil. Con estos datos, las empresas pueden encontrar la ubicación exacta de la red en cuestión. Entre las aplicaciones que utilizan esta técnica se encuentran gigantes digitales como Microsoft Teams, Cisco Webex, Zoom (recomendado en el estado de Nueva Gales del Sur en Australia, Camerún, Kazajistán, la República de Corea, Rumanía, California, Texas e Inglaterra), YouTube (recomendado en el estado de Uttar Pradesh en la India, Malasia, Nigeria e Inglaterra), WhatsApp (recomendado en el estado de Uttar Pradesh y Camerún), Telegram (recomendado en Nigeria) y Facebook (recomendado en Taiwán).

Para los sitios web, la cuestión de la localización es más delicada. Disponen de la dirección IP de cada visitante de forma casi automática, lo que da una indicación aproximada del lugar desde el que se conecta el visitante. Cuando estos datos se transmiten a las empresas AdTech, no está claro si los utilizan para localizar a los usuarios.

Sin embargo, el informe señala que “la mayoría de las empresas de AdTech que Human Rights Watch observó que recibían las direcciones IP de los niños, desde productos EdTech recomendados por el gobierno, ofrecían servicios de localización basados en las direcciones IP”.

La ONG señala como ejemplo el caso de la empresa francesa Criteo, uno de los líderes del sector. Afirma tener datos de “2.500 millones de usuarios únicos, el 98% de los cuales poseen identificadores permanentes”. Asegura que utiliza la geolocalización para “mostrar anuncios de productos disponibles en su zona geográfica”. HRW ha identificado siete sitios web educativos que transmiten direcciones IP de niños: dos en Brasil, dos en Japón, uno en Kazajistán, uno en Pakistán y uno en la República de Corea.

A preguntas de los investigadores de la ONG, Criteo confirmó que tiene tres de las direcciones IP para personalizar sus anuncios. La empresa también reconoció que tiene tres de los sitios web mencionados entre sus clientes, pero dijo que no trabaja con los otros cuatro. El informe señala que no indicó si ha recibido, o no, los datos recogidos de los niños.

Cuando Mediapart se puso en contacto con ella, Criteo emitió inicialmente un comunicado, en el que decía que había “cooperado plenamente con HRW en este informe respondiendo a todas sus preguntas”. En cuanto a la protección de los niños, la empresa ha afirmado que impone “altos estándares a sus socios, exigiéndoles contractualmente el cumplimiento de las Directrices de Publicidad de Criteo  y de las Directrices para Socios Proveedores, así como de las distintas normativas aplicables a la protección de datos personales, incluyendo el GDPR”.

Cuando se le preguntó sobre la destrucción de los datos eventualmente recabados de los niños y las medidas que se iban a tomar, Criteo completó su respuesta tras recibir una copia del informe de HRW. “Actualmente lo estamos evaluando con todas las partes interesadas”, respondió la empresa. “Seguimos investigando con todas las partes implicadas, ya que nos tomamos estas cuestiones muy en serio y tomaremos medidas rápidas para eliminar a cualquier socio o anunciante de nuestra red si infringe las directrices que hemos comunicado previamente”.

Vigilancia de las aulas virtuales

La vigilancia de los niños durante la pandemia llegó, en ocasiones, a las aulas virtuales. HRW también ha documentado los diversos rastreadores de anuncios que siguen la actividad de los visitantes en un sitio. “Al rastrear cada acción y comportamiento de una persona, los rastreadores de anuncios presuponen sus preferencias para dirigirles anuncios específicos y luego miden lo bien que el anuncio ha captado la atención de la persona y ha hecho que haga clic en él”, explica el informe.

“Human Rights Watch descubrió que los sitios web educativos para niños instalaban tantos rastreadores de anuncios como los sitios web más populares dirigidos a los adultos”, continuó. “De un total de 125 sitios web de EdTech, 113 sitios web (90%) colocaron rastreadores de anuncios de terceros en los dispositivos y navegadores utilizados por los niños. [...] Dicho de otro modo, los niños son tan susceptibles de ser vigilados en sus aulas virtuales como los adultos que compran en las mayores tiendas virtuales, si no más”.

Entre los casos más significativos, HRW cita el ejemplo del sitio coreano Education Boadcasting System (EBS), impuesto por el gobierno durante la contención y que incluía 24 rastreadores de anuncios, que enviaban datos a 15 empresas AdTech.

Seguimiento de los niños en internet

El informe también descubrió que los estudiantes podían ser rastreados fuera de sus aulas virtuales, durante sus otras actividades en internet, a través de las llamadas cookies, pequeños archivos instalados en el navegador de un usuario de internet para identificarlo. “Aunque no todas las cookies son rastreadoras”, se lee en el informe, “las cookies de terceros suelen ser utilizadas por empresas de publicidad o de rastreo para observar lo que la gente hace en línea, deducir sus características e intereses y ofrecer anuncios personalizados que luego los siguen por internet”.

HRW descubrió “que los sitios web educativos para niños insertaban tantas cookies de terceros en los dispositivos personales como los sitios para adultos más populares”. De un total de 125 sitios web de EdTech, Human Rights Watch detectó 67 sitios de EdTech con un total de 472 cookies de terceros”.

La ONG está preocupada por el impacto de esta publicidad dirigida a los niños. “El uso de la información personal de los niños para ofrecerles contenidos y anuncios que les siguen por internet desempeña un papel muy importante a la hora de configurar las experiencias de los niños y lo que ven en línea”, escribe. “Esto puede influir, alterar y manipular sus pensamientos y creencias, empujándolos hacia conclusiones específicas y afectando potencialmente a su capacidad de tomar decisiones independientes”.

Frente a estos peligros, “los gobiernos no han protegido el derecho de los niños a la educación”, denuncia el informe. “Con la excepción de un gobierno -Marruecos- todos los gobiernos examinados en este informe han adoptado al menos un producto de EdTech que pone en peligro o menoscaba los derechos de los niños”.

Algunos gobiernos incluso ponen en peligro directamente la privacidad de sus hijos a través de aplicaciones desarrolladas por las autoridades y que transmiten los datos a las empresas AdTech. El informe destaca una lista de 55 productos, entre ellos dos desarrollados por el gobierno francés. Los sitios web English for Schools y Deutsch für Schulen, ofrecidos por el Ministerio de Educación francés, incluyen dos cookies de terceros, una de Google Analytics, una herramienta de medición de la audiencia, y otra de doubleclick.net, una red publicitaria propiedad del gigante estadounidense.

Aparte de estos dos sitios, Francia se mantiene relativamente al margen del informe de HRW, en particular debido a una legislación más protectora que en algunos otros países. Sin embargo, hay que relativizar este aparente buen resultado. Para su encuesta, la ONG optó por presentar los resultados según las herramientas recomendadas oficialmente por los gobiernos. Sin embargo, muchas de las aplicaciones cuestionadas en el informe eran ampliamente utilizadas por los profesores franceses, sin ninguna recomendación oficial. Este fue el caso, por ejemplo, de las herramientas de videoconferencia como Zoom, WhatsApp o Minecraft: Education Edition.

Aplicar la legislación y responsabilizar a las empresas

“Las empresas tienen la responsabilidad de respetar los derechos de los niños, independientemente del lugar del mundo en el que operen y a través de sus operaciones”, concluye HRW. Por su parte, los gobiernos tienen la responsabilidad de “garantizar que las empresas incluyan estas responsabilidades. Tienen el deber de proteger a los niños y sus derechos y, por tanto, deben prevenir, controlar, investigar y castigar los abusos de las empresas contra los derechos de los niños”.

Para ello, el informe hace una serie de propuestas. Pide a los gobiernos que “lleven a cabo auditorías de los datos privados de EdTech adoptados para el aprendizaje de los niños durante la pandemia, retiren los que no superen estas auditorías y notifiquen y orienten inmediatamente a las escuelas, los profesores, los padres y los niños afectados para evitar que se sigan recopilando y malversando los datos de los niños”.

HRW también pide a los Estados que adopten “leyes de protección de datos específicas para los niños” y garanticen su cumplimiento. La ONG insta a las empresas a que dejen de recabar los datos de los niños y que pongan en marcha un sistema de etiquetas que facilite su identificación para poder excluirlos de la publicidad.

Para llegar a estas conclusiones, Hye Jung Han, investigadora de HRW que trabaja en los derechos de los niños y el impacto de la tecnología digital, analizó el código fuente de todos los sitios web y aplicaciones para identificar las herramientas de seguimiento, así como los datos que podrían transmitirse durante su uso.

Se basó en la experiencia de otros dos especialistas. Las aplicaciones para dispositivos móviles fueron analizadas por la investigadora francesa Esther Onfroy, cofundadora de la empresa de ciberseguridad Defensive Lab Agency y creadora de Exodus Privacy y Pithus, dos herramientas de análisis de aplicaciones para Android. Los sitios web fueron analizados por Surya Mattu, ingeniero y periodista de la asociación The Markup, cuyo objetivo es promover el periodismo de datos, y creador de Blacklight, una herramienta para detectar rastreadores en un sitio. 

Caja negra

“EdTech Exposed” es una investigación colaborativa independiente que ha tenido acceso anticipado al informe, los datos y las pruebas técnicas de Human Rights Watch sobre las presuntas violaciones de los derechos de los niños por parte de los gobiernos que aprobaron las tecnologías educativas durante la pandemia de covid-19.

El consorcio llevó a cabo varias semanas de investigación con más de 25 periodistas de 13 medios de comunicación de 16 países. Estuvo coordinada por The Signal Network, una organización sin ánimo de lucro que apoya a los denunciantes y ayuda a coordinar las investigaciones de los medios de comunicación internacionales sobre la mala conducta de las empresas y las violaciones de los derechos humanos. Human Rights Watch proporcionó apoyo financiero a The Signal Network para crear el consorcio, pero éste es independiente y actúa con independencia de Human Rights Watch.

Entre los medios de comunicación implicados se encuentran ABC (Australia), Chosun Ilbo (República de Corea), El Mundo (España), Folha de São Paolo (Brasil), The Globe and Mail (Canadá), Kyodo News (Japón), McClatchy/Miami Herald/Sacramento Bee/Fort Worth Star Telegram (Estados Unidos), Mediapart (Francia), Narasi TV (Indonesia), OCCRP (Camerún, Kenia, Nigeria, Sudáfrica y Zambia), The Daily Telegraph (Reino Unido), The Wire (India) y The Washington Post (Estados Unidos).

Estos medios asociados tienen una audiencia total de más de 185 millones de lectores en ocho idiomas.

La red construye realidades a medida de nuestras preferencias

El 8 de junio de 2022, Human Rights Watch hará públicos todos los datos y pruebas técnicas para invitar a expertos, periodistas y responsables políticos a recrear, probar y dialogar sobre sus conclusiones y métodos de investigación.

Traducción: Mariola Moreno

Leer el texto en francés:

article_1032162 by infoLibre on Scribd

Más sobre este tema
stats