Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

Este estudio revela que, aunque los rastreadores de Google son más prevalentes, los de Meta se configuran con mayor frecuencia para recopilar datos personales de formularios web, a menudo mediante interfaces y documentación que promueven prácticas que violan sus propias políticas de privacidad.

Lo esencial

Imagina que internet es como una gran ciudad llena de tiendas (páginas web). Para que estas tiendas puedan mostrarte publicidad personalizada, necesitan saber quién eres, qué te gusta y qué compras. Aquí es donde entran los "rastreadores" (como el Meta Pixel de Facebook/Meta y el Google Tag de Google).

Esta investigación es como un informe de detectives que revela cómo estas tiendas instalan cámaras de vigilancia y, lo más importante, cómo les piden a los dueños de las tiendas que las configuren.

Aquí tienes los puntos clave explicados de forma sencilla:

1. El problema: No todos los rastreadores son iguales

Antes, los investigadores pensaban que un rastreador estaba "instalado" o "no estaba". Pero este estudio descubre que la instalación es solo el primer paso. El verdadero problema es cómo se configura.

• La analogía: Imagina que compras una cámara de seguridad para tu casa.
  • Opción A (Google): La cámara viene con un manual complejo y, por defecto, está apagada. Tienes que leer mucho y buscar un interruptor específico para activar la grabación de nombres y teléfonos.
  • Opción B (Meta): La cámara viene con un manual que dice: "¡Activa esto para tener la mejor experiencia!". Al encenderla, por defecto ya está grabando todo: tu nombre, tu teléfono, tu dirección y tu correo, sin que tengas que hacer nada extra.

2. Las trampas en las instrucciones (Los "Patrones Oscuros")

Los autores analizaron los manuales y las pantallas de configuración de Google y Meta y encontraron trucos psicológicos:

• El "Menú por defecto" más invasivo: Meta configura su rastreador para que recolecte todo automáticamente. Es como si al pedir una pizza, el restaurante te dijera: "Por defecto, te traemos la pizza con todos los ingredientes, incluyendo anchoas, queso extra y piña. Si no quieres eso, tienes que tachar cada ingrediente en la lista". La mayoría de la gente no tacha nada y acepta todo.
• La mentira del "Hashing" (Encriptación): Ambas empresas dicen: "No te preocupes, los datos se envían encriptados (hashing), así que es privado".
  • La realidad: Es como enviar una carta en un sobre transparente con un código de barras. Dicen que es seguro porque nadie puede leer el contenido a simple vista, pero ellos (Google y Meta) tienen la llave para descifrarlo y saber exactamente quién eres. De hecho, la FTC (la policía de consumo de EE. UU.) ha dicho varias veces que esto no es privado.
• El miedo a perderse algo: Los manuales usan lenguaje como: "Si no activas esto, perderás oportunidades de vender más". Esto presiona a los dueños de las webs para que activen la recolección de datos por miedo a perder dinero.

3. Lo que encontraron en la calle (Los datos reales)

Los investigadores visitaron más de 40,000 sitios web (incluyendo hospitales, bancos y tiendas de salud) para ver qué estaba pasando realmente.

• Google vs. Meta:
  • Google está instalado en más sitios (72%), pero raramente está configurado para robar datos de formularios (solo el 11%).
  • Meta está en menos sitios (28%), pero casi siempre (62%) está configurado para recolectar nombres, correos y teléfonos.
• El caso de los sitios sensibles:
  • Tanto Google como Meta tienen una regla: "Si tu web es de salud o finanzas, no puedes recolectar datos personales".
  • El problema: La web tiene que decir ella misma que es de salud o finanzas. Es como si un banco tuviera que firmar un papel diciendo "Somos un banco, no robamos datos".
  • La realidad: El estudio encontró muchos sitios de salud y finanzas (como clínicas de rehabilitación o bancos) que, o bien mintieron sobre su categoría, o simplemente no configuraron bien el rastreador, y están enviando datos sensibles (nombres de pacientes, ingresos, etc.) a Meta y Google.

4. ¿Qué tipo de datos roban?

Cuando los rastreadores de Meta están configurados para recolectar datos, suelen pedir:

• Correo electrónico (99.5% de los casos).
• Nombre completo (93.7%).
• Número de teléfono (93.5%).

Esto permite a las empresas de publicidad unir tu vida online con tu identidad real, creando un perfil tan detallado que saben quién eres antes de que tú les des tu nombre.

Conclusión: ¿Qué podemos hacer?

El estudio nos dice que el problema no es solo la tecnología, sino cómo se enseña a usarla.

• Para los dueños de webs: Deben ser más cuidadosos. No confíen ciegamente en los botones "recomendados" por defecto. Tienen que leer el manual y desactivar la recolección automática si manejan datos sensibles.
• Para nosotros (los usuarios): Es difícil protegerse, pero herramientas como los bloqueadores de anuncios pueden ayudar. Sin embargo, la solución real requiere que las empresas (Google/Meta) cambien sus diseños para que la privacidad sea la opción fácil, no la difícil, y que las leyes se apliquen con más fuerza.

En resumen: Meta y Google han diseñado sus herramientas para que sea muy fácil y "recomendado" espiar a los usuarios, y muy difícil dejar de hacerlo. Y lamentablemente, muchos sitios web, incluso los que deberían proteger nuestra salud y dinero, están cayendo en esa trampa.

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo "Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection" en español:

Título: Las instalaciones de rastreadores no son iguales: Comprensión de la configuración de la recopilación de datos de formularios.

1. El Problema

La publicidad dirigida se basa en el rastreo exhaustivo de la actividad en línea de los usuarios. Las grandes empresas publicitarias, como Google y Meta, no solo incentivan la instalación de scripts de rastreo en sitios web, sino que también alientan a los administradores a configurarlos para recopilar automáticamente Información de Identificación Personal (PII) (como correos electrónicos, nombres y números de teléfono) a partir de formularios web.

El problema central identificado es que las instalaciones de rastreadores no son binarias (instalado/no instalado); su configuración determina si se extrae PII. A pesar de las regulaciones federales en EE. UU. (como HIPAA para salud y GLBA para finanzas) y las políticas de las propias empresas, existe una falta de comprensión sobre:

• Cómo se presentan estas opciones de configuración en la documentación y las interfaces de usuario.
• Con qué frecuencia se habilita realmente la extracción de datos de formularios en la práctica.
• Si los administradores de sitios web en sectores sensibles (salud y finanzas) están configurando incorrectamente estos rastreadores, violando leyes y políticas.

2. Metodología

Los autores emplearon un enfoque mixto cualitativo y cuantitativo:

• Análisis Cualitativo (Documentación e Interfaz):

  • Se revisaron 17 páginas de documentación de Meta y 60 de Google, junto con sus interfaces de configuración.
  • Se creó un "código" (codebook) para identificar patrones de diseño engañosos (dark patterns), como:
    • Riesgos ocultos: Ocultar implicaciones de privacidad.
    • Valores predeterminados menos privados: Configuraciones por defecto que maximizan la recolección de datos.
    • Recomendaciones menos privadas: Instrucciones que sugieren activar la recolección para "mejores resultados".
    • Lenguaje contradictorio: Afirmaciones sobre privacidad (ej. hashing) que contradicen la realidad técnica o las advertencias de la FTC.
  • Se realizó ingeniería inversa en un sitio de prueba para entender cómo la configuración del UI se traduce en el código JavaScript y el tráfico de red.

• Estudio de Medición a Gran Escala:

  • Muestra: 40,150 sitios web (incluyendo 3,406 de salud y 1,633 de finanzas), seleccionados de la lista Tranco de los sitios más populares.
  • Proceso de Recolección:
    1. Se utilizaron máquinas virtuales en Google Cloud (EE. UU.) para visitar los sitios.
    2. Inyección de Formularios: Se inyectó un formulario HTML con datos PII ficticios (placeholders) en cada página y se envió para activar eventos de recolección.
    3. Captura de Datos: Se descargaron todos los archivos JavaScript y el tráfico de red (HAR) para detectar si los rastreadores (Meta Pixel y Google Tag) enviaban los datos hasheados a los servidores de Meta o Google.
    4. Análisis Estático y Dinámico: Se analizó el código de configuración de Meta Pixel para ver qué campos estaban seleccionados y se verificó el tráfico de red para confirmar la recolección.
  • Validación: Se realizaron validaciones manuales para estimar falsos negativos (sitios que no se detectaron automáticamente) y se probó el impacto de aceptar/rechazar cookies.

3. Contribuciones Clave

1. Metodología de Análisis: Creación de un pipeline para analizar cualitativamente la documentación de configuración de rastreadores y medir a gran escala las configuraciones reales de sitios web.
2. Exposición de Prácticas Engañosas: Revelación de cómo Google y Meta recomiendan la recolección automática de PII y promueven el "hashing" como método de privacidad, a pesar de que la FTC y la comunidad de investigación han demostrado repetidamente que el hashing no anonimiza los datos adecuadamente.
3. Disparidad en la Configuración: Demostración de que los sitios web configuran Meta Pixel para recolectar datos de formularios con mucha más frecuencia que Google Tag.
4. Identificación de Violaciones: Detección de sitios específicos de salud y finanzas que tienen rastreadores configurados para recolectar PII, violando las políticas de las plataformas y las leyes de EE. UU.

4. Resultados Principales

• Prevalencia de Instalación:

  • Google Tag está presente en el 72.6% de los sitios web.
  • Meta Pixel está presente en el 28.2% de los sitios web.

• Configuración de Recolección de Datos (FDC):

  • Meta Pixel: De los sitios que tienen Meta Pixel, el 62.3% está configurado para recolectar datos de formularios.
  • Google Tag: De los sitios que tienen Google Tag, solo el 11.6% está configurado para recolectar datos de formularios.
  • Correlación: La presencia de Meta Pixel aumenta significativamente la probabilidad de que un sitio también configure Google Tag para recolectar datos.

• Impacto de la Interfaz y Documentación:

  • Meta: Su flujo de configuración básico incluye un paso explícito que guía al administrador a activar la recolección automática. Por defecto, selecciona todos los 11 campos de PII soportados (correo, nombre, teléfono, etc.). El 93.5% de los sitios que activan esta función recolectan números de teléfono, y el 99.5% correos electrónicos.
  • Google: Su flujo es más complejo y no incluye una pregunta explícita para activar la recolección de formularios en la configuración inicial (está desactivada por defecto), lo que explica su menor tasa de activación.

• Sitios Sensibles (Salud y Finanzas):

  • Aunque Meta y Google tienen restricciones técnicas para sitios clasificados como "Salud" o "Finanzas", estas dependen de la declaración del propio administrador.
  • Resultados: En sitios no sensibles, el 68% de los Meta Pixel recolectan datos. En sitios de salud, solo el 30.8% lo hace, y en finanzas, el 20.3%.
  • Violaciones: A pesar de las restricciones, los autores identificaron sitios de rehabilitación de drogas, bancos y servicios financieros que sí tienen configurada la recolección de PII, sugiriendo una clasificación incorrecta de la vertical o una elusión de las políticas.

• Tipos de PII Recopilados:

  • Los campos más comúnmente configurados (tanto por defecto como personalizados) son: Correo electrónico (99.5%), Nombres completos (93.7%) y Números de teléfono (93.5%).

5. Significado e Implicaciones

• Privacidad del Usuario: La configuración predeterminada y las interfaces de usuario de las grandes plataformas de publicidad actúan como barreras para la privacidad, empujando a los administradores (a menudo sin expertise técnico o legal) hacia configuraciones que maximizan la recolección de datos.
• Cumplimiento Legal: Existe un riesgo significativo de violación de regulaciones como HIPAA y GLBA debido a la facilidad con la que se puede configurar la fuga de datos sensibles a terceros.
• Ineficacia del Hashing: El estudio refuerza la postura de que el hashing no es un método de privacidad suficiente, ya que permite a las plataformas vincular los datos recolectados con perfiles existentes.
• Recomendaciones:
  • Se necesitan mejores interfaces y documentación que expliquen claramente los riesgos de privacidad.
  • Las regulaciones deben exigir métodos de protección de datos más robustos que el hashing.
  • Los administradores de sitios web deben ser más vigilantes al configurar rastreadores, especialmente en sectores sensibles.
  • Se desarrolló una extensión de Chrome (prueba de concepto) para alertar a los usuarios sobre qué campos de PII se enviarán antes de llenar un formulario.

En resumen, el estudio demuestra que la arquitectura de configuración de los rastreadores modernos no es neutral; está diseñada para facilitar la extracción de datos personales, creando un riesgo sistémico para la privacidad, especialmente en industrias reguladas.