Aclaraciones sobre la polémica de Avast y el supuesto adware que incorpora

25 de octubre de 2014

Un medio acusa a Avast de incorporar adware y salta la polémica.

Estos últimos días han sido movidos en cuanto a lo que respecta a nuestro antivirus. Un artículo aparecido hace 3 días en el medio Howtogeek acusaba directamente a Avast de instalar un complemento de navegador (Online Security) que incluía un módulo "espía", llamado SafePrice y destinado a ayudar al usuario a encontrar los mejores precios para los productos que podía estar interesado en comprar. Esta noticia se replicaba rápidamente, dado que Avast es el antivirus con más usuarios en todo el mundo, en varios medios de reconocido prestigio como Muycomputer, Genbeta, Fayerwayer, NeoTeo y otros.

Qué es Safeprice y cómo funcionaba.

Básicamente, el módulo lo que hacía era detectar cuando estábamos mirando un producto posiblemente para ser comprado (pongamos por ejemplo un móvil nuevo) y buscaba este producto en otras webs de confianza que lo tuvieran más barato, apareciendo un banner que así lo indicaba.

avast-SafePrice-2

Aquí podemos ver un vídeo del canal oficial de Avast donde se explica dicho funcionamiento:

Por tanto, en princpio se trata de un elemento que puede proporcionar ventajas significativas a los consumidores al permitirles ahorrar en sus compras de manera bastante fácil. De hecho, son muchos los clientes satisfechos con este módulo como podemos leer en las opiniones de la extensión de Chrome, y además no es el único que existe en el mercado con este fin. En este artículo del blog oficial de Avast se explicaba el funcionamiento de los datos recolectados. Sin embargo, el "pecado" de Avast fue activarlo por defecto en su extensa red de usuarios en todo el mundo.

Entonces saltaron las alarmas ya que numerosas webs acusaron a Avast de incorporar adware por defecto en sus productos (algunas bastante agresivas, como podemos ver aquí y aquí), aunque dicho módulo era fácilmente desactivable vía las opciones de Online Security. Esto ocurría ya hace unos meses.

Finalmente, Avast decidió eliminar SafePrice de su complemento Online Security de manera predeterminada (como podemos leer en este comunicado) y lo ofrece desde entonces como un módulo aparte que se puede descargar específicamente desde el repositorio de extensiones de Chrome.

Entonces, ¿por qué ha venido la polémica?

La chispa saltó hace unos pocos días cuando el medio Howtogeek, mencionado al principio de este post, sacaba un artículo en el que se pretendía demostrar que Avast había espiado a sus usuarios con dicho módulo SafePrice. En resumen, en dicho escrito se decía que se enviaba cada página que el usuario visitaba a los servidores de Avast, junto con un identificador único que representa a cada petición. Utilizando esta variable, podría reconstruirse el historial de un usuario, vulnerando gravemente su privacidad.

650_1000_650x488xscreenshot_10_21_14__10_33_pm.png.pagespeed.ic.0gx5xfxp8u

Como es lógico, este artículo ha resultado ser una bomba cuyo ratio de expansión ha sido de lo más notable, teniendo repercusión en numerosísimos medios de todo el mundo y generando un montón de debates alrededor del tema, principalmente sobre los productos gratuitos y su financiación. Así que, seguidamente, os reproducimos las declaraciones hechas por el Director de Operaciones de Avast, y su Presidente, en las que como veréis se pone bastante luz sobre este asunto.

Comunicado de Ondřej Vlček, Director Técnico y Director de Operaciones de Avast.

"Hace unos días, howtogeek.com publicó un artículo acerca de Avast y nos acusó directamente de espiar a nuestros usuarios. Dado que dicho escrito contiene una serie de inexactitudes, creo que es necesario realizar unas aclaraciones. Son duras las acusaciones que nos apuntan, por lo que espero que mis palabras tengan cierto reflejo en su página web con el objetivo de darnos la oportunidad de defendernos. Hemos pedido la oportunidad de discutir con el autor sus investigaciones, pero esta persona ha rechazado dicha invitación.

El artículo básicamente dice que Avast usó el módulo SafePrice para espiar a nuestros usuarios y que la extensión SafePrice (que ellos califican como "adware") recolecta todas las URL que el usuario visita, y que esta información es enviada a nuestra nube de datos junto con un ID de usuario. Para demostrar el problema, usaron Fiddler (un monitor gratuito de navegador) para diseccionar las peticiones que son generadas por SafePrice y encontraron un ID de usuario en algunas de ellas, concluyendo por tanto que el producto está "espiando". Finalmente, comentaban que todo esta era cierto hasta hace una semana, ya que SafePrice era ahora una extensión aparte (en otras palabras, la quitamos de Online Security).

Dejadme empezar diciendo que estas extensiones de navegador de avast, junto con otros módulos presentes en nuestros productos, se basan intensamente en la funcionalidad que da la nube. Es decir, en el caso particular que estamos comentando, hablamos de los análisis de URL que el usuario visita junto con otros metadatos adicionales, los cuales son enviados a la nube de Avast donde se realizan los procesos necesarios y se devuelve la respuesta al producto. Al escanear las URL en la nube, Avast es capaz de detectar actividad maliciosa por parte de virus y malware, phishing y hacking. En realidad, y aunque muchos no lo crean, la recolecta de esta información respecto a las URL para estos propósitos es algo extremadamente común en la industria de seguridad informática, ya que toda esta información es imprescindible para poder proveer de nuestro servicio de protección.

Pasemos ahora a SafePrice. Este módulo busca en la web y ofrece a sus usuarios el mejor precio posible cuando están comprando online en páginas en las que confiamos, salvaguardando de posibles engaños (scams). Mientras que el método normal consiste en que el usuario tiene que hacer búsquedas por su parte o usar portales dedicados a la comparación de precios, SafePrice lo que hace es automatizar todo este proceso para encontrar las mejores y más confiables ofertas. Avast SafePrice envía datos a nuestros servidores referentes a los productos que el usuario está buscando y las URL que éste está visitando. Toda la información que permitiría identificar al usuario es eliminada en tiempo real, por lo que los datos de compras online son completamente anónimos. Repito, no creo que todo esto pueda resultar una sorpresa para nadie... y me refiero a lo siguiente: ¿alguien puede pensar que SafePrice puede tener todos los IDs de producto y las ofertas almacenadas de manera local en el PC del usuario? Esto no tiene ningún sentido.

Originalmente, SafePrice fue parte de la extensión principal de navegador de Avast (como el artículo comenta). Sin embargo, como mucha gente sabe, en Julio de 2014 cambiamos la estrategia y lo movimos a una extensión independiente y diferenciada. Por tanto, desde entonces la instalación de esta extensión es totalmente voluntaria y su presencia no interfiere para nada la capacidad de Avast de bloquear URL maliciosas. Desde que hicimos esta escisión, SafePrice lleva acumuladas unas 3 millones de instalaciones sólo desde la Chrome Web Storage y se ha convertido en la extensión más popular de compras online en dicha web.

Sin embargo, otra acusación es que Avast fuerza SafePrice mientras recomienda que los usuarios quiten otras extensiones similares a través de nuestra herramienta Avast Browser Cleanup (limpieza de navegador). Yo mismo he analizado nuestra base de datos concerniente a esta herramienta, basada en opiniones de la comunidad, y he encontrado que las más conocidas extensiones de compras online (incluyendo PriceBlink, InvisibeHand, Shoptimate y Groupon) tienen buenos ratios de puntuación por parte de dicha comunidad y por tanto Browser Cleanup no recomienda su desinstalación. Sólo aconsejamos quitar aquellas que nuestros usuarios puntúan como malas.

Uno de los otros asuntos mencionados en el artículo es que si el ID de usuario es PII (información personal identificable) o no, y por qué es transferido a nuestros servidores. El ID de usuario de Avast es un código aleatorio que se crea durante la instalación del producto. Por tanto, por sí mismo, no es información personal identificable. La razón por la que incluimos este ID es porque el contexto es muy importante. La eficacia de los productos de seguridad puede bajar si las peticiones se realizan sin analizar el contexto. En el caso de SafePrice, usamos la ID para contar nuestros usuarios activos. En general no creemos que esto sea algo malo, de hecho, si así fuera, lo normal sería que ocultáramos este hecho de alguna forma. Sin embargo, el autor del artículo hizo su descubrimiento de manera facilísima usando Fiddler, el ID de usuario está ahí como un campo típico. Lo que me hace estar más frustrado es que si hubiéramos tenido malas intenciones y por tanto dicho campo estuviera más oculto, el artículo muy probablemente no habría existido. Por tanto, creo que queda bastante claro que no queríamos ocultar nada.

La clave no es sólo qué información es recolectada, sino también que se hace con dicha información y cómo el usuario es informado acerca del proceso de recolección. Avast tiene como objetivo proteger a sus usuarios desde todos los frentes, y es por esto que informamos a nuestros usuarios (incluso más allá del EULA y la Política de Privacidad) de que su información de navegación va a ser recogida pero limpiada de cualquier información personal que pueda identificarle, y que todo esto se hace para mejorar nuestros servicios, entre ellos la seguridad en la navegación. Intentamos hacerlo de manera muy muy explícita, y es por eso que podéis ver esta imagen durante la instalación de Avast.

avast-politica-de-privacidad

Como podéis ver, el título de esa ventana es "Por favor, no pases de esto - Léelo cuidadosamente". Honestamente, no sé cómo se podría hacer de manera más explícita que esta".

Comunicado de Vince Steckler, Presidente de Avast.

"Por favor, no crucifiquemos a Howtogeek. Sus intenciones eran buenas y su artículo es, en algunas apartados, correcto. El problema es que dibuja un escenario nefasto cuando la explicación es mucho más inocente. Después de que el artículo saliera a la luz, hemos solicitado una llamada con su autor, tanto yo como Ondrej, para poder entender mejor su análisis, dialogar sobre él, etc. Inicialmente, el autor accedió e incluso se fijó fecha para el encuentro.

Unas horas después, nos llegó un e-mail por su parte cancelándolo. Este es su mensaje: "Después de ulteriores consideraciones, creo que tiene muy poco valor que pueda tener una charla ahora mismo con el CEO y el COO de Avast. El artículo fue escrito basado enteramente en una investigación y análisis documentado. El único objetivo de How-To-Geek es dar información que ayude a los usuarios. Avast es libre de publicar cualquier comunicado respecto a sus productos o responder a nuestro artículo".

El punto en el que dicho autor se ha quejado es que no hemos dicho que él nos invitó a realizar una declaración pública. Como podéis ver, así lo hizo. Sin embargo, lo que encuentro totalmente inusual es que él crea que nosotros necesitábamos su permiso para hacer una declaración pública, cosa que hemos hecho a través de Ondrej.

Como compañía, intentamos hacer lo mejor posible para nuestros usuarios. ¿Podríamos hacerlo mejor? Sin duda, y es por eso que constantemente estamos realizando cambios en lo que hacemos. El hecho indiscutible es que todos los que proveemos de productos gratuitos necesitamos monetizarlos de alguna forma, y por tanto probamos diferentes iniciativas al respecto. Unas funcionan, y otras no. Pero en todos los casos, nos aseguramos de que no se abusa de nuestros usuarios y sus datos. Nos hemos mantenido alejados de ciertas maneras de publicidad que muchos de nuestros competidores sí realizan de manera intensiva, por ejemplo a través de toolbars.

Howtogeek seguro que también se mantiene a base de publicidad. Hasta donde yo veo, su sistema incluye técnicas de targeting y retargeting. Cuando visito su página web, veo anuncios de Bitdefender y AVG, e incluso el anuncio de un producto/servicio de limpieza de PC que tiene pinta de ser scam, y además un gran banner de Norton. Estos anuncios probablemente están basados en el artículo mostrado, que habla sobre antivirus. Pero también veo anuncios de vuelos a Argentina y de OpenTable. Estos provienen de retargeting, ya que ayer mismo estaba buscando información sobre dichos vuelos ya que vamos a viajar allí por el lanzamiento de la gama 2015, y también estuve realizando también ciertas reservas de cenas en OpenTable para mí y mi esposa. Seguramente estas publicidades fueron servidas por las redes publicitarias de Google y seguramente Howtogeek tiene pocas o nulas capacidades de modificarlas, pero muchos piensan que la publicidad basada en retargeting viola la privacidad del usuario (ya que éste no recibe notificación alguna de que su comportamiento anterior mientras navegaba sería examinado para darle anuncios relativos a dichos hábitos), sin mencionar que la publicidad de productos engañosos en webs confiables como la suya da a estos scams un aura de credibilidad.

Pero hablando de SafePrice... ¿es perfecto? Por supuesto que no. ¿Estamos ocultando algo? En absoluto. ¿Lo vamos a mejorar? Sin duda. En todo lo que hacemos, siempre estamos abiertos a sugerencias y no abusaremos de la confianza de nuestros usuarios".

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram