El dilema del píxel espía: cuando usar sistemas de seguimiento de correos electrónicos es ilegal

En la era de la mensajería instantánea y el doble tic azul, saber que nuestros mensajes llegan y poder comprobar que han sido leídos parece un derecho universal. No son nuevas las herramientas que permiten agregar esta función al correo electrónico. De hecho, monitorizar estos envíos es fundamental para evaluar los resultados de las campañas de marketing que se hacen a través de este medio y es una funcionalidad habilitada por defecto en plataformas como Mailchimp, diseñadas para gestionar la remisión masiva de mensajes promocionales o boletines. Basta la inserción lo que se conoce como píxel espía o baliza web para acceder a distintos datos personales del receptor del mensaje, y, si no cumple los requisitos necesarios, cruzar la línea de la legalidad. “Que esté generalizado en la práctica no implica en ningún caso que sea posible o que se admita desde el punto de vista legal”, advierte Andrés Ruiz, Andrés Ruiz, abogado especializado en tecnología en Ramón y Cajal Abogados.

Estos píxeles son en realidad una imagen que se inserta en el correo como un cuadrado blanco, diminuto e invisible o bien como uno de sus elementos visibles: el encabezado, la firma o cualquier decoración. Cuando se abre el mensaje, el proceso de carga envía una llamada al servidor del remitente para descargar ese archivo. “Esa comunicación automática dice muchas cosas”, señala José Rossell, socio fundador de la empresa de ciberseguridad S2 Grupo. El intercambio, explica, permite obtener datos como el número de veces que se ha abierto el mensaje, las horas de apertura, el navegador empleado, el dispositivo, su dirección IP —identificador— y, a partir de esta última, una ubicación aproximada del receptor. De acuerdo con un estudio realizado por la el cliente de correo electrónico Hey para la BBC, dos tercios de los mensajes que se envían en la plataforma contienen un píxel espía, sin contar siquiera aquellos que se desvían a la carpeta de correo no deseado.

Según explica Ruiz, es posible utilizar rastreadores sin infringir la ley cuando quien los inserta en sus comunicaciones tiene una base legal para hacerlo, pero, dada la infinidad de contextos en que pueden emplearse estas tecnologías, es difícil delimitar cuáles son las exigencias sin estudiar en profundidad cada caso. “Lo primero es analizar desde el punto de vista técnico qué hace la herramienta”, señala. No es lo mismo registrar únicamente las aperturas que extraer toda la información disponible de cada correo abierto, y tampoco es comparable recopilar toda esa información como datos agregados o estructurarla en una base de datos con perfiles complejos de cada usuario.

En función de la cantidad de información recopilada y el tratamiento que se hace de esta se determinan las medidas necesarias para garantizar que el seguimiento se hace legalmente. Desde el punto de vista de Ruiz, siempre se deberá comunicar al receptor que se están rastreando los envíos que recibe. “En caso de existir tratamiento de sus datos, si no se facilita al usuario información, la compañía puede ser sancionada”, precisa. En cuanto a la necesidad de consentimiento, explica que depende del contexto: si el usuario está correctamente informado y la entidad que hace el seguimiento puede justificar su interés legítimo en recurrir a este, puede ser prescindible. “Si simplemente identifico que un usuario de mi base de suscriptores ha abierto un mail, podría entenderse incluso que la empresa tiene interés legítimo en tanto que lo hace como parte de sus servicios, pero se debe tener cuidado con ampliar estas finalidades”, señala. La línea roja está en el exceso. “Si lo que hago es perfiles muy ajustados de los usuarios y sobre la base de eso creo campañas de marketing específicas, excedería casi con toda seguridad del interés legítimo y sí debería tener un consentimiento, u otra base legal que lo justifique”.

El aviso a navegantes se vuelve aún más necesario dada la invisibilidad de estos rastreadores, que hace prácticamente imposible advertir su presencia en los correos recibidos a menos que su código tenga etiquetas sospechosas o que se empleen herramientas externas para identificarlos, como las extensiones Ugly Email y Pixel Block, diseñadas para Gmail. “Para reducir la efectividad de los píxeles, tenemos que establecer ajustes del navegador y del correo que sean mucho más restrictivos”, explica Hervé Lambert responsable de operaciones globales de consumidores de Panda Security. En este contexto, la mejor manera de sortear esta vigilancia es deshabilitar la descarga automática de imágenes para frenar esa reveladora llamada al servidor o recurrir a clientes de correo que por defecto bloqueen estos intentos.

Territorio libre de píxeles

“Nunca hemos admitido rastreo de píxeles y nunca lo haremos. Está fuera de discusión”, asegura Hanna Bozakov, portavoz de la plataforma de correo electrónico cifrado Tutanota. En esta compañía de origen alemán consideran que permitir la libre circulación de estas balizas sería “una violación de la privacidad” de quienes recurren a sus servicios, que además en muchos casos no son conscientes de que están siendo rastreados. “Recibimos boletines, correos comerciales y hacemos clic en ellos sin pensar en lo que está pasando en la trastienda. El coste de esto es que los propios usuarios filtran información que probablemente no quieren facilitar”, razona Bozakov.

Desde ProtonMail, otra plataforma que se precia de garantizar la privacidad de quienes usan su servicio de correo, adoptan la misma postura ante el uso de píxeles. “Consideramos que su uso es muy poco ético”, señalan. Advierten además que incluso cuando media consentimiento, igual que ocurre con las cookies cuya vigilancia aceptamos al navegar por internet, los usuarios no son plenamente conscientes del modo en que están siendo rastreados. “En ProtonMail bloqueamos en uso de rastreadores y contenido de terceros por defecto, para asegurar que nuestros usuarios no son monitorizados sin saberlo”.

Más allá del marketing

Estas tecnologías siguen admitiéndose sin embargo en plataformas de uso masivo, como Gmail de Google o Outlook de Microsoft, aunque han ido apareciendo ciertos frenos, como el bloqueo por defecto de las descargas en correos que llegan a la carpeta de correo no deseado. ¿Es necesario vivir en la constante paranoia de estar siendo espiados? Depende. El riesgo de que nuestra marca de calzado de cabecera nos conozca bien dista mucho de los peligros que supone que quienes usan estos píxeles sean ciberdelincuentes. Para quienes afinan sus ataques sobre la base del conocimiento que tienen de sus víctimas, datos como el tipo de dispositivo o navegadores empleados pueden marcar la diferencia entre el éxito y el fracaso. “Les viene muy bien, les ayuda a mejorar sus ciberataques y hacerlos aún más dirigidos. Saben cuáles son los navegadores más comunes y eso es superinteresante porque si quiero inyectar algún proceso malo en alguna extensión de navegador, lo voy a hacer en A antes que en C”, explica Lambert.

Además, los perfiles completos del comportamiento de los usuarios junto con sus direcciones de correo electrónico conforman un botín apetecible para la venta a terceros. “No cero que el valor de esos datos sea muy alto, pero si lo multiplicas por millones, al final es dinero”, razona el experto. Para evitar dolores de cabeza, lo mejor es recurrir a las reglas de oro de la ciberseguridad: no abrir correos de remitentes desconocidos o que no se esperaba recibir, y mantener los dispositivos actualizados para evitar que los atacantes puedan explotar posibles vulnerabilidades.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.