Facebook sabe tanto de sus gustos que puede mostrarle un anuncio solo a usted
La nanosegmentación surge de un experimento único hecho en la plataforma por investigadores españoles. Expertos en privacidad lo ven como un peligro inaudito
Facebook clasifica a los usuarios por sus intereses. Si una empresa quiere poner anuncios a alguien a quien le gusten las motos, sea vegano, beba cerveza y veranee en playas, Facebook se lo permite. Ahora una nueva investigación acaba de demostrar que esos intereses pueden ir agregándose hasta que la audiencia final de un anuncio es un único usuario. Un grupo de académicos españoles ha comprobado por primera vez cómo de sencillo y barato es lograr reducir hasta el mínimo la audiencia potencial. Así pueden convertir una herramie...
Regístrate gratis para seguir leyendo
Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
Facebook clasifica a los usuarios por sus intereses. Si una empresa quiere poner anuncios a alguien a quien le gusten las motos, sea vegano, beba cerveza y veranee en playas, Facebook se lo permite. Ahora una nueva investigación acaba de demostrar que esos intereses pueden ir agregándose hasta que la audiencia final de un anuncio es un único usuario. Un grupo de académicos españoles ha comprobado por primera vez cómo de sencillo y barato es lograr reducir hasta el mínimo la audiencia potencial. Así pueden convertir una herramienta de publicidad en una pesadilla de privacidad.
Otros estudios ya habían demostrado que un grupo pequeño de actividades cotidianas (localización, compras con tarjeta) puede identificar a una sola persona. Los intereses en Facebook también lo permiten: con solo 4 intereses raros o 22 generales puede mandarse un anuncio a una sola persona de entre los más de 2.000 millones de usuarios de Facebook en el mundo. Los intereses raros incluyen por ejemplo ser aficionado al club de fútbol Puerta Bonita del barrio madrileño de Carabanchel o a un grupo musical menor de los 90 y uno genérico es el Real Madrid, el café o la comida italiana.
La novedad de este estudio es la facilidad con la puede mandarse un anuncio a un individuo específico. ”No me sorprendió mucho el número de intereses necesarios para identificar a un usuario”, dice David García, profesor de la Universidad Tecnológica de Graz. ”Lo que me sorprendió mucho es que pudiéramos hacer una campaña para un individuo solamente. Yo esperaba que Facebook tuviera un montón de controles, pero la verdad es que fue demasiado fácil”, añade.
Expertos en privacidad han leído asustados los resultados de la investigación. Tampoco creían que fuera posible alcanzar grupos tan pequeños de usuarios. ”Es uno de los diez artículos científicos sobre privacidad más importantes de la década hasta ahora”, dice Lukasz Olejnik, investigador y consultor independiente sobre privacidad. Facebook permitía la microsegmentación al definir mucho las audiencias. Este experimento prueba que también permite la nanosegmentación y reducir las audiencias al mínimo. ”Mi sorpresa se debe a que no creía que este tipo de segmentación fuera ya posible: creía que la audiencia mínima sería mayor de uno, y que se limitara”, añade Olejnik.
¿Qué peligros tiene esto? La imaginación puede volar. En el artículo citan un caso de un señor que le mandó mensajes a su pareja hace una década, pero igual podría ocurrir en mensajes de ese tipo no deseados y donde la comunicación por otras vías está cortada o bloqueada. Ángel Cuevas, investigador de la Universidad Carlos III de Madrid y también coautor del artículo, pone este ejemplo. ”Si tengo un cliente que quizá piensa en cambiarse de proveedor, ahora puedo a través de Facebook mandarle una serie de mensajes poniendo en mal lugar a la competencia”, dice. ”Son cosas más quirúrgicas y no tienen necesariamente que invadir la privacidad. Puede servir para hacer chantaje con un anuncio de Facebook en lugar de phishing, y decir te tengo grabado viendo porno y vives en tal sitio’. Ver eso en Facebook sería chocante”, añade.
La política es otro de los candidatos obvios, donde pueden activarse audiencias mínimas con mensajes más dirigidos, según Olejnik. ”Podría ir desde publicidad política a desinformación a hackeo, desde algo inocente a ciberguerras”, añade. El problema posible es las ideas que se pueden ocurrir a gente dedicada a estos asuntos. ”Una cosa es segura”, dice Olejnik”. La gente con conocimiento de cómo superar el tamaño mínimo de audiencias tendrá un conocimiento realmente valioso. Harán consultas por mucho dinero”. Los autores son por ahora escépticos pero ya han hecho alguna conferencia con grandes empresas de EE UU y departamentos de IA.
El fantasma a pequeña escala de algo parecido a Cambridge Analytica también flota. “Desde aquel escándalo donde aparentemente se empleó perfilado psicológico para manipular, nos lo creamos o no, hay un sector del mundo de la privacidad y marketing que dice que es así, que tiene la capacidad de llegar a uno porque es más sencillo manipular a uno solo. Hay estudios que afirman que la probabilidad de que un usuario clique en un anuncio cuando la campaña es muy perfilada para ese usuario crece de manera importante”, explica Cuevas.
Campañas casi gratis
¿Cuánto cuesta hacer campañas así? Céntimos, incluso gratis. Facebook cobra por el número de usuarios alcanzados y estas campañas promueven lo contrario. ”Algunas campañas, sobre todo las muy dirigidas, nos costaron unos pocos céntimos. En alguna Facebook ni nos llegó a cobrar. Cuando combinamos siete intereses en cambio nos cobraron bastante. En total el gasto fue de 309 euros”, dice Cuevas.
Los usuarios habituales de Facebook tienen fácilmente unos cientos de intereses asignados. La base de datos de intereses de los autores del artículo proviene de una herramienta que tenían para estudios previos que usuarios de Facebook instalaban voluntariamente en su navegador. La mediana de intereses de ese grupo de usuarios es 426 y suman en total cerca de 100.000 distintos.
La compañía ve un ”error” de base en el artículo sobre cómo funciona el sistema de anuncios. ”La lista de intereses que asociamos con una persona no es accesible a anunciantes, a menos que esa persona decida compartirlos. Sin esa información o detalles específicos que identifican a una persona que vio un anuncio, el método de los investigadores será inútil para un anunciante que trate de romper las reglas”, dice una portavoz de la compañía. Los investigadores hicieron el experimento sobre sus cuentas para comprobar el éxito: tomaron todos sus intereses, seleccionaron un grupo aleatorio y vieron que con 22 de ellos había un 90% de probabilidades de ver ese anuncio.
Facebook tiene razón que conocer los intereses de individuos cualquiera es igual o más difícil que conseguir su correo electrónico. Pero no tiene en cuenta los casos donde alguien sea famoso, conocido por el atacante o la pequeña comunidad objetivo sea anónima individualmente pero identificable como grupo. Los investigadores además recuerdan que se han forzado a ”hacer el experimento con una mano atada a la espalda”, dice Cuevas: ”Está hecho solo con intereses y el alcance geográfico es mundial, pero si conozco edad, género, dónde vives o trabajas, puedo partir de una población base mucho más pequeña al empezar a añadir intereses. Con lo que necesitaría saber menos de ti”, añade.
Facebook advierte a los anunciantes si escogen una audiencia demasiado pequeña: ”Intenta hacerla más amplia”, sale en la pantalla. ”Pero eso es solo a título informativo, Facebook no impide realizar la campaña”, dice Cuevas. Facebook solo debería limitar efectivamente el número mínimo de audiencia potencial. En los resultados de la campaña es donde veían que su anuncio había sido visto por ”una”persona. Facebook cerró la cuenta de los investigadores una semana después del experimento, en otoño de 2020.
El artículo no tiene, según sus autores, una pretensión regulatoria clara, pero las implicaciones de los intereses como dato personal se hace evidente. ”Esto son dato personales y deberían estar incluidos en el Reglamento Europeo de Protección de Datos (RGPD),pero nuestro artículo no persigue eso”, dice Cuevas. Otro tipo de campañas en Facebook que usan el correo o móvil de los usuarios sí requiere su autorización, pero no con la segmentación por intereses: ”En ningún momento debes pedir permiso para reunir intereses. No lo hemos encontrado en la multitud de páginas legales de Facebook. Desde el punto de vista del RGPD es otra cosa: si lo investiga una agencia de protección de datos puede decir que juntar 20 intereses de un usuario significa que tienes que tratar eso como información personal identificable. Hemos intentado no enfangarnos en un debate de términos legales”, explica Cuevas.
Esta concreción en las plataformas es un terreno aún por explorar, aunque la Unión Europea ya debate la limitación de la microsegmentación en algunos ámbitos. La cantidad de información individual que las principales plataformas tienen de sus usuarios les permite muchas opciones. ”No sé si en Amazon se puede hacer lo mismo que hicimos en Facebook, pero Amazon sí puede tener datos para inferir tus intereses hasta el punto de identificarte individualmente, y luego hacer una campaña en Facebook para anunciar solo para ti”, dice García.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.