¿Cuánto miedo debe usted tener de que se sepa que mira porno online? Poco, porque ya no está en sus manos. Demasiado tarde. El mejor remedio sería no haber mirado.
Las sesiones privadas, o en incógnito, no sirven; el tráfico de la mayoría de webs porno circula sin encriptar, hay tantas cookies de terceros como en las páginas normales, no hay ni siquiera políticas de privacidad en más del 80% de páginas porno, usan sofisticadas herramientas de rastreo que se comunican con dominios remotos y desconocidos y hasta los gigantes Google y Facebook, que dicen no estar en ese mundo, están. En nuestros perfiles online —allí donde estén— pone en letras bien grandes que miramos porno. Y cuánto. Y cuál.
Este rastreo también se da en buena medida en contenidos normales, pero está (algo) más supervisado. El contenido adulto es más sensible y debería extremar las medidas. Según dos nuevos artículos científicos, sucede lo contrario: es un mundo más oscuro y menos controlado. Es fácil imaginarse a los usuarios de porno observando su entretenimiento en la calma de una habitación. Al otro lado de la pantalla, sin embargo, hay muchos ojos. Es como tener la puerta cerrada con cerrojo, pero llena de agujeros del tamaño de pelotas.
Estas dos investigaciones nuevas detallan la oscuridad y profundidad del ecosistema del porno online: primero, cinco investigadores de Imdea Networks han analizado el comportamiento de casi 7.000 webs para adultos, cuyos resultados revela por primera vez EL PAÍS y, segundo, un artículo de New Media & Society, que ha analizado más de 22.000 páginas porno.
La pornografía es una cuestión sensible por dos motivos: su público prefiere no admitir que la usa. Además, si los usuarios son descubiertos puede ser una herramienta de coacción, sobre todo en países donde está castigada. El segundo motivo es que hay regulación que lo establece: "La norma general es que el tratamiento de los tipos de datos que aparecen listados está prohibido", dice el Reglamento General de Protección de Datos Europeo (RGPD). Entre ellos, "vida sexual u orientación sexual". El tipo de páginas porno que alguien visita revela ambas opciones.
El 90% de las páginas de la base de datos de un estudio tenía en su dominio las palabras "porn", "tube", "sex", "gay", "lesbian" y "mature". Como ejemplo de que no es solo la orientación lo que se ve, cerca de un 1% de esas páginas contienen la palabra "zoo" en su nombre.
El porno es uno de los grandes negocios de Internet. El equipo de Imdea analizó cada día las webs con más tráfico del mundo durante todo 2018. En el top 1.000 se mantuvieron 16 de ellas. Para entender la magnitud de estos datos, solo cuatro webs ".es" (dominio en España) aparecen entre las mil primeras, por este orden: Google, Amazon, EL PAÍS y El Mundo.
Su análisis muestra con crudeza la precisión de Internet para saber qué hace cada ser humano en su intimidad. “Tienen capacidad de rastrear a usuarios, a pesar de poder ser consideradas como contenido sensible por la regulación. De acuerdo con el RGPD, procesar datos sobre la vida sexual u orientación sexual está prohibido y estos servicios tienen la capacidad de hacer un perfilado de cada usuario. Si quieren saber algo de ti, lo van a saber”, dice Pelayo Vallina, investigador y autor principal del estudio de Imdea. El drama es que hoy es aún imposible definir con seguridad qué empresas disponen de esos datos y cómo los combinan para averiguar qué.
Estos son algunos de los motivos que demuestran el caos en la privacidad del porno online:
1. Las famosas cookies. Una cookie es un trocito de código que se queda en nuestro ordenador cuando visitamos una web. Hay cookies propiedad del dominio que visitamos y cookies de terceros. Las de terceros son de otras empresas, tienen vida propia y son las que se dedican a observar nuestra navegación. En la web normal hay muchas, en las páginas porno también.
Ambas investigaciones encontraron cookies de terceros en más del 70% de las páginas, aunque solo un 4%, según el artículo español, tiene el requerido botón de consentimiento legal de sus galletas informáticas.
2. Empresas desconocidas, sin política de privacidad. Uno de los datos más impactantes es que el 97% de webs no tienen información de la empresa propietaria. "Es grave y demuestra que hay un largo camino para realmente implementar el RGPD", dice Álvaro Feal, investigador de Imdea Networks. Sin una dirección empresarial que asuma las obligaciones, ¿cómo puede la legislación pedir responsabilidad? Solo un 16% de las webs porno tienen algo parecido a una política de privacidad.
3. El tráfico encriptado, mínimo. Un viajero se conecta al wifi de su hotel, del aeropuerto o un trabajador al de su empresa. Si el tráfico está sin encriptar, el gestor de esa red va a ver las direcciones y el contenido que ha visitado, incluyendo las cookies que circulen. Y además queda registrado, en algunos casos, para fines comerciales.
"Solo el 17% de las páginas de nuestra muestra estaban encriptadas, lo que implica que la mayoría son potencialmente más vulnerables a ataques. Si un actor malo lograra información de tu navegación personal porno, podrían potencialmente usarla para varios objetivos maliciosos, como el chantaje", dice Elena Maris, investigadora de Microsoft y autora principal del artículo de New Media & Society.
4. La sofisticación de las herramientas de rastreo. Las cookies de terceros son solo el modo más común de poder saber qué webs ve un usuario. Pero hay modos más finos y persistentes de vincular identidad y navegación. El estudio de Imdea ha encontrado dos tipos en las páginas porno: sincronización de cookies y canvas fingerprinting.
Por seguridad, los navegadores limitan el acceso a las cookies solo a quien las ha instalado. La sincronización de cookies permite sin embargo que dos rastreadores compartan la información que tienen sobre el mismo usuario. "Un 20% de las 3.000 páginas genéricas más populares permiten la sincronización de cookies. De hecho, las diez entidades más importantes que usan sincronización de cookies serían capaces de recuperar el 40% del historial de navegación de un usuario", dice Marc Juárez, investigador del grupo de Seguridad Informática y Criptografía Industrial de la Universidad Católica de Leuven (Bélgica).
De las 100 webs porno más populares según la clasificación de Alexa, el 58% usa esta técnica.
El canvas fingerprinting consiste en crear una imagen única del dispositivo del usuario, que se convierte en su identificador. "Una gran empresa extrae esta imagen, que sirve a los clientes de sus servicios de publicidad online para identificar al visitante", dice Juárez. Este método permite por tanto un rastreo constante en la web. El estudio ha encontrado 245 códigos haciendo fingerprinting en 315 páginas porno. El 91% de ellos no están en los índices más habituales. Es una indicación más de cómo el sector del porno opera fuera de los cauces habituales.
Ambas técnicas funcionan sin apenas variación si la navegación se hace en modo incógnito. Aunque ese modo privado sí aísla las cookies nuevas de las que ya existen en el navegador, lo que reduce las opciones de sincronización.
5. Google y Facebook también están por ahí. El entorno porno es distinto del tradicional en muchos sentidos, pero quizá el principal es que Google y Facebook tienen una presencia menor. Su lugar como gigante de la publicidad lo ocupa una empresa con sede en Barcelona, Exoclick, que tiene presencia en el 43% de las páginas inspeccionadas por Imdea y apenas existe fuera de las webs para adultos. A pesar de repetidos mensajes, Exoclick no ha puesto nadie a disposición de EL PAÍS para aclarar su atención a la privacidad del usuario.
La presencia menor de Google y Facebook no significa que no estén, sino que aparecen menos y con una situación ambigua. "No permitimos el uso de Google Ads en páginas web de contenido adulto y prohibimos los anuncios personalizados, así como los perfiles publicitarios basados en los intereses sexuales del usuario o en actividades online relacionadas con ello", dicen fuentes de Google.
Pero un 39% de páginas usan su herramienta de Analytics y un 12%, DoubleClick, que es para anuncios. Una portavoz de Google insiste en que la presencia de DoubleClick en esas páginas no significa que esté ejecutándose. Pero no está nada claro cuál es su estado. Es más razonable describir su presencia en esta región de Internet como agazapada en lugar de como nula.