¿Qué es ID bridging? Protege tu privacidad en el nuevo Internet sin cookies

Desde el inicio de la década de 2020, se prometió un futuro sin cookies: un escenario en el que las cookies de terceros, base del rastreo por vigilancia y pieza clave de la publicidad dirigida, dejarían de existir. Aunque el plan de Google para eliminar gradualmente las cookies de terceros se ha retrasado, hay pocas dudas, al menos desde nuestra perspectiva, de que tarde o temprano todos diremos au revoir a ellas.

¿Por qué? Reguladores de privacidad en todo el mundo, particularmente en la Unión Europea, están aumentando la presión sobre los editores para que obtengan el consentimiento "libre e informado" de los usuarios. Varias empresas, incluyendo recientemente la aplicación de redes sociales “sin filtros” BeReal, han enfrentado quejas relacionadas con cómo inducen a los usuarios a aceptar el rastreo mediante ventanas emergentes de consentimiento. En otras palabras, la definición de consentimiento se está volviendo cada vez más estricta, y tanto los usuarios como los reguladores están frustrados con las ventanas emergentes intrusivas. El modelo de “paga o consiente,” donde los usuarios tienen una falsa elección entre pagar por contenido o aceptar la recopilación casi total de sus datos, también está enfrentando resistencia de los reguladores. A pesar de todo, las cookies de terceros pueden no estar en su lecho de muerte todavía, pero ya están navegando hacia el ocaso.

A largo plazo, parece más que probable que los editores tendrán que adoptar nuevos métodos de rastreo, que cumplan tanto con las exigencias de los reguladores (asegurando que el consentimiento sea dado libremente) como con las expectativas de los usuarios, quienes están cansados de lidiar con las confusas estrategias de manipulación.

Uso de correos electrónicos con hash para rastreo

Uno de los métodos mencionados como una de las alternativas más probables a las cookies es la identificación mediante IDs de usuario persistentes. Como su nombre indica, este método supone que existe una o varias características persistentes o de larga duración específicas de un usuario. Mientras que las cookies tienen una vida útil limitada, son específicas de un navegador y pueden eliminarse en cualquier momento (investigaciones muestran que el 58 % de los usuarios borra sus cookies regularmente, y el 40 % lo hace mensualmente), los identificadores persistentes como correos electrónicos con hash no tienen estas limitaciones. Además, a diferencia de las cookies, no es posible rastrear el correo electrónico de alguien sin que esta persona lo proporcione primero. Desde el punto de vista regulatorio, esto es más seguro para los anunciantes, ya que el consentimiento del usuario se da de manera clara, reduciendo el riesgo de problemas relacionados con la privacidad. Pero, ¿qué es exactamente el hash?

El hash implica transformar la dirección de correo electrónico de un usuario en una cadena de caracteres de longitud fija (un hash) que, en teoría, debería ser prácticamente imposible de revertir. A diferencia de los correos electrónicos tradicionales, la versión con hash de un correo no puede ser leída ni entendida por nadie que no tenga acceso al algoritmo específico y a las claves secretas utilizadas para generarlo. Esto lo hace más seguro y privado que si las direcciones de correo electrónico se compartieran en texto plano.

Sin embargo, aunque el hash proporciona una capa de ofuscación, no necesariamente hace que los datos de los usuarios sean totalmente anónimos ni protege la privacidad tan bien como podría parecer. Esto se debe a que el hash sigue creando una firma única que puede ser utilizada para identificar individuos en diferentes plataformas. Como señaló la Comisión Federal de Comercio (FTC, por sus siglas en inglés) en una declaración de 2024, “los hashes no son ‘anónimos’ y aún pueden ser utilizados para identificar a los usuarios,” lo que significa que no deben considerarse un método infalible para preservar la privacidad.

La FTC ha señalado repetidamente que, aunque el hash dificulta la lectura de los datos, no elimina la posibilidad de vincularlos a una persona específica. Incluso cuando las direcciones de correo electrónico se cifran para ocultar los datos originales, el hash resultante sigue siendo un identificador único y persistente. Aunque el hash pueda parecer una cadena aleatoria para la mayoría de las personas, a menudo puede ser correlacionado con otros conjuntos de datos o revertido, especialmente si el mismo método de hash y los mismos datos se utilizan de manera consistente. Las brechas de seguridad anteriores facilitan aún más esta tarea para actores malintencionados. Con tantos conjuntos de datos robados en grandes filtraciones circulando en línea, los hackers pueden usar estos registros para descubrir o correlacionar correos electrónicos con hash con las personas reales detrás de ellos, exponiendo información sensible e identidades.

Conexión de IDs

El uso de correos electrónicos con hash para rastrear usuarios también desempeña un papel importante en lo que se conoce como “conexión de IDs” (ID bridging). Este término se refiere a la práctica de vincular las actividades de un usuario en múltiples plataformas o dispositivos utilizando un identificador persistente, como un correo electrónico con hash.

Su popularidad está directamente relacionada con la inminente eliminación de las cookies. Aunque el futuro de las cookies de terceros sigue siendo incierto, su eventual desaparición parece inevitable, principalmente debido a la presión regulatoria.

Existen dos métodos principales para la conexión de IDs: la coincidencia determinística y la probabilística. La coincidencia probabilística utiliza algoritmos complejos para analizar señales como direcciones IP, tipos de dispositivos y comportamientos de navegación. Aunque este método puede vincular perfiles basándose en patrones, es menos preciso, ya que depende de inferencias estadísticas en lugar de identificadores directos. Por otro lado, la coincidencia determinística, que generalmente se basa en correos electrónicos con hash, ofrece un método más preciso de identificación. Para los propósitos de este artículo, nos enfocamos en la identificación basada en correos electrónicos, pero otros datos, como números de teléfono y detalles demográficos, también pueden usarse para coincidencias determinísticas. Estas técnicas son especialmente eficaces para la publicidad dirigida, ya que tienen una alta precisión (a menudo superior al 80 %). Sin embargo, precisamente por su alta eficacia en combinar datos distintos de un único usuario en múltiples servicios en línea, estas técnicas generan preocupaciones de privacidad, especialmente porque el usuario probablemente no esté al tanto del alcance total de este seguimiento. Qué tan ético o permisible es este método desde el punto de vista de la privacidad es un tema para otro debate.

En resumen, este método garantiza que las actividades del usuario puedan vincularse con precisión en diferentes plataformas, siempre que el usuario inicie sesión en varios navegadores o dispositivos.

Cómo protegerte contra los riesgos de privacidad asociados con la conexión de IDs

Hay varias maneras de proteger tu información personal contra el seguimiento mediante la conexión de IDs, un método que probablemente será el futuro —si no ya el presente— de los sistemas de rastreo.

• Crea cuentas de correo separadas para diferentes propósitos: Esta es la forma más directa, aunque toma tiempo, de proteger tus datos. Por ejemplo, puedes usar un correo para compras, otro para redes sociales y un tercero para boletines informativos. Así, tendrías tres bandejas de entrada distintas (o más): una para uso personal, otra para trabajo y otra para registros en línea.

• Una solución más práctica es utilizar un servicio de alias de correo electrónico. Este tipo de servicio te permite crear direcciones de correo únicas sin necesidad de crear nuevas cuentas. En términos simples, un alias es una dirección de correo que reenvía mensajes a tu bandeja de entrada real. Por ejemplo, puedes crear un alias diferente para cada tienda en línea, boletín o aplicación. Si ya no deseas recibir mensajes de un alias o empiezas a recibir spam, puedes desactivarlo o eliminarlo sin afectar los correos que ya hayas recibido. Servicios como Addy.io y SimpleLogin están entre los más populares en el mercado.

• Otra alternativa es usar una cuenta de correo temporal. Ideal para interacciones puntuales, como registros para promociones, descargas de pruebas gratuitas o participación en sorteos en línea. Un servicio de correo temporal genera una bandeja de entrada temporal con una dirección única que dura solo el tiempo necesario. A diferencia de un alias, que reenvía mensajes a tu bandeja de entrada real, un correo temporal está completamente separado y no se conecta a tu correo personal. Después del uso, puedes eliminar la dirección, lo que también eliminará la bandeja de entrada temporal y todos los mensajes que contenga. Sin embargo, esto garantiza un mayor nivel de anonimato y privacidad para interacciones rápidas en línea. Servicios como Guerrilla Mail y 10 Minute Mail son ejemplos populares.

Actualmente, AdGuard ofrece una solución dentro de la nueva herramienta de gestión de correos AdGuard Mail. A diferencia de la mayoría de los servicios de correo disponibles en el mercado, AdGuard Mail es una solución “dos en uno,” que combina la funcionalidad de alias de correo electrónico y correos electrónicos temporales para ofrecer la máxima comodidad y flexibilidad.