El dilema del p¨ªxel esp¨ªa: cuando usar sistemas de seguimiento de correos electr¨®nicos es ilegal

En la era de la mensajer¨ªa instant¨¢nea y el doble tic azul, saber que nuestros mensajes llegan y poder comprobar que han sido le¨ªdos parece un derecho universal. No son nuevas las herramientas que permiten agregar esta funci¨®n al correo electr¨®nico. De hecho, monitorizar estos env¨ªos es fundamental para evaluar los resultados de las campa?as de marketing que se hacen a trav¨¦s de este medio y es una funcionalidad habilitada por defecto en plataformas como Mailchimp, dise?adas para gestionar la remisi¨®n masiva de mensajes promocionales o boletines. Basta la inserci¨®n lo que se conoce como p¨ªxel ...

En la era de la mensajer¨ªa instant¨¢nea y el doble tic azul, saber que nuestros mensajes llegan y poder comprobar que han sido le¨ªdos parece un derecho universal. No son nuevas las herramientas que permiten agregar esta funci¨®n al correo electr¨®nico. De hecho, monitorizar estos env¨ªos es fundamental para evaluar los resultados de las campa?as de marketing que se hacen a trav¨¦s de este medio y es una funcionalidad habilitada por defecto en plataformas como Mailchimp, dise?adas para gestionar la remisi¨®n masiva de mensajes promocionales o boletines. Basta la inserci¨®n lo que se conoce como p¨ªxel esp¨ªa o baliza web para acceder a distintos datos personales del receptor del mensaje, y, si no cumple los requisitos necesarios, cruzar la l¨ªnea de la legalidad. ¡°Que est¨¦ generalizado en la pr¨¢ctica no implica en ning¨²n caso que sea posible o que se admita desde el punto de vista legal¡±, advierte Andr¨¦s Ruiz, Andr¨¦s Ruiz, abogado especializado en tecnolog¨ªa en Ram¨®n y Cajal Abogados.

Estos p¨ªxeles son en realidad una imagen que se inserta en el correo como un cuadrado blanco, diminuto e invisible o bien como uno de sus elementos visibles: el encabezado, la firma o cualquier decoraci¨®n. Cuando se abre el mensaje, el proceso de carga env¨ªa una llamada al servidor del remitente para descargar ese archivo. ¡°Esa comunicaci¨®n autom¨¢tica dice muchas cosas¡±, se?ala Jos¨¦ Rossell, socio fundador de la empresa de ciberseguridad S2 Grupo. El intercambio, explica, permite obtener datos como el n¨²mero de veces que se ha abierto el mensaje, las horas de apertura, el navegador empleado, el dispositivo, su direcci¨®n IP ¡ªidentificador¡ª y, a partir de esta ¨²ltima, una ubicaci¨®n aproximada del receptor. De acuerdo con un estudio realizado por la el cliente de correo electr¨®nico Hey para la BBC, dos tercios de los mensajes que se env¨ªan en la plataforma contienen un p¨ªxel esp¨ªa, sin contar siquiera aquellos que se desv¨ªan a la carpeta de correo no deseado.

Seg¨²n explica Ruiz, es posible utilizar rastreadores sin infringir la ley cuando quien los inserta en sus comunicaciones tiene una base legal para hacerlo, pero, dada la infinidad de contextos en que pueden emplearse estas tecnolog¨ªas, es dif¨ªcil delimitar cu¨¢les son las exigencias sin estudiar en profundidad cada caso. ¡°Lo primero es analizar desde el punto de vista t¨¦cnico qu¨¦ hace la herramienta¡±, se?ala. No es lo mismo registrar ¨²nicamente las aperturas que extraer toda la informaci¨®n disponible de cada correo abierto, y tampoco es comparable recopilar toda esa informaci¨®n como datos agregados o estructurarla en una base de datos con perfiles complejos de cada usuario.

En funci¨®n de la cantidad de informaci¨®n recopilada y el tratamiento que se hace de esta se determinan las medidas necesarias para garantizar que el seguimiento se hace legalmente. Desde el punto de vista de Ruiz, siempre se deber¨¢ comunicar al receptor que se est¨¢n rastreando los env¨ªos que recibe. ¡°En caso de existir tratamiento de sus datos, si no se facilita al usuario informaci¨®n, la compa?¨ªa puede ser sancionada¡±, precisa. En cuanto a la necesidad de consentimiento, explica que depende del contexto: si el usuario est¨¢ correctamente informado y la entidad que hace el seguimiento puede justificar su inter¨¦s leg¨ªtimo en recurrir a este, puede ser prescindible. ¡°Si simplemente identifico que un usuario de mi base de suscriptores ha abierto un mail, podr¨ªa entenderse incluso que la empresa tiene inter¨¦s leg¨ªtimo en tanto que lo hace como parte de sus servicios, pero se debe tener cuidado con ampliar estas finalidades¡±, se?ala. La l¨ªnea roja est¨¢ en el exceso. ¡°Si lo que hago es perfiles muy ajustados de los usuarios y sobre la base de eso creo campa?as de marketing espec¨ªficas, exceder¨ªa casi con toda seguridad del inter¨¦s leg¨ªtimo y s¨ª deber¨ªa tener un consentimiento, u otra base legal que lo justifique¡±.

El aviso a navegantes se vuelve a¨²n m¨¢s necesario dada la invisibilidad de estos rastreadores, que hace pr¨¢cticamente imposible advertir su presencia en los correos recibidos a menos que su c¨®digo tenga etiquetas sospechosas o que se empleen herramientas externas para identificarlos, como las extensiones Ugly Email y Pixel Block, dise?adas para Gmail. ¡°Para reducir la efectividad de los p¨ªxeles, tenemos que establecer ajustes del navegador y del correo que sean mucho m¨¢s restrictivos¡±, explica Herv¨¦ Lambert responsable de operaciones globales de consumidores de Panda Security. En este contexto, la mejor manera de sortear esta vigilancia es deshabilitar la descarga autom¨¢tica de im¨¢genes para frenar esa reveladora llamada al servidor o recurrir a clientes de correo que por defecto bloqueen estos intentos.

Territorio libre de p¨ªxeles

¡°Nunca hemos admitido rastreo de p¨ªxeles y nunca lo haremos. Est¨¢ fuera de discusi¨®n¡±, asegura Hanna Bozakov, portavoz de la plataforma de correo electr¨®nico cifrado Tutanota. En esta compa?¨ªa de origen alem¨¢n consideran que permitir la libre circulaci¨®n de estas balizas ser¨ªa ¡°una violaci¨®n de la privacidad¡± de quienes recurren a sus servicios, que adem¨¢s en muchos casos no son conscientes de que est¨¢n siendo rastreados. ¡°Recibimos boletines, correos comerciales y hacemos clic en ellos sin pensar en lo que est¨¢ pasando en la trastienda. El coste de esto es que los propios usuarios filtran informaci¨®n que probablemente no quieren facilitar¡±, razona Bozakov.

Desde ProtonMail, otra plataforma que se precia de garantizar la privacidad de quienes usan su servicio de correo, adoptan la misma postura ante el uso de p¨ªxeles. ¡°Consideramos que su uso es muy poco ¨¦tico¡±, se?alan. Advierten adem¨¢s que incluso cuando media consentimiento, igual que ocurre con las cookies cuya vigilancia aceptamos al navegar por internet, los usuarios no son plenamente conscientes del modo en que est¨¢n siendo rastreados. ¡°En ProtonMail bloqueamos en uso de rastreadores y contenido de terceros por defecto, para asegurar que nuestros usuarios no son monitorizados sin saberlo¡±.

M¨¢s all¨¢ del marketing

Estas tecnolog¨ªas siguen admiti¨¦ndose sin embargo en plataformas de uso masivo, como Gmail de Google o Outlook de Microsoft, aunque han ido apareciendo ciertos frenos, como el bloqueo por defecto de las descargas en correos que llegan a la carpeta de correo no deseado. ?Es necesario vivir en la constante paranoia de estar siendo espiados? Depende. El riesgo de que nuestra marca de calzado de cabecera nos conozca bien dista mucho de los peligros que supone que quienes usan estos p¨ªxeles sean ciberdelincuentes. Para quienes afinan sus ataques sobre la base del conocimiento que tienen de sus v¨ªctimas, datos como el tipo de dispositivo o navegadores empleados pueden marcar la diferencia entre el ¨¦xito y el fracaso. ¡°Les viene muy bien, les ayuda a mejorar sus ciberataques y hacerlos a¨²n m¨¢s dirigidos. Saben cu¨¢les son los navegadores m¨¢s comunes y eso es superinteresante porque si quiero inyectar alg¨²n proceso malo en alguna extensi¨®n de navegador, lo voy a hacer en A antes que en C¡±, explica Lambert.

Adem¨¢s, los perfiles completos del comportamiento de los usuarios junto con sus direcciones de correo electr¨®nico conforman un bot¨ªn apetecible para la venta a terceros. ¡°No cero que el valor de esos datos sea muy alto, pero si lo multiplicas por millones, al final es dinero¡±, razona el experto. Para evitar dolores de cabeza, lo mejor es recurrir a las reglas de oro de la ciberseguridad: no abrir correos de remitentes desconocidos o que no se esperaba recibir, y mantener los dispositivos actualizados para evitar que los atacantes puedan explotar posibles vulnerabilidades.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.