Por qué aceptamos la vigilancia como valor predeterminado

 (vivianvoss.net)
1 puntos por GN⁺ 9 일 전 | 1 comentarios | Compartir por WhatsApp
  • La financiación de la web mediante publicidad y la segmentación basada en rastreo quedaron unidas en una misma cadena lógica, haciendo que el rastreo entre sitios se asentara no como una opción aparte, sino como una premisa por defecto
  • DoubleClick DART y las third-party cookies hicieron posible rastrear al mismo usuario a través de múltiples sitios web, y esa infraestructura se mantuvo después
  • Los 10 mil sitios principales cargan en promedio 7 third-party trackers por página, el 41.1% del tráfico viene acompañado de rastreadores, y cada rastreador adicional aumenta el tiempo de carga de la página en alrededor de 2.5%
  • La industria de los banners de cookies también se consolidó como un mercado aparte, y cuando el botón "Reject all" está oculto, hasta el 90% de los usuarios acepta, produciendo una reacción más cercana al cansancio que al consentimiento
  • Apple ATT redujo la tasa de opt-in a 15–25% con solo una solicitud de permiso a nivel de sistema operativo, y dejó una estimación de pérdida de unos 10 mil millones de dólares en ingresos de Meta en 2022, mostrando que el rastreo activado por defecto no era una necesidad técnica sino una elección

Axioma

  • La estructura actual se justifica con la cadena lógica de que la publicidad financia la web, y el rastreo hace posible la publicidad, por lo tanto el rastreo es necesario
    • Los banners de cookies se tratan como recibos modernos, y hacer clic en "Accept" se considera equivalente a consentir
    • Esta estructura parece una lógica limpia, pero sus premisas en sí mismas merecen examinarse por separado
  • Nadie votó por esta estructura, y aun así quedó establecida
    • Para cuando la FTC y la UE terminaron sus debates sobre la competencia en el mercado, la estructura de la web ya se había convertido silenciosamente en un sistema de vigilancia

Origen

  • DoubleClick fue fundada en Nueva York en 1996, y su producto DART funcionaba sobre la premisa de seguir a los usuarios de un sitio web a otro para ofrecer anuncios relevantes
    • DART significa Dynamic Advertising, Reporting, and Targeting
    • La idea central era que los anunciantes debían poder rastrear a la misma persona a través de varios sitios web
  • La innovación técnica clave fue la third-party cookie: un pequeño archivo de texto colocado por un servidor que el usuario nunca visitó, capaz de seguirlo a través de todos los sitios web que cargaran ese píxel
    • El mecanismo técnico en sí era ordinario, pero su consecuencia estructural no lo era
    • En un momento en que los banners publicitarios ya existían, se formó la base de un rastreo entre sitios que iba más allá de la exposición aleatoria
  • Tras la adquisición de Abacus Direct en 1999, se propuso combinar dos bases de datos, y la FTC de Estados Unidos abrió una investigación
    • DoubleClick dio marcha atrás, pero en 2007 Google terminó comprándola por 3.1 mil millones de dólares
    • La investigación quedó en el pasado, pero la infraestructura construida permaneció
  • La trayectoria posterior a sus fundadores también continuó
    • Kevin O'Connor dejó DoubleClick en 2001 y hoy dirige ScOp Venture Capital, invirtiendo en empresas tecnológicas de nueva generación
    • Dwight Merriman, tras pasar 10 años como CTO de DoubleClick, cofundó MongoDB en 2007 junto con otro ex DoubleClick, Eliot Horowitz
    • En otras palabras, el mismo equipo que construyó la tubería de vigilancia entre sitios también creó la base de datos documental que mueve gran parte de la web moderna
    • La red de exalumnos de DoubleClick se describe como una diáspora de talento muy importante dentro de la industria tecnológica contemporánea

Un patrón que existía antes de DoubleClick

  • Prodigy fue un servicio en línea que operó de 1984 a 2001, y ya había implementado una versión temprana de la misma lógica
    • Para reducir los costos de red y de servidores, adoptó un método de almacenar datos en caché sobre o cerca de la computadora personal del usuario
    • La justificación era la reducción de costos de infraestructura, y el efecto secundario fue la acumulación masiva de datos de comportamiento
  • Este patrón es más antiguo que la web, e incluso más antiguo que la third-party cookie
    • La observación central es que los datos de usuario recolectados con fines operativos terminan volviéndose un activo comercialmente interesante
  • Las rutas de datos diseñadas para optimizar costos terminan siendo reutilizadas para extraer valor
    • La pregunta que queda no es cuándo comenzó, sino por qué ninguna capa del protocolo lo impidió

Costos

  • Hoy, un sitio web promedio carga 7 third-party trackers por página; esta cifra corresponde a los 10 mil sitios principales
    • Esos 10 mil sitios principales se consideran el lado relativamente más respetable de internet
    • El 41.1% del tráfico en esos sitios viene acompañado de rastreadores
  • El propio procedimiento de consentimiento también se ha convertido en una industria aparte
    • El 67% de los banners de cookies es provisto por una Consent Management Platform
    • Tres empresas concentran el 37% de ese mercado
    • Solo el 15% de los sitios web cumple el nivel mínimo de cumplimiento con el GDPR
  • Cuando el botón "Reject all" se oculta de modo que requiere varios clics para aparecer, hasta el 90% de los usuarios acepta
    • Eso se describe no como consentimiento, sino como cansancio
  • Los costos físicos también son evidentes
    • Cada rastreador adicional incrementa el tiempo de carga de la página en aproximadamente 2.5%
    • Los sitios con muchos rastreadores funcionan cerca de 10 veces más lento que cuando la misma página se ve con bloqueo de rastreo activado
  • El real-time bidding procesa alrededor de 600 mil millones de solicitudes al día, equivalentes a unos 6.9 millones por segundo
    • Cada banner, cuadro de diálogo y solicitud en segundo plano consume ancho de banda, batería y electricidad
    • Todos pagan la factura, pero nunca aparece detallada para nadie

Evidencia

  • El foco del problema no está en dos fundadores como individuos, sino en una respuesta lógica a las presiones comerciales
    • Las redes publicitarias querían alcance, los publishers querían ingresos, y la third-party cookie satisfizo ambas demandas
    • Más que señalar culpables individuales, esto lleva a preguntar por qué los navegadores ayudaron a que eso ocurriera
  • La pregunta más profunda está en la elección estructural
    • Los navegadores fueron diseñados para cargar contenido, pero también podrían haberse diseñado para proteger al usuario de ser acechado
    • También podrían haberse diseñado para protegerlo de la economía gris del fraude que creció por el mismo camino
  • Apple ATT se presenta como un caso que demostró en la práctica que esa elección era posible
    • Se introdujo en iOS 14.5 en abril de 2021
    • Ofrecía una sola ventana de permiso a nivel del sistema operativo preguntando si la app podía rastrear al usuario a través de otras apps y sitios web
    • Cuando realmente se preguntó, la tasa de opt-in se quedó entre 15% y 25%
    • El CFO de Meta, David Wehner, estimó la pérdida de ingresos de 2022 en aproximadamente 10 mil millones de dólares
  • Se enfatiza que la tecnología necesaria siempre estuvo ahí, y que el rastreo activado por defecto fue una elección tomada por los proveedores de navegadores

Pregunta

  • Se plantea si habría sido posible un resultado distinto si los navegadores hubieran bloqueado los datos personales hasta contar con autorización explícita, del mismo modo en que un sistema operativo trata a los binarios sin firma
    • Se pregunta qué habría pasado si el propio protocolo hubiera defendido al usuario en lugar del anunciante
    • También se pregunta qué habría pasado si las solicitudes entre sitios se hubieran tratado con escepticismo, como un paquete que un desconocido te pide cuidar en un tren
  • Incluso después de 30 años, esta pregunta sigue sin respuesta
    • La infraestructura persiste porque una vez construida sigue funcionando, y porque deshacerla resulta incómodo para las organizaciones que la construyeron
  • El hecho de que un solo aviso de Apple moviera 10 mil millones de dólares en un año se presenta como punto de referencia
    • Qué se habría movido si hubieran sido doce avisos
    • Qué habría cambiado si en 1996 simplemente nunca se hubiera lanzado la third-party cookie
  • En lugar de una conclusión definitiva, solo queda una certeza: nadie fue consultado

Lecturas relacionadas

1 comentarios

 
GN⁺ 9 일 전
Comentarios en Hacker News

  • Mi impresión es que la publicidad personalizada parece mucho más humo de lo que uno pensaría. Hay indicios, como el golpe a los ingresos de Meta después de Apple ATT, pero alrededor del 30% de los anuncios que veo en Facebook y YouTube parecen estafas descaradas que podrían difundirse incluso sin perfilado. Por ejemplo, durante una semana entera vi anuncios que imitaban notificaciones de Facebook, y al hacer clic aparecía una página que intentaba asustarme diciendo que me habían hackeado. Incluso los reporté, y aun así sobrevivieron bastante tiempo, lo cual me pareció raro. Casi nunca veo anuncios realmente relevantes para mí, y solo me siguen mostrando retargeting de cosas que ya compré, así que me pregunto si de verdad soy un usuario tan poco comercializable

    • No creo que el hecho de que algunas personas reciban anuncios absurdos sea prueba de que el sistema de vigilancia no funcione. La clave es cuánto dinero atraen las campañas de segmentación precisa. La publicidad en sí puede ser relativamente inofensiva, pero si esos mismos datos pasan a manos de actores estatales, se vuelven mucho más importantes como herramienta de represión contra la ciudadanía. Pueden usarse para decidir cómo trazar distritos electorales, dónde colocar instalaciones odiadas o bibliotecas, a quién buscar para deportar y cómo influir políticamente en determinadas personas dentro de campañas. Aunque haya algo de error, sigue siendo suficiente para reducir enormemente la selección manual
    • Yo también bloqueo bastante rastreo web, así que entiendo que a los anunciantes les cueste segmentarme. Pero aun así parece que ni siquiera aprovechan bien la información que sí deberían poder usar. En mi experiencia, las empresas de anuncios hacen una segmentación pésima. En YouTube me siguen saliendo anuncios en turco, vietnamita, árabe, japonés y chino que no entiendo en absoluto. Mi cuenta de Google, el navegador y el idioma del dispositivo están bien configurados, y tampoco uso VPN, así que Google debería saber qué idioma hablo y dónde estoy. Aun así, no entiendo por qué me llegan esos anuncios. Antes tenía desactivados los anuncios personalizados en YouTube, y en ese entonces casi el 100% de los anuncios eran estafas, deepfakes o productos ilegales, así que hace unos meses los volví a activar a propósito. Desde entonces bajaron los anuncios de porno o drogas ilegales, pero la mayoría sigue siendo estafa y sigue sin encajar en nada con mi demografía. Los anuncios políticos de lugares a cientos de millas o los anuncios en idiomas que no conozco son tan comunes que, cuando a veces aparece un anuncio de un restaurante local, termino dudando si es segmentación real o casualidad. Yo creo casi siempre en lo segundo
    • Creo que el hecho de que te sigan mostrando anuncios de cosas que ya compraste es precisamente el ejemplo que mejor expone la debilidad de la publicidad segmentada
    • Mi experiencia limitada me ha ido llevando a pensar que, al final, la segmentación en sí no importa tanto. Facebook le genera al usuario una especie de adicción digital, y el usuario paga con su atención. Esa atención luego se vende al mejor postor. El contenido del anuncio importa poco, y siento que los datos recopilados se usan para hacer esa adicción todavía más fuerte
    • Antes reportaba con frecuencia anuncios fraudulentos en Facebook, y la respuesta siempre era que no había ningún problema. Al parecer, para Facebook también están bien los videos falsos de inversión con IA que imitan a celebridades o políticos, y eso realmente me enfurece

  • Hace tiempo vi una cobertura periodística sobre los últimos años del régimen de Ceaușescu, y uno de los indicadores del nivel de represión que mencionaban eran cámaras de video instaladas en los postes de alumbrado

    • Creo que lo que vi probablemente era propaganda. En Rumania no había eso en 1989. El país no era lo bastante rico como para instalar sistemas tan avanzados, y yo puedo decirlo porque viví esa época directamente
    • Yo también creo que ese reportaje era más bien propaganda sin fundamento. No hay pruebas de que el régimen rumano de los años 80 haya puesto cámaras de video en los postes. Además, ¿por qué gastarían dinero en una tecnología tan cara? En esa época ya había suficiente gente espiando y denunciando a los demás

  • Este texto me pareció escrito por un LLM

  • Militarismo, vigilancia, propaganda, nacionalismo... todo eso me hace pensar en algo. Siento que ahora nosotros somos los malos

    • Entonces yo lo preguntaría al revés. Según mi criterio, me pregunto si existe хотя бы un Estado que funcione correctamente y no sea uno de los malos
    • Yo creo que siempre fue así
    • A menudo siento que hay personas que nunca terminan de darse cuenta de esto
    • Este tipo de comentario me suena a halago para conseguir upvotes que le agradaría a gente de cualquier país

  • Mientras la forma de ganar dinero en la web siga siendo la publicidad, el Estado de vigilancia va a seguir vivo

    • Yo creo que incluso si todo fuera de pago, la vigilancia seguiría. ¿Por qué no? Sería una fuente adicional de ingresos
    • Creo que el problema es aún peor que eso. El poder estatal que quiere vigilar termina aliándose con el sector privado que quiere maximizar los ingresos publicitarios. Entonces es muy probable que los abogados empiecen a argumentar que en realidad nunca existieron cosas como la privacidad o la libertad
    • He visto que incluso sitios sin anuncios meten rastreo y fingerprinting por sus propias funciones de marketing o de seguridad
    • Aun así, no creo que la publicidad en sí necesite obligatoriamente vigilancia
    • Al menos la dirección de la solución parece clara. Aunque no sea fácil llegar a una web sin anuncios, sí parece una solución valiosa como bien público

  • Parece que el blog recibió un hug of death. Dejo en su lugar el enlace al archivo

  • Esto creo que en la UE no sería posible

  • Cuando Apple lanzó App Tracking Transparency por primera vez, la activé de inmediato para bloquear rastreadores, y era tan simple y útil que después dejé de pensar en el tema. El contraste con los sitios web actuales, que te exigen toda clase de gimnasia de clics para desactivar rastreos parecidos, me pareció muy marcado

    • Irónicamente, Apple misma es una de las grandes empresas publicitarias que viven de los datos personales de los usuarios. Pero al dejarte bloquear a otras empresas de anuncios y apuntar el dedo hacia afuera, parece haber ganado casi por completo la confianza de los usuarios. La mayoría ni siquiera parece saber cuánto dinero gana Apple en publicidad gracias a sus datos. Artículo sobre el negocio publicitario de 4 mil millones de dólares de Apple
    • Aquí creo que hay un malentendido común. ATT no bloquea por completo los rastreadores. Si usas un bloqueador de anuncios y rastreo basado en DNS y revisas los logs, muchas apps todavía intentan rastrear. Según entiendo, ATT se acerca más a bloquear el rastreo cruzado entre apps y sitios web. Lo hace impidiendo que las apps accedan al IDFA, para que no puedan usar un identificador común entre varias apps. Al principio el golpe financiero fue grande, pero es muy probable que ahora las empresas de rastreo hayan desarrollado bastantes otras técnicas de correlación. La solución real sería que Apple y Google ofrecieran una opción para desactivar por completo los rastreadores dentro de las apps y expulsaran de la App Store a quien no cumpliera. Pero como ganan mucho dinero con sus propias redes publicitarias, no creo que lo hagan. Al final, Apple y Google no están de nuestro lado en este tema
    • Irónicamente, creo que Google, aunque quisiera, tiene difícil desactivar las third-party cookies. Podría verse como una práctica anticompetitiva contra otras redes de rastreo, y por eso los tribunales se lo han impedido
    • Yo más bien creo que ese proceso complejo de clics necesario para desactivar el rastreo debería permitirse por ley solo para el opt-in. El esquema actual de consentimiento por defecto, escondido en términos que nadie lee, tiene que cambiar
    • En mi caso es al revés: con Firefox, arkenfox y uBlock Origin en modo avanzado, lo que requiere toda clase de gimnasia de clics es activar un rastreo parecido

  • Este blog podría ser candidato al diseño menos serio que he visto este año

    • Del diseño no sé, pero me parece que por ahí había un artículo en alguna parte. Para referencia, yo ando por unos 3000 puntos

  • Cada vez que leo algo de este autor, termino distraído con el Space Invaders del costado y me pongo a jugar eso. Supongo que será porque tengo tendencia al ADHD, pero no creo ser el único

    • Yo también jugué unos minutos y no logré terminar el texto. Yo también tengo ADHD, pero para ser justo, un Space Invaders con control por mouse es bastante divertido
    • Si el autor de verdad quería decir algo importante, creo que esta presentación termina debilitando su propio mensaje
    • Yo creo que simplemente puedes leer mientras juegas. La combinación estuvo bastante bien
    • Solo venía hojeando los comentarios, pero después de leer esto decidí no seguir posponiendo el clic. Ahora creo que voy a pasar la próxima hora jugando Space Invaders
    • Espera, ¿qué artículo?