Hechos clave:
-
Google propone empaquetar todo lo que compone una web en un archivo llamado web bundle.
-
Los servicios de rastreo permiten conocer la identidad de usuario que paga con criptomonedas.
Desde los inicios de Google, el modelo de negocio de esa empresa ha sido la venta de datos y la publicidad. Para ello, ha recurrido a distintas técnicas de rastreo de los usuarios. Estas técnicas son las que exploradores como Brave combaten. Sin embargo, los investigadores de Brave advierten que se está desarrollando una “mejora” para los sitios web que incluso ellos no podrían manejar. Se llaman web bundle y podrían ser la nueva innovación que afecte la privacidad del internet.
En su aspecto más superficial, los web bundles no son más que una manera de acelerar al máximo los tiempos de carga de las páginas web. La idea detrás de esta innovación es aprovechar el cada vez menor tiempo de atención (attention span) de los usuarios de Internet. Un web bundle empaqueta todos los recursos de una página web en un archivo “.wbn”. Este archivo es que utilizará el navegador para cargar y desplegar la página web que se desea visitar.
Para Peter Snyder, investigador en privacidad de Brave, este nuevo estándar es una afrenta grave a la privacidad y capacidad de control dentro de la web. En sus palabras:
“Este estándar permite a los sitios web “agrupar” recursos y hará imposible que los navegadores razonen sobre los hipervínculos dentro de un sitio por medio de las URL. Esto amenaza con cambiar a la Web de pasar de ser una colección de recursos con hipervínculos (que pueden ser auditados, recuperados selectivamente o incluso reemplazados) a “paquetes o blobs” opacos en que tengas que aceptar todo o nada (como PDF o SWF).”
Peter Snyder, en el Blog de Brave.
En el día a día, un navegador como Brave, preocupado por la seguridad y la privacidad, examina los archivos de JavaScript asociados a una URL particular y bloquea aquellos que considera abusivos o peligrosos. Sin embargo, la forma en que se estructura una web dentro de un web bundle hace muy complicado llevar adelante ese análisis, así que las herramientas de privacidad basadas en URLs no funcionan.
Cómo los web bundles de Google atacan tu privacidad
En el blog de Brave, Peter Snyder también indica que “las organizaciones, usuarios, investigadores y reguladores que creen en una web abierta y transparente, deben oponerse a este estándar”. Y da razones muy concretas de para aliarse.
Como se comentó en la sección anterior: Brave bloquea los rastreadores y compañías de publicidad estudiando las URLs que se encargan de desplegar los servicios de rastreo y publicidad en los sitios web que las personas visitan todos los días.
Una de las maneras que tenían los rastreadores para superar los navegadores privados y herramientas de bloqueo era utilizando una alta cantidad de URLs para referirse al mismo archivo o servicio, aleatorizando el proceso de acceso al mismo.
Sin embargo, aleatorizar las URL daña el almacenamiento en caché, requiere que el archivo al que se hace referencia se almacene en algún lugar de manera persistente y se envíe a las CDN, etc. Es posible que algunos sitios hagan esto, pero es difícil y costoso, por lo que es poco común.
Una solución más económica que utilizan los sitios de hoy en día son las cookies u otros mecanismos de seguimiento. Gracias a ellos logran que una única URL se comporte de manera diferente para cada usuario. Sin embargo, también es un mecanismo frágil, difícil y costoso.
Los web bundles facilitan a los sitios eludir las herramientas de privacidad al aleatorizar las URL de recursos no deseados. Haciendo que direcciones como “example.org/tracker.js” pasen a ser denominadas dentro del bundle como “3.js” y no puedan ser identificadas por el navegador.
Los rastreadores son una preocupación real para los usuarios, en especial para aquellos que utilizan criptomonedas como medio de pago. Un paper de la Universidad de Princeton demuestra que las herramientas de rastro no solo pueden ser una fuente de riesgo para el usuario promedio, sino que, si un usuario paga una transacción con criptomonedas dentro de una tienda online, gracias a las cookies se pueden obtener suficiente información para conseguir su transacción en una blokchain pública y de esta forma conectar la identidad real de comprador.
Brave vs Google: Argumentaciones de lado y lado
Preocupaciones como las expresadas por el investigador de Brave fueron acompañadas por otras personas. Maciej Stachowiak, un ingeniero de Apple, apoyó a Brave por Twitter e indicó que “(los web bundles) son parte de la ambición de Google de ofrecer servicios a toda la web desde sus propios servidores mientras finge que provienen de otras partes. También es malo para las protecciones de privacidad”.
Google se ha negado a brindar una respuesta oficial a las preocupaciones de los usuarios. No obstante, Alex Rusell, Desarrollador Senior de Google respondió por Twitter al Blog de Brave indicando que “Los usuarios pueden decidir si desean utilizar los bundles o no”. Sin embargo, la manera en que Google patrocina los web bundles hace pensar sólo en las ventajas y no en los riesgos que ellos implican.
A pesar de toda esta campaña que lleva adelante, la reputación de Brave se encuentra en entredicho desde que se descubrió que el navegador tenía enlace de referidos ocultos. CriptoNoticias reportó como este descubrimiento llevó a la creación de una bifurcación de Brave: el navegador Braver, que respetaba el bloqueador nativo de publicidad, pero eliminaba los enlaces que causaron incomodidad en la comunidad bitcoiner.
La preocupación de Brave parece ser sincera y bien argumentada. Los web bundles presentan un riesgo real para los navegadores. Solo queda la duda de sí Google, como actor dominante en la web, capaz de influir en la visibilidad de los proyectos al posicionarlos en su motor de búsqueda, aceptará a los críticos o los ignorará.
