El 25 de mayo de 2022, se publicó una denuncia proveniente de una organización internacional de ONG que declaraba una recopilación indebida de información del usuario y violación de la privacidad de cierto usuario de Spider AF. El alegato es que la recolección indebida de información del usuario se realizó mediante el uso de la tecnología de huellas dactilares lona utilizada en el servicio de contramedidas publicitarias antifraudulentas, Spider AF. No obstante, Spider AF rechaza esta acusación y confirma que las acusaciones reportadas son altamente inexactas.
Como empresa de seguridad cibernética, Spider AF toma en serio la privacidad y la seguridad. Actualmente estamos llevando a cabo más investigaciones sobre estas acusaciones junto con la investigación continua de los hechos. Adicionalmente, el punto de vista de nuestra compañía con respecto a este tema es el siguiente:
1 Sobre nuestro negocio
Somos un “Negocio de Prevención de Fraude en Publicidad Digital”, y nuestro servicio “Spider AF” es una herramienta que detecta métodos fraudulentos de explotación de tarifas publicitarias como el aumento ilegal de impresiones y clics de anuncios a través de programas automatizados para la distribución de anuncios basada en el rendimiento.
El informe afirma que nuestro negocio es “servir anuncios dirigidos”, pero no participamos en ningún negocio de este tipo (es decir, servir anuncios solicitados por los anunciantes).
El informe también señala que no hubo respuesta a su solicitud de comentarios, pero Spider AF no recibió ninguna solicitud de este tipo.
2 Tecnología de huellas dactilares de lona
“Canvas Fingerprinting” es una tecnología que permite al navegador operado por el usuario (en adelante, “usuario”) de un sitio web donde se coloca una etiqueta dibujar una imagen utilizando la funcionalidad canvas, y adquirir información hash de los datos de píxel generados como “huella digital” (datos identificativos). Esta tecnología es ampliamente y comúnmente utilizada tanto por anunciantes como en herramientas de análisis web.
Usando esta tecnología se utiliza el entorno del navegador de un usuario (SO, hardware, navegador, etc.) para generar un determinado dato hash (siendo la huella digital en cuestión). No obstante, existen diferentes niveles de granularidad de huellas dactilares y no todos pueden ser utilizados para identificar a un usuario específico.
Es decir, la huella digital, consistente en los datos hash obtenidos de la tecnología en cuestión, no es más que los valores fijos a partir de los datos originales solicitados por el protocolo de cálculo específico, que por sí mismo es simplemente información sin sentido, no poseída de ninguna función más allá de identificar, a lo sumo, “un usuario que tiene el mismo entorno de navegador”.
Adicionalmente, se supone que debe configurarse con diversos grados de precisión, por ejemplo, algunos solo identifican el tipo de dispositivo (es decir, Android o iPhone), o el tipo de navegadores utilizados (es decir, chrome o Firefox) y no todas las “características del entorno del navegador” son necesariamente hash.
El uso de 3 Spider AF de la tecnología de huellas dactilares de lona
Spider AF utiliza la tecnología de huellas dactilares canvas con el único propósito de detectar fraudes de anuncios, y su precisión se limita únicamente a un hash de “tipo de dispositivo/navegador” únicamente. No calculamos una huella digital granular del entorno del usuario y no podemos identificar a los usuarios en función de esta información. Utilizamos la huella digital de lienzo para identificar un tipo de dispositivo en lugar de un usuario específico. Al obtener la huella digital de un tipo de dispositivo, podemos investigar si un acceso es auténtico o no.
Los accesos que se producen desde entornos de navegador que no son auténticos (es decir, suplantación de identidad) a menudo están relacionados con intentos fraudulentos de abusar de un servicio. Por ejemplo, investigamos si los usuarios están disfrazando sus dispositivos mediante la obtención de huellas digitales, como mostrar anuncios que originalmente solo se entregan a dispositivos móviles en un entorno de máquina virtual, y utilizamos otra información para determinar la probabilidad de que un acceso en particular sea fraude publicitario en nombre de nuestros clientes.
Las huellas digitales que obtenemos se utilizan solo para nuestro juicio interno en cuanto a si es probable que el acceso a un sitio caiga o no dentro de la categoría de fraude publicitario, y no están destinadas a ser utilizadas con fines de distribución de anuncios, ni se proporcionan a los usuarios de Spider AF u otros terceros.
4 En cuanto a cómo Spider AF maneja la información personal obtenida de la tecnología de huellas dactilares de lienzo
El usuario Spider AF, al que se hace referencia en el reporte, llevaba utilizando nuestro servicio durante algún período de tiempo para detectar anuncios fraudulentos relacionados con servicios vendidos en Japón.
La parte involucrada colocó la etiqueta de Spider AF en la página de inicio del servicio (al momento de escribir este artículo, esta etiqueta ya ha sido eliminada), y se utilizó la tecnología “Canvas Fingerprinting” para enviar huellas dactilares (información hash solo limitada al “tipo de dispositivo”) de los visitantes a la página de destino a nuestros servidores.
Sin embargo, somos conscientes de que no existe ninguna violación en virtud de la ley pertinente que rige la información personal u otras leyes y regulaciones aplicables en Japón con respecto a esta transacción, y no creemos que sea apropiado concluir la transacción como recopilación injustificada de información o invasión de la privacidad.
Además, durante el uso por parte de dicha parte de Spider AF (previo al 31 de marzo de 2022), no existió una reglamentación especial bajo las leyes pertinentes en materia de adquisición y uso de huellas dactilares (no vinculadas a otra información personal), que por sí mismas no identifican a un individuo.
En tanto, a partir del 1 de abril del presente año, se ha establecido claramente por escrito que en lo que respecta a la ley revisada en cuestión, las regulaciones que rigen la “información personal” (ser información relacionada con una persona ya presente, no ser aplicable a la información de identificación personal, la información de procesamiento de seudónimos o la información de procesamiento de anonimato) ahora pueden aplicarse potencialmente a la toma de huellas dactilares como una forma de “información personal”.
No obstante, incluso en el contexto del contenido de dicha normativa, la “información personal” en cuestión sólo aplica si se comparte con terceros, siendo usuarios de Spider AF o terceros en el extranjero. (Artículos 31 y 28 de la misma ley.)
En resumen, como se demostró anteriormente, nuestra empresa solo utiliza huellas digitales internamente y no divulga dichas huellas dactilares a terceros, lo que significa que la normativa anotada por escrito a partir del 1 de abril del presente año no aplica a las huellas dactilares utilizadas por nuestra empresa.
Es verdaderamente lamentable que el asunto anterior haya sido reportado sin la confirmación suficiente de los hechos. Ha causado gran preocupación a la organización involucrada en el informe, a los clientes de Spider AF, a los socios y a todas las partes relacionadas.
Esperamos que continúe utilizando Spider AF con tranquilidad, ya que estamos comprometidos a brindar nuestros servicios en cumplimiento de las leyes y regulaciones pertinentes, y en consideración a la privacidad de nuestros usuarios, ya que trabajamos para evitar publicidad fraudulenta.
FIN DE LA DECLARACIÓN
<To get in contact regarding this incident>
Spider Labs, Ltd. Relaciones Públicas: Ryan Meegoda
Correo electrónico: pr@spider-labs.com
