Una nueva investigación publicada por académicos de KU Leuven, Radboud University y University of Lausanne ha revelado que las direcciones de correo electrónico de los usuarios se filtran a dominios de seguimiento, marketing y análisis antes de que se envíen y sin consentimiento previo.
El estudio involucrado rastreó 2,8 millones de páginas de los 100 sitios web principales y descubrió que hasta 1844 sitios web permitían a los rastreadores capturar direcciones de correo electrónico antes de enviar formularios en la Unión Europea, un número que saltó a 2950 cuando se visita el mismo conjunto de sitios web desde los EE. UU.
«Los correos electrónicos (o sus hashes) se enviaron a 174 dominios distintos (eTLD+1) en el rastreo de EE. UU. y 157 dominios distintos en el rastreo de la UE», los investigadores dicho. Además, se determinó que 52 sitios web recopilaban contraseñas de la misma manera, un problema que desde entonces se ha solucionado tras la divulgación responsable.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak y Oracle son algunos de los principales rastreadores de terceros que se han visto registrando direcciones de correo electrónico, mientras que Yandex, Mixpanel y LogRocket lideran la lista en la contraseña. -categoría de acaparamiento.
Las direcciones de correo electrónico presentan una serie de ventajas. No solo son únicos, ya que permiten a terceros realizar un seguimiento de los usuarios en todos los dispositivos, sino que también se pueden emplear para hacer coincidir sus actividades en línea y fuera de línea, por ejemplo, en escenarios en los que realizan una compra en la tienda que requiere que compartan su dirección de correo electrónico o Regístrese para obtener una tarjeta de fidelización.
La idea detrás de la recolección de direcciones de correo electrónico ingresadas en formularios en línea, incluso en los casos en que los usuarios no envían ningún formulario, también se ha visto impulsada por los intentos continuos de los proveedores de navegadores de dejar de admitir cookies de terceros, lo que obliga a los especialistas en marketing a buscar identificadores estáticos alternativos. para rastrear a los usuarios.
No es la primera vez que se plantea una preocupación de este tipo. En junio de 2017, Gizmodo descubrió que un tercero llamado NaviStone estaba recopilando información personal de los formularios de la calculadora de hipotecas antes de enviarlos, y muy pocos sitios web divulgaban explícitamente esta práctica en su política de privacidad.
Avance rápido cinco años después, no ha cambiado mucho, dijeron los investigadores, con sitios web relacionados con moda/belleza, compras en línea y noticias generales que emergen como las principales categorías con más «formularios con fugas.»
«A pesar de llenar los campos de correo electrónico en cientos de sitios web categorizados como pornografía, no tenemos una sola fuga de correo electrónico», muestran los hallazgos, y señalan cómo se alinea con estudios previos que han demostrado que los sitios web para adultos tienen relativamente menos rastreadores de terceros en comparación con los sitios generales con una popularidad comparable.
Además, tal práctica puede estar en violación de al menos tres Reglamento General de Protección de Datos diferentes (RGPD) requisitos en la UE, contraviniendo los principios de transparencia, limitación del propósito y consentimiento del usuario.
«Los usuarios deben asumir que la información personal que ingresan en los formularios web puede ser recopilada por rastreadores, incluso si el formulario nunca se envía», concluyeron los investigadores, y solicitaron una mayor investigación por parte de los proveedores de navegadores, los desarrolladores de herramientas de privacidad y las agencias de protección de datos.