Nombre, correo y fecha de caducidad de la tarjeta: resulta que los píxeles publicitarios saben más sobre ti que tu esposa.
Un solo clic en una tienda online da a las empresas acceso a todos los secretos del cliente.
Un análisis reciente del funcionamiento de los píxeles publicitarios de TikTok y Meta mostró que las herramientas populares de seguimiento recopilan significativamente más datos de los necesarios para evaluar la eficacia de la publicidad. En varios casos se trata no solo del comportamiento de los usuarios en el sitio, sino también de información personal y detalles de las compras, lo que genera riesgos para la privacidad y para los negocios.
Especialistas de la empresa Jscrambler investigaron el comportamiento de los píxeles en los sitios web de grandes empresas de los sectores del comercio minorista, la hostelería y la salud. Los resultados mostraron que la configuración estándar de tales herramientas permite registrar no solo las vistas de páginas y los clics, sino también direcciones de correo electrónico, números de teléfono y direcciones físicas de los usuarios. Estos datos se convierten en hashes, que son fáciles de vincular con personas reales, lo que en la práctica elimina el anonimato.
El mecanismo de TikTok genera varios registros por cada acción del usuario, incluidos el evento, los metadatos y los parámetros de rendimiento. Meta emplea un enfoque similar, procesando el nombre, la ubicación y otros identificadores. Dado que el hashing sigue siendo predecible, la correlación con conjuntos de datos ya conocidos no presenta dificultades y permite construir perfiles de comportamiento a largo plazo.
Además de la identificación de usuarios, los píxeles recopilan información comercial detallada. En las solicitudes se transmiten con regularidad los nombres de productos, los precios, las cantidades, la moneda y el coste total del carrito. Se registran las acciones en la etapa de pago, incluyendo la adición de un producto y la introducción de los datos de pago. Meta analiza además la estructura de las páginas y de los formularios, lo que proporciona una visión del funcionamiento interno de los sitios.
En muchos casos, los propietarios de los sitios desconocen este nivel de recopilación de datos. Las integraciones con plataformas de comercio electrónico transmiten automáticamente información sin un control explícito. Como resultado, servicios externos obtienen acceso a datos sobre el catálogo de productos, los precios y el comportamiento de los clientes, lo que potencialmente refuerza la posición de los grandes actores del mercado publicitario.
Existe una preocupación específica respecto al cumplimiento normativo. Los especialistas registraron que los píxeles de TikTok pueden transmitir datos incluso antes de que el usuario realice una selección en la ventana de consentimiento y aun después de que rechace el seguimiento. Meta incluye por defecto la función de recopilación automática de eventos, que puede registrar elementos de los formularios de pago, incluidas las últimas cifras de la tarjeta, la fecha de caducidad y el nombre del titular.
La transmisión de información a veces se realiza en texto sin cifrar, incluidas las solicitudes URL, lo que aumenta el riesgo de filtraciones a través de los registros del servidor, el historial del navegador y sistemas intermedios. Tales prácticas pueden contravenir los requisitos del GDPR, la CCPA y otras normas, especialmente al transmitir direcciones y datos de pago.
Los autores del informe señalan que los píxeles hace tiempo que dejaron de ser simples herramientas de analítica y se han convertido en sistemas completos de recopilación de información comercial. Cuantos más datos reciben las plataformas publicitarias, más precisos son los algoritmos de segmentación, lo que aumenta la ventaja de las empresas con grandes presupuestos publicitarios.
Para reducir los riesgos, se recomienda a las empresas comprobar el funcionamiento real de los píxeles, limitar el acceso a los datos sensibles y configurar el comportamiento de los scripts teniendo en cuenta el consentimiento de los usuarios y los requisitos regionales. La monitorización regular debería ayudar a identificar situaciones en las que el volumen de información recopilada excede los límites iniciales.