Criteo, un gigante francés del marketing de vigilancia

Rastreo agresivo en todos tus dispositivos, una brecha de seguridad importante, doble discurso y ausencia de consentimiento, pero Criteo sigue impune

Publicado por Pixel de Tracking el 22 de mayo de 2020

Criteo, un gigante publicitario cuyo modelo de negocio se basa en tu vigilancia

Poco conocido por el público en general, Criteo es una historia de éxito francesa que ha logrado convertirse en líder mundial del retargeting. Según LinkedIn, la empresa cuenta con más de 3000 empleados, y cotiza en el NASDAQ desde octubre de 2013.

¿Cómo funciona Criteo? Basta con que consulte un sitio de comercio electrónico asociado (ejemplo: la Fnac) y luego un sitio de medios (ejemplo: Lemonde.fr) para verte bombardeado con anuncios que muestran los productos vistos anteriormente, además de sugerencias:

ejemplo

Los anuncios de retargeting como los que ofrece Criteo son los más intrusivos de la web y te hacen darte cuenta de que tus hábitos de compra no tienen secretos para los anunciantes. Y si miramos la tipología de los actores publicitarios, Criteo es uno de los jugadores menos respetuosos con tu privacidad:

  • Criteo es una red publicitaria: cuanto más te conoce, más dinero gana.
  • Los datos recogidos por Criteo son muy personales: tus productos vistos y tus compras.
  • A diferencia de un comercio electrónico como Amazon, que tiene tienda física y una relación directa con sus clientes, Criteo opera de forma oculta. No sabes que te están rastreando, no lo has elegido.

Ingresos puestos en riesgo por los navegadores web

Entonces podrías pensar que Criteo es una empresa publicitaria a la antigua, que se desarrolló cuando el móvil aún no era dominante, cuando el retargeting se basaba únicamente en cookies de terceros.

Si no utilizas un adblocker, es muy probable que tu navegador ya esté bloqueando el seguimiento de Criteo: Safari con Intelligent Tracking Prevention, Firefox, Brave e incluso Edge han tomado recientemente medidas enérgicas para combatir los rastreadores. Chrome va muy rezagado, pero prohibirá las cookies de terceros en menos de 2 años. Y siempre puedes decidir eliminar las cookies de terceros desde la configuración de tu navegador, para empezar de cero frente a las empresas de la adtech.

Estas medidas de los navegadores te protegen contra el seguimiento invasivo de las empresas de la adtech, que ya no pueden identificarte correctamente, como explica Criteo a sus inversores (diapositiva 7):

Navegadores Criteo

Las protecciones implementadas por los navegadores son una excelente noticia para los usuarios, pero representan un peligro vital para Criteo, por lo que su I+D invierte en soluciones para eludirlas.

Un historial de elusión de las protecciones del navegador

Criteo no lo menciona en su presentación a los inversores, pero tiene experiencia eludiendo las protecciones de los navegadores. Si nos remontamos a la primera versión de Intelligent Tracking Prevention de Safari, en septiembre de 2017, esta es la comunicación de Criteo a los inversores en noviembre de 2017:

La función de Intelligent Tracking Prevention de Apple, o ITP, se lanzó para dispositivos móviles el 19 de septiembre de 2017. Creemos que nuestra solución para usuarios de Safari actualmente nos permite mitigar aproximadamente la mitad del impacto potencial de ITP. En el tercer trimestre, ITP tuvo un impacto negativo neto mínimo en nuestros ingresos ex-TAC ​​de menos de $1 millón. Dadas nuestras expectativas sobre el lanzamiento de iOS11 de Apple y nuestra cobertura de los usuarios de Safari, esperamos que ITP tenga un impacto negativo neto en nuestros ingresos ex-TAC ​​en el cuarto trimestre de entre 8% y 10% en relación con nuestras proyecciones de caso base para el trimestre. Continuaremos mejorando e implementando nuestra solución para los usuarios de Safari durante los próximos trimestres.

Criteo ya había implementado una solución para eludirlas (explicada en este artículo):

Lo que hemos desarrollado es una solución respetuosa con la privacidad, que se basa en un identificador [no cookie] que permite la transferencia de información entre los sitios web y nuestros servidores

Repara en lo de “respetuosa con la privacidad” (!). Salvo que Apple reaccionó rápidamente e introdujo, a principios de diciembre de 2017, una actualización de ITP que dejó inoperante la técnica de elusión de Criteo. Esta es, pues, la nueva comunicación de Criteo a los inversores en diciembre de 2017:

A principios de este mes, Apple lanzó una nueva versión de su sistema operativo móvil, iOS 11.2, que desactiva la solución que algunas empresas del ecosistema publicitario, incluida Criteo, utilizan actualmente para llegar a los usuarios de Safari. En consecuencia, creemos que el impacto negativo neto del ITP del 9 %-13 % previsto sobre los ingresos ex-TAC de Criteo en 2018, en relación con nuestras proyecciones de caso base anteriores al ITP y comunicado el 1 de noviembre de 2017, ya no es válido. Estamos centrados en desarrollar una solución alternativa sostenible a largo plazo, basada en nuestros estándares de privacidad del usuario de primer nivel, alineando los intereses de los usuarios de Apple, los editores y los anunciantes. Esta solución aún está en desarrollo y su eficacia no puede evaluarse en esta etapa inicial. Si no mitiga ningún impacto del ITP, creemos que el impacto negativo neto del ITP en los ingresos de Criteo en 2018 ex-TAC, en relación con nuestras proyecciones de caso base anteriores al ITP, sería de aproximadamente el 22%.

Aquí hay que felicitar a Apple por mejorar periódicamente su solución ITP (el juego del gato y el ratón ha continuado después de 2017), que va ya por la versión 2.3. No obstante, sorprende que Criteo nunca haya sido sancionada por sus elusiones y que las comunique sin pudor.

Normativas para proteger mejor la privacidad de los internautas

Además, a medida que las regulaciones evolucionan para proteger mejor la privacidad de los internautas (RGPD y ePrivacy en Europa, CCPA en California), Criteo se encuentra cada vez más bajo presión: se presentó una denuncia de Privacy International contra Criteo, Quantcast y Tapad en noviembre de 2018 por violación del RGPD, y la CNIL inició la instrucción de la denuncia contra Criteo en marzo de 2020. Criteo también menciona estas regulaciones en su presentación “Identificación” para inversores (diapositiva 8), sin detenerse en los riesgos legales:

Regulación

La Bolsa no se equivoca: si Criteo todavía está valorada en 600 millones de euros, su valor ha caído drásticamente en los últimos cinco años:

Criteo Nasdaq

Criteo ha comprendido estas dos tendencias (la técnica, vía los navegadores, y la regulatoria): ahora se vuelca en una vigilancia mucho más insidiosa y generalizada a través del “Criteo Shopper Graph” y mantiene un doble discurso sobre el respeto a la privacidad.

Criteo Shopper Graph: la enorme base de datos de datos personales filtrada a Criteo

De nuevo en su presentación “Identificación” para inversores (diapositiva 19), Criteo expone claramente su objetivo: identificarte sin necesidad de cookies de terceros. Hoy en día, el 50 % de su negocio seguiría dependiendo de las cookies de terceros:

Cookies de terceros

En su web, Criteo destaca el “Criteo Shopper Graph”, su base de datos de usuarios. ¿Cuántas personas hay en esta base de datos? Estas son algunas de las cifras que aporta Criteo para presentar el “Criteo Shopper Graph”:

  • El 75% de los compradores online de todo el mundo.
  • Más de 1.900 millones de consumidores activos mensuales.
  • Más de 120 señales de compra diferentes.
  • 35 000 millones de eventos de navegación o de compra rastreados al día.
  • 800 mil millones de dólares en ventas anuales de comercio electrónico.
  • 1.500 millones de identificadores multidispositivo (Criteo te reconoce en varios de tus dispositivos).
  • 4,5 mil millones de productos.

Por defecto, Criteo no mezcla los datos personales recopilados de uno de sus clientes con los de sus otros clientes. Pero si un cliente quiere acceder al Shopper Graph, debe aceptar esta combinación. Por ejemplo: si la Fnac quiere acceder al Shopper Graph para mejorar la rentabilidad de sus campañas publicitarias, deberá aceptar que Criteo mezcle tus datos personales captados en el sitio de la Fnac con tus datos personales captados en otros clientes de Criteo que se hayan suscrito al Shopper Graph.

Y la propuesta funciona bien: Criteo indica que el 75 % de sus clientes participa:

Participación en Criteo Shopper Graph

¿Cómo construye Criteo esta enorme base de datos personales? Criteo ofrece explicaciones en su sitio web: el Shopper Graph agrega 3 fuentes de datos:

Criteo Shopper Graph

  • El Identity Graph permite reconocerte en todos tus dispositivos.
  • La Interest Map permite conocer tus distintas intenciones de compra.
  • Los Measurement Data permiten recopilar el detalle de tus diversas compras.

Veamos más de cerca el Identity Graph, el motor de seguimiento de Criteo.

El Identity Graph, o cómo Criteo te reconoce en todos tus dispositivos

Si partimos de la navegación del usuario, el primer paso es identificarte cuando navegas por sitios o aplicaciones de comercio electrónico. Criteo recopila los distintos identificadores de un mismo usuario según el dispositivo utilizado, y es entonces capaz de vincularlos entre sí para determinar que se trata de una sola y misma persona:

Identificadores

Vemos aquí que Criteo recopila varios tipos de identificadores y los asocia con el id de Criteo para rastrearte mejor:

  • Un identificador de cookie para cada uno de tus navegadores web o móviles.
  • Un CRM id para cada cliente, cuando estás conectado en el sitio del cliente.
  • Un identificador móvil (IDFA en Apple, Android Advertising Id en Android).
  • El hash de tu dirección de correo electrónico (una huella única, que no permite a Criteo recuperar la dirección de correo), cuando el cliente o el socio de Criteo transmite la información.

Este seguimiento es especialmente invasivo e irrespetuoso con tu privacidad porque Criteo consigue vincular tus distintos identificadores ("Graph"), y resulta difícil (identificadores móviles) o casi imposible reiniciar algunos de ellos (CRM id, hash de la dirección de correo). Un ejemplo entre muchos: la aplicación de la Fnac filtra el hash de tu dirección de correo a Criteo y no ofrece ninguna forma de rechazar este seguimiento.

Una vez que Criteo te ha reconocido, el segundo paso es recopilar todas tus intenciones de compra (la Interest Map):

Intenciones de compra

Sea cual sea el dispositivo o el sitio de comercio electrónico que consultes, Criteo recopilará así:

  • Los productos consultados.
  • Los productos añadidos al carrito.
  • Los productos comprados.

Los clientes de Criteo también pueden transmitir su propia lista de clientes a Criteo, a través de direcciones de email o identificadores de usuario como IDFA, Android Advertising ID o Criteo Id. Criteo indica a continuación el porcentaje de usuarios de la lista que ya pertenecen al Shopper Graph.

A continuación, el tercer paso es reconocerte para dirigirte los famosos anuncios intrusivos cuando navegas por un sitio o una aplicación de medios:

Editor - publicidad

Aquí podemos observar que Criteo tiene acuerdos privilegiados con numerosos medios, lo que a menudo le permite acceder de forma preferente al inventario publicitario (véase en particular su Direct Bidder) y también recuperar identificadores permanentes (direcciones de correo, inicios de sesión). Para los medios con los que Criteo no tiene un acuerdo privilegiado, Criteo compra en RTB (programático) pero debe pagar una tasa a los SSP (intermediarios).

El cuarto paso es medir si haces clic en el anuncio (Criteo paga a los editores por cada visualización del anuncio, y el anunciante le paga no por la compra sino por el clic en el anuncio), y luego medir si compras en el anunciante (los Measurement Data). Pero el seguimiento no se limita a tu comportamiento "online": Criteo también puede recuperar tus compras "offline" si sus clientes le transmiten la información:

Compras sin conexión

Criteo no lo menciona en su presentación del Shopper Graph, pero su presentación Identificación para inversores nos revela que también recopila tus datos personales a través de acuerdos (diapositiva 27):

Fuentes de datos

Como puedes ver, Criteo declara acuerdos con Liveramp, Oracle y editores para recuperar datos de identificación. Puedes obtener más información sobre el acuerdo con Liveramp en este vídeo comercial. Si miramos su sitio web, Criteo menciona también otros acuerdos que le permiten asociar tus distintos identificadores:

Identificadores de socios de Criteo

Criteo filtra los identificadores de su Shopper Graph a sus clientes

Criteo no se conforma con rastrear al 75 % de los compradores del mundo: también ofrece gratuitamente a los clientes de su Shopper Graph (aquellos que aceptan compartir tus datos personales) la posibilidad de recuperar los identificadores de usuario de este graph (los Criteo Id) para sus propias cuentas. Estas son las opciones que ofrece Criteo para filtrar los datos personales a sus clientes:

Compartir ID de Criteo

Recapitulemos:

  • Desde tu móvil, viste una lámpara en el sitio web del comercio electrónico ABC.
  • Vuelves al sitio web del comercio electrónico ABC, pero esta vez desde tu ordenador portátil.

Criteo te reconoce, aunque no te hayas conectado al sitio web del comercio electrónico ABC, porque ya te has conectado a otros sitios asociados de Criteo, tanto en tu móvil como en tu ordenador portátil.

Y Criteo permite que el comercio electrónico ABC te reconozca también.

Criteo vuelve a burlar las protecciones de tu navegador... e introduce una vulnerabilidad de seguridad

A excepción de Chrome, los navegadores toman medidas para protegerte de los rastreadores. Además, muchos internautas instalan adblockers. Ya hemos visto que Criteo tiene una larga experiencia eludiendo las medidas que toman los navegadores, y sigue actuando en esa dirección para continuar rastreándote en contra de tu voluntad.

¿Una de sus últimas iniciativas? Animar a sus clientes anunciantes y editores a delegar un subdominio a Criteo mediante la configuración de un CNAME (lee al respecto el artículo detallado de Romain Cointepas, cofundador de NextDNS, aplicación que lucha eficazmente contra este seguimiento). El CNAME permite especificar que un subdominio es un alias de otro dominio.

Se trata de una técnica antigua utilizada por determinadas herramientas de analítica y que actualmente suscita un renovado interés, en particular por parte de empresas francesas como Eulerian, AT Internet y, por tanto, Criteo. Esta es la documentación de Criteo que permite a los anunciantes y editores configurar un CNAME. Y estos son ejemplos de clientes que han implementado esta delegación:

  • El nombre de dominio xgctpf.allocine.fr es un alias hacia dnsdelegation.io, que a su vez apunta hacia gum.criteo.com
  • El nombre de dominio ddhhbh.alfaromeo.fr es también un alias hacia dnsdelegation.io, que también apunta hacia gum.criteo.com

Fíjate en los subdominios con cadenas de caracteres aleatorias: así Criteo puede rastrearte de forma oculta, y a los adblockers les resulta difícil actualizar los dominios que deben bloquearse (el editor puede decidir fácilmente cambiar el CNAME de una semana a otra). Firefox permite a las extensiones resolver los CNAME, lo que permite a uBlock Origin en Firefox bloquear correctamente estas llamadas, pero los demás navegadores no lo permiten.

Criteo consigue así acceder a la mayoría de los usuarios con un adblocker (el tema del CNAME agita a las comunidades que trabajan en adblockers) o con un navegador configurado para bloquear las cookies de terceros, lo que le permite:

  • Poder medir todas las visitas y conversiones en el sitio del anunciante.
  • Poder reorientarte en alguno de tus otros dispositivos (si no tienes un adblocker en todos tus dispositivos y el anunciante envía a Criteo un identificador permanente, como tu dirección de correo).
  • Poder, en teoría, identificarte a través de distintos sitios mediante técnicas de fingerprinting: con tu dirección IP o incluso con información adicional recopilada de tu navegador. Digo en teoría porque no tengo pruebas de que Criteo utilice técnicas de fingerprinting.

Una palabra más sobre el fingerprinting: está claro que a Criteo le interesa el tema, como indica este artículo del blog de I+D de Criteo, que detalla un artículo de investigación sobre el seguimiento basado en la dirección IP:

Durante los últimos años, los navegadores web han limitado cada vez más la persistencia de los identificadores (cookies), lo que dificulta el seguimiento de los usuarios. Un ejemplo revelador es la Intelligent Tracking Prevention de Safari. Este documento presenta una manera inteligente de superar la falta de identificadores persistentes sin infringir la privacidad del usuario, es decir, sin utilizar huellas digitales del navegador. Consiste en utilizar la detección de comunidades en el Device Graph para detectar cohortes estables (agrupación a nivel de persona o de hogar). Luego es posible encontrar las direcciones IP asociadas con la cohorte a lo largo del tiempo y así definir una ID persistente basada en estas direcciones IP. Esta técnica se llama relleno de gráficos. Esta técnica llega a sus límites cuando muchas personas utilizan la misma IP o en el caso de IP dinámicas. Por eso funciona a las mil maravillas en Estados Unidos, pero es más difícil de aplicar en China.

Seguimiento IP

El CNAME es una de las técnicas (junto con los inicios de sesión y los correos electrónicos) que permiten a Criteo presumir ante los inversores (diapositiva 15) de tener acceso "1st party" a los sitios web que consultan los internautas (aquí no necesita cookies de terceros para recopilar tus datos personales):

Criteo 1st party

Este es el correo que Criteo envió a sus clientes y socios (vía f_to_k):

Correo Criteo CNAME

Este correo parece inofensivo, pero la técnica del CNAME lo es mucho menos. Introduce una vulnerabilidad de seguridad si el sitio asociado no ha tomado precauciones: Criteo puede entonces leer las cookies depositadas en el dominio del sitio asociado. Estudiemos un ejemplo navegando por allocine.fr con Safari y la herramienta Charles Proxy:

Cookies Criteo Allocine

Como podemos ver, xgctpf.allocine.fr (alias Criteo) recupera las cookies depositadas en allocine.fr (que no están destinadas a él):

  • Cookies identificadoras colocadas por Google Analytics: _ga, _gat, _gid, _gads
  • Una cookie de identificación de Facebook: _fbp
  • Cookies que almacenan tu geolocalización: geocode, geolevel1, geolevel2, geolevel3
  • Tus cookies de autenticación en Allocine (yo estaba conectado): ACAUTH, ACCT, ACID, GraphToken

A través de los distintos identificadores "robados", Criteo puede enriquecer su Shopper Graph, pero eso no es lo más grave: a través de tus cookies de autenticación, ¡Criteo puede conectarse a tu propia cuenta de Allociné! Estos son los pasos para comprobarlo:

  • Recupera las cookies de autenticación de Allocine con Safari y Charles Proxy.
  • Entra en allocine.fr desde Chrome y asegúrate de haber cerrado sesión.
  • Usa la extensión de Chrome EditThisCookie para crear tus cookies de autenticación.
  • Actualiza la página, ¡estás conectado!

Criteo conecta Regalo: Allociné no ofrece una versión segura de su sitio web, así que Criteo no es el único que puede interceptar tus cookies de autenticación. Tu proveedor de acceso a Internet y las máquinas situadas entre tu dispositivo y los servidores de Allociné también pueden conectarse en tu lugar.

Este importante fallo de seguridad probablemente esté presente en muchos sitios asociados, porque Criteo ya ha conseguido convencer a más de 10.000 socios para que instalen un CNAME (Allociné era un ejemplo benigno; la mayoría de los socios son sitios de comercio electrónico que pueden almacenar información mucho más sensible, como tu tarjeta de crédito).

Lee al respecto esta conversación en el canal de Reddit r/adops: añadir un CNAME dista mucho de ser inofensivo, al contrario de lo que sugiere el correo de Criteo. ¿Cómo evitar esta filtración de información sin renunciar al CNAME de Criteo? No permitiendo que los subdominios lean las cookies del dominio (lee, por ejemplo, la documentación de Mozilla, “Alcance de las cookies”).

Sin embargo, Criteo sigue actuando con total impunidad: la técnica del CNAME ha sido objeto de un artículo en el Journal du Net en el que Criteo, ID5 y Prisma Media justifican la práctica del CNAME. El responsable de programática de Prisma Media llega incluso a acusar a los navegadores de extralimitarse en sus funciones al querer proteger la privacidad de los internautas:

Es francamente problemático que un navegador decida qué es justo o no afirmando que protege la privacidad de los usuarios, cuando esa es la función de la gestión del consentimiento. Si la persona no da su consentimiento, por supuesto no colocamos ninguna cookie.

Para Criteo, también el navegador debería abstenerse de "tomar decisiones" en lugar del internauta, que debe poder consentir (o no) por sí mismo la vigilancia publicitaria. Pero ¿cuál es la postura de Criteo ante la necesidad de obtener el consentimiento del usuario antes de rastrearlo?

Para recopilar el consentimiento, Criteo confía en anunciantes y editores asociados

La página de Criteo que explica el uso de los datos personales da una buena idea del alcance de los datos personales recopilados y del uso que se les da. La base jurídica que invoca Criteo para justificar esta apropiación de tus datos personales respetando el RGPD es el consentimiento. Pero, para Criteo, obtenerlo es responsabilidad exclusiva de sus socios, anunciantes y editores:

Las operaciones de procesamiento de Criteo cumplen con la normativa vigente en los países que requieren el consentimiento del usuario para el uso de cookies o cualquier otra tecnología similar. Este consentimiento se recopila en los sitios web y apps móviles de Anunciantes y Editores.

Criteo enfatiza este punto en su política de privacidad:

Ten en cuenta que el uso de las tecnologías de Criteo se rige por las políticas de privacidad publicadas en los sitios web y apps móviles de nuestros socios. Deben proporcionar información completa y adecuada y, en la medida que lo exija la ley, obtener su consentimiento antes de revelar cualquier dato personal sobre usted.

Criteo incluso indica que exige contractualmente a sus anunciantes y editores asociados obtener el consentimiento del usuario antes de implementar rastreadores:

Criteo exige contractualmente que los Anunciantes y Editores respeten su Carta Editorial general y su Carta dedicada a los socios, así como las diversas normativas vigentes en materia de protección de datos personales, en particular el RGPD. Al utilizar los servicios de Criteo, se comprometen, en la medida en que la normativa lo requiera: [...] a obtener el consentimiento de los usuarios antes de implementar cookies u otras tecnologías similares, con el fin de mostrar anuncios personalizados.

Sin embargo, Criteo no hace nada para hacer cumplir este contrato, como se puede ver con el ejemplo de Fnac. Obtener el consentimiento real del usuario antes de poder identificarlo equivaldría a que Criteo cerrara, de ahí su doble discurso.

Criteo tuerce la definición de consentimiento

Criteo no es ajeno al doble discurso. Así, por un lado, explicará a los usuarios en su política de privacidad que respeta la noción de consentimiento y pide contractualmente a sus socios que la apliquen. Por otro lado, les dice a sus socios que no necesitan obtener el consentimiento explícito de los usuarios.

En su "Directrices de privacidad de Criteo para clientes y socios editores", Criteo asesora a sus clientes sobre las cláusulas de información a incluir en sus políticas de confidencialidad. Además, Criteo vuelve a indicar a sus clientes que tienen la obligación de obtener el consentimiento de los usuarios dentro de la UE. Pero, ¿qué significa el consentimiento para Criteo? La definición se asemeja más a una simple obligación de información:

En particular, según la legislación de la UE, la solicitud de consentimiento se considera válida cuando: Los usuarios son informados sobre el uso de cookies y tecnologías distintas de las cookies por parte de Criteo con el fin de ofrecer publicidad dirigida cuando dan su consentimiento.

Criteo llega incluso a sugerir que se aproveche la laguna introducida por la CNIL, que todavía permite que casi toda la web francesa considere que continuar navegando por un sitio (un simple scroll o un clic en una nueva página) equivale a un consentimiento:

Aviso de cookies sugerido para países donde se requiere consentimiento Al continuar navegando en nuestro sitio, acepta el uso de cookies y tecnologías distintas de las cookies para proporcionarle contenido y publicidad personalizados en todos los sitios.

Como se indica en el Consejo Europeo de Protección de Datos, un organismo europeo independiente cuyos objetivos son garantizar la aplicación coherente del RGPD y promover la cooperación entre las autoridades de protección de datos de la UE, el consentimiento debe ser claro, afirmativo e inequívoco. Las últimas directrices se publicaron el 4 de mayo., podemos leer, por ejemplo, que el desplazamiento no constituye consentimiento:

desplazarse consentimiento RGPD

En un artículo titulado "RGPD: Criteo está listo para asumir el reto", Criteo detalla su visión del consentimiento, al considerar que no necesita obtener el consentimiento explícito del usuario:

El RGPD establece una clara distinción entre consentimiento inequívoco y consentimiento explícito. El consentimiento explícito implica una elección expresa por parte del usuario. Esto se aplica, por ejemplo, a la recopilación de datos sensibles como raza, religión, orientación sexual, afiliación política y salud. Por el contrario, los dispositivos de seguimiento en línea (por ejemplo, las cookies) se clasifican como simples datos personales. Además, según la nueva normativa, no se requiere una aceptación expresa para las cookies de retargeting clásicas que no recopilan datos sensibles.

Salvo que este comportamiento sí infringe el RGPD, que exige un consentimiento claro, afirmativo e inequívoco por parte del usuario. La CNIL también debe avanzar para adaptar su doctrina al RGPD: inició los trámites en julio de 2019, pero ahora usa la crisis del coronavirus como excusa para frenar esta necesaria adaptación.

Criteo escribió incluso un libro blanco sobre el RGPD en el que detalla sus argumentos falaces, pero solo queda un punto: Criteo no podría sobrevivir si se apoyara en un consentimiento genuino del usuario. Por eso se siente obligado a tergiversar la definición de consentimiento.

Las mentiras de Criteo en su política de privacidad

En su política de privacidad, Criteo indica que no recibe datos personales:

No se nos comunica ningún dato personal (apellido, nombre, dirección postal, dirección de email no cifrada u otros).

Esto es falso: los clientes de Criteo sí pueden comunicar a Criteo tu dirección de correo en claro, como indica esta página de soporte para “crear una audiencia”:

Un archivo de direcciones de email de CRM que contiene direcciones completas, direcciones de email cifradas mediante hash MD5 o SHA256 de MD5 (direcciones completas>MD5>SHA256).

Si el cliente envía las direcciones de correo en claro, Criteo afirma que las cifra antes de almacenarlas, así que no te queda más que confiar en él.

También en su política de privacidad, Criteo admite que los datos que no serían de carácter personal (los seudónimos) sí se consideran datos personales en la Unión Europea y en California:

Sin embargo, esta información se considera datos personales según el Reglamento general de protección de datos de la UE (GDPR), así como la Ley de privacidad del consumidor de California (CCPA).

Otra mentira, en el apartado “Compromisos de Criteo”, podemos leer:

Los anuncios de Criteo no implican en ningún caso recopilar los siguientes datos: [...] identificadores persistentes, como los identificadores de los dispositivos que utiliza (UDID, dirección MAC, etc.)

Salvo que el hash de tu dirección de correo sí es un identificador persistente. Además, este "compromiso" contradice la presentación “Online identification at Criteo” para inversores. En la diapositiva 16, Criteo indica que el 96 % de las “identidades” (= usuarios) de su “Identity Graph” contiene al menos un identificador persistente:

Identity Graph Criteo - identificadores persistentes

En la diapositiva 22, Criteo indica también que recurre a terceros para obtener más identificadores persistentes y así dejar de depender de las cookies:

socios identificadores persistentes

La duplicidad de Criteo es flagrante: por un lado, el compromiso con los internautas de no recopilar "en ningún caso" identificadores persistentes; por otro, la facilitación de la recopilación de esos identificadores persistentes a través de los anunciantes y editores asociados (como recordatorio, la página de soporte que indica cómo enviar a Criteo una lista de correos) y la comunicación de esos identificadores persistentes a los inversores.

Desactivar los servicios de Criteo en apps móviles no funciona

Como se ve con el ejemplo de Fnac en iOS, Criteo continúa recopilando un hash de tu dirección de email, incluso cuando hayas desactivado el seguimiento de anuncios:

Limitar el seguimiento publicitario

Sin embargo, su página "Desactivar los servicios de Criteo en apps móviles" indica:

Consentimiento de retirada de Criteo

Aquí encontramos una doble mentira por parte de Criteo: mi correo (o incluso un hash de mi correo) es un identificador persistente y, sin embargo, Criteo sí lo recopila (primera mentira), incluso si desactivo el seguimiento publicitario (segunda mentira).

Abusos repetidos y documentados, pero aún sin sanción

Las prácticas poco éticas de Criteo han sido detalladas y denunciadas durante mucho tiempo, aquí hay algunos elementos:

  • La denuncia de Privacy International contra Criteo, Quantcast y Tapad por violación del RGPD data de noviembre de 2018; la CNIL tardó 16 meses en reaccionar e iniciar la instrucción.
  • La técnica del CNAME no es más que un elemento entre otros desarrollados por Criteo para eludir las protecciones establecidas por los navegadores; la EFF ha documentado los intentos previos de Criteo por eludir el ITP de Safari.
  • Estas técnicas fueron detalladas por Gotham City Research LLC en un informe dedicado.
  • Otro informe de Gotham City Research LLC denuncia el fraude generalizado en el inventario gestionado por Criteo. Conviene señalar que los informes no eran desinteresados, porque Gotham especulaba abiertamente a la baja sobre la cotización de Criteo; aun así, las prácticas denunciadas estaban probadas.
  • Criteo es parte de la Comité de publicidad aceptable, a iniciativa creada por Adblock Plus, permitiendo a Criteo mostrar anuncios incluso si tienes instalado Adblock Plus u otros adblockers que apoyan la iniciativa (estos anuncios están "adaptados": ocupan un poco menos de espacio que los anuncios tradicionales de Criteo). Impactante porque los anuncios de Criteo son particularmente intrusivos, pero los “Anuncios Aceptables” se basan “sólo” en la contaminación visual.

Sin embargo, no pasa nada. Dada la historia de la CNIL, es razonable dudar de la hipótesis de sanciones reales contra un campeón digital francés con un importante peso económico y político, como se demuestra la visita de Bruno Le Maire con motivo del 1er aniversario del laboratorio de inteligencia artificial Criteo, el pasado mes de octubre. Para Bruno Le Maire, Criteo es "uno de los grandes éxitos franceses de los últimos 15 años":

Tweet Bruno Le Maire - Criteo

¿Qué hacer entonces? Por desgracia, a la espera de una verdadera ambición política, las soluciones siguen siendo individuales y técnicas: usar un adblocker como uBlock Origin combinado con Firefox en la web (u otros navegadores respetuosos con la privacidad como Brave y Safari), recurrir a aplicaciones como DNSCloak, AdGuard o NextDNS en iOS, o incluso instalar Pi-hole en una Raspberry Pi si tienes gusto por la técnica.