La gran liquidación de tus datos personales en Le Bon Coin

El sitio de anuncios clasificados es una mina para el marketing de vigilancia

Publicado por Pixel de Tracking el 30 de septiembre de 2020

Le Bon Coin filtra tus datos personales nada más llegar a su sitio web

Le Bon Coin es un enorme éxito comercial en Francia; el sitio de anuncios clasificados ha sabido volverse indispensable para muchos particulares. Como tengo bastante a menudo cosas que revender, quise averiguar si Le Bon Coin respetaba mi privacidad. Empecemos por el sitio web leboncoin.fr; estos son los pasos a seguir si quieres reproducir la experiencia:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación); así cierras la sesión de tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), pestaña "Network", o inicia Charles Proxy.
  • Luego ve a la página de inicio leboncoin.fr.

Pagina de inicio Le Bon Coin

Primera observación: Le Bon Coin no ofrece una opción directa para rechazar la vigilancia publicitaria. Esta presentación no cumple con el RGPD: la opción "Lo he entendido" está resaltada en azul y, sobre todo, obliga al usuario a configurar sus opciones mediante el botón "Personalizar"; la inmensa mayoría no hará ese esfuerzo.

Veamos ahora las solicitudes enviadas al llegar al sitio; recuerda que aún no has elegido aceptar o rechazar el seguimiento:

antes1antes2

¡Sorpresa! No has hecho nada, pero Le Bon Coin ya multiplica las llamadas a empresas de marketing; algunas de ellas empiezan el seguimiento sin tu consentimiento. Aquí tienes una lista de rastreadores que utilizan un identificador personal (seudónimo):

Ahora, ¿qué pasa si haces clic en el botón "Personalizar"?

Le Bon Coin - Personalizar

Buenas noticias: sí hay un botón "Rechazar todo"; hagamos clic en él y observemos las solicitudes enviadas:

rechazar

Acabas de hacer el esfuerzo de rechazar todo seguimiento, pero sigues filtrando tus datos personales a los gigantes de la vigilancia publicitaria:

  • Facebook: la vigilancia continúa, Facebook sigue todas tus acciones en el sitio leboncoin.fr. Irónicamente, la firma de Menlo Park recupera aquí justamente la información de que has hecho clic en el botón "Rechazar todo".
  • Google: a través de su plataforma de monetización publicitaria Google Ad Manager (que reúne servidor de anuncios y SSP), Google también recupera tu navegación.

Consulta algunas páginas y comprueba que las llamadas a empresas de marketing siguen representando la mayoría de las solicitudes:

Le Bon Coin rechazo consentimiento 1Le Bon Coin rechazo consentimiento 2

La mayoría de estos actores parecen tener aquí en cuenta tu consentimiento (no depositan cookies, aunque en teoría podrían rastrearte con tu dirección IP y las características de tu navegador), pero cabe preguntarse por qué Le Bon Coin los llama. Los rastreadores ya enumerados antes continúan la vigilancia (Google, Facebook, AT Internet, Sublime, Datadome), y también se aprecia un recién llegado, Index Exchange (vía casalemedia.com), otra plataforma de monetización publicitaria.

Si ahora sigues navegando sin prestar atención al banner de consentimiento (como la gran mayoría de los usuarios), es literalmente una masacre:

navegar1navegar2navegar3

Aquí no hay cuartel: todo el mundo te rastrea, así que podemos detectar:

  • Weborama: empresa francesa de marketing de datos, que filtra en particular tus datos personales a empresas rusas.
  • Criteo: un gigante francés del marketing de vigilancia especializado en el "retargeting", con prácticas poco éticas.
  • AppNexus: a través de adnxs.com, una plataforma estadounidense de monetización de publicidad (SSP), adquirida por el gigante de las telecomunicaciones AT&T y que también ofrece una plataforma de compra de espacios publicitarios (DSP).
  • Realytics: una plataforma de compra programática de televisión.
  • Amazon: dentro de los GAFA, no solo Google o Facebook ofrecen soluciones publicitarias; Amazon también ofrece sus soluciones de monetización para editores.
  • Smart AdServer: una plataforma francesa de monetización de publicidad.
  • TheTradeDesk: a través de adsrvr.org, una plataforma estadounidense de compra de espacios publicitarios.
  • Yahoo: sí, Yahoo todavía existe... Y ofrece soluciones publicitarias.
  • Temelio: a través de leadplace.fr, una solución francesa que permite cruzar tus datos personales online y offline, ¡no te escaparás!
  • Graphinium: a través de crm4d.com, otra solución francesa que permite cruzar tus datos personales online y offline.
  • Zemanta: adquirida por Outbrain (líder mundial en enlaces clickbait al final de los artículos), Zemanta ofrece una plataforma de compra de "publicidad nativa" (publicidad "disfrazada", con el mismo aspecto visual que el contenido, como en Facebook o Twitter).
  • Liveramp: a través de rlcdn.com, líder mundial en el cruce de tus datos personales online y offline (competidor de Temelio y Graphinium).
  • Nielsen: a través de exelator.com, el gigante de los estudios de mercado se ha expandido por internet mediante la adquisición del proveedor de datos personales eXelate en 2015.
  • ZBO Media: a través de zebestof.com, empresa del grupo Figaro - CCM Benchmark, que se presenta como "el único actor programático capaz de explotar todos los datos del Grupo Figaro – CCM Benchmark". Como recordatorio, lee el artículo "Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses".
  • Pubmatic: plataforma estadounidense de monetización publicitaria.
  • TripleLift: a través de 3lift.com, red publicitaria especializada en publicidad nativa.
  • Adform: plataforma que ofrece un conjunto completo de herramientas publicitarias, en primer lugar para anunciantes y agencias (adserver, DSP y DMP), pero también para editores (adserver y SSP).
  • OpenX: otra plataforma estadounidense de monetización publicitaria.
  • Adot: a través de adotmob.com, red publicitaria francesa.
  • ESV Digital: a través de esearchvision.com, empresa francesa antes conocida por su herramienta de seguimiento de campañas de enlaces patrocinados en Google.
  • Integral Ad Science: a través de adsafeprotected.com, herramienta de detección de fraude, de medición de visibilidad (¿la publicidad mostrada es visible para el usuario o está al final de la página?) y de "brand safety" (¿la publicidad se difunde en un sitio "de calidad"?).
  • Adobe: a través de everesttech.net, Adobe es conocido por Photoshop, pero la empresa estadounidense ha realizado numerosas adquisiciones (Analytics, Tag Management, DMP, compra de medios, etc.) para ofrecer una suite de marketing completa.
  • Delta Projects: a través de de17a.com, empresa que gestiona la compra de espacios publicitarios.
  • Adition: empresa alemana que ofrece soluciones publicitarias a anunciantes y editores.
  • Turn: empresa que ofrece una plataforma de compra de espacios publicitarios y una "Data Management Platform", adquirida por Amobee en 2017.
  • BidSwitch: actor esencial de la publicidad programática, intermediario que permite tender un puente entre las plataformas de compra y las plataformas de monetización que no están directamente conectadas entre sí. Es una filial de la empresa rusa Iponweb.
  • Beeswax: a través de bidr.io, ofrece una plataforma de compra de espacios publicitarios configurable, con lo que el anunciante dispone de un mayor margen de maniobra para integrar su propia lógica de compra (frente a soluciones "llave en mano" como la plataforma de compra de Google).
  • Bid Theatre: plataforma de compra de espacios publicitarios.
  • OnAudience: proveedor de datos personales.
  • Quantcast: red publicitaria, que también ofrece una herramienta de analítica (mediante la cual te perfilará) y una CMP (plataforma de recogida de consentimiento).
  • Conversant: a través de dotomi.com, empresa estadounidense de marketing de datos.
  • Admixer: empresa que proporciona herramientas publicitarias para editores y anunciantes.
  • Advendori: empresa especializada en la personalización de banners publicitarios.
  • Simpli.fi: red publicitaria.
  • Lotame: a través de crwdcntrl.net, proveedor de datos personales.
  • Wizaly: a través de tk.conforama.fr, plataforma de atribución. Permite a un anunciante comprender qué campañas publicitarias son eficaces. Así pues, al parecer Conforama utiliza Wizaly (que pasa por una delegación de dominio o CNAME) para medir la difusión de sus anuncios en Le Bon Coin.
  • PulsePoint: a través de contextweb.com, actor del programático especializado en el ámbito de la salud (!)
  • CloudTechnologies: a través de erne.co, empresa polaca que presume de analizar y monetizar los datos personales de los usuarios en más de 200 mercados.
  • Tapad: empresa publicitaria estadounidense especializada en la vigilancia multidispositivo. Su argumento: localizarte sea cual sea el dispositivo que utilices, y luego vender esa información a las marcas y a otras empresas de la adtech.
  • DataXu: a través de w55c.net, plataforma de compra de espacios publicitarios adquirida por Roku, el líder de la televisión conectada en Estados Unidos (por delante de los demás: ChromeCast, Android TV, Amazon Fire TV o Apple TV).
  • Adelphic: a través de ipredictive.com, plataforma de compra de espacios publicitarios, forma parte de la empresa de marketing Viant.
  • TribalFusion: red publicitaria a la antigua usanza, aquí vamos en serio: ve al sitio y verás que todavía usa Adobe Flash.
  • Fifty: a través de fiftyt.com, empresa que gestiona las campañas publicitarias de los anunciantes (Trading Desk).
  • Playground: empresa que proporciona herramientas para crear anuncios y medir su eficacia.
  • Gumgum: red publicitaria.

Inicia sesión y deja que Weborama te rastree permanentemente

Cuando te conectas a tu cuenta de Le Bon Coin, Weborama no se limita a seguirte el rastro a través de un identificador publicitario que podrías restablecer eliminando tus cookies. Recupera un hash de tu dirección de correo electrónico. ¿Cómo se presenta Weborama? Si leemos su página de inicio:

Weborama ofrece soluciones avanzadas de conocimiento del consumidor basadas en una tecnología de análisis semántico única, extremadamente precisa y escalable, para permitir a las empresas generar crecimiento al tiempo que racionalizan sus costes de marketing. Concebida a partir de la IA semántica, Weborama propone una combinación de tecnologías, datos y conocimientos de alto rendimiento y 100 % conformes con el RGPD.

Ya nos habíamos topado con Weborama anteriormente:

Weborama actúa como un caballo de Troya en el sitio leboncoin.fr: "permite" la filtración de tus datos personales a un montón de nuevas empresas de marketing, algunas ubicadas en Rusia:

Weborama

Lista no exhaustiva de socios con los que Weborama sincroniza tu identificador personal en el sitio Le Bon Coin. Empresas francesas, estadounidenses o rusas con las que Le Bon Coin no tiene ninguna relación.

Pero Weborama también recupera el detalle de tu navegación en Le Bon Coin, vinculado a una firma (la variable "_emailhashe") correspondiente a tu correo electrónico. Esta es la información recopilada por una simple consulta de una mesa de formica:

Weborama2

"100 % conformes con el RGPD", ¿de verdad, Weborama?

Conéctate en Safari y filtra tus datos de conexión a Criteo

Como ya vimos en el artículo "Criteo, un gigante francés del marketing de vigilancia", Criteo empuja a sus clientes a crear una brecha de seguridad en sus sitios para poder rastrear mejor a los usuarios que utilizan adblockers o navegadores respetuosos con la privacidad como Safari. Para comprobar si Le Bon Coin es vulnerable, conectémonos a través de Safari y observemos cómo pasan las solicitudes:

Le Bon Coin - Criteo

¡Bingo! Le Bon Coin sí filtra tus datos de conexión a Criteo. El extraño dominio bvubje.leboncoin.fr es una delegación de dominio (o CNAME) hacia dnsdelegation.io, que a su vez es una delegación de dominio hacia gum.criteo.com. ¿Qué interés tiene Criteo en pasar por un CNAME para vigilarte en Safari? Este mecanismo tiene varios objetivos:

  • Evitar que ciertos adblockers lo bloqueen (usa uBlock Origin para evitar este seguimiento). Pero este argumento es válido para todos los navegadores.
  • Saltarse el bloqueo de las cookies de terceros.
  • Saltarse la limitación de duración de las cookies creadas en javascript (7 días), ya que la cookie pasa a crearse en el lado del servidor (sin limitación de duración). NB: Safari corregirá pronto este punto.

Pero el sistema de delegación de dominio permite el envío a Criteo de todas las cookies asociadas al dominio leboncoin.fr... incluida la cookie "luat" (la cookie que memoriza que estás conectado), que puedo copiar y pegar en Chrome mediante la extensión EditThisCookie para quedar directamente conectado. Un empleado de Criteo puede así iniciar sesión en tu cuenta.

En la app de iOS también te rastrean nada más abrirla

Para observar las solicitudes enviadas por la aplicación Le Bon Coin en iOS, utilizo Charles Proxy. Abramos la aplicación Le Bon Coin:

lbc1

Como puedes ver, y al igual que en la web, puedes deshacerte de la molesta ventana de consentimiento haciendo clic en "Aceptar y cerrar" (opción resaltada en azul) o gastar energía intentando evitar la vigilancia haciendo clic en "Saber más". Una vez más, un "dark pattern" para no dejarte elegir libremente. ¿Qué pasa en cuanto a la vigilancia publicitaria? Antes incluso de dar (o no) mi consentimiento, Le Bon Coin filtra mis datos personales:

Le Bon Coin - iOS

Algunos de estos rastreadores ya recopilaban tus datos personales en el sitio web, pero también observamos nuevos rastreadores:

  • Weborama: ya presente en el sitio web.
  • Google: a través de Doubleclick (y la solución de monetización publicitaria para editores Google Ad Manager) y Firebase (el kit de herramientas de Google para desarrolladores móviles), ya presente en el sitio web.
  • Appsflyer: empresa de marketing móvil que ofrece en particular un producto de atribución, lo que permite a Le Bon Coin saber qué campañas publicitarias desencadenaron la instalación de la aplicación.
  • Accengage: herramienta francesa de notificaciones push, adquirida en 2018 por la empresa de marketing móvil Airship.
  • Datadome: ya presente en el sitio web.
  • Amazon: a través de serving-sys.com, el servidor de anuncios para agencias y anunciantes Sizmek, antes Mediamind, originalmente llamado Eyeblaster, fue adquirido por el gigante estadounidense del comercio electrónico en 2019.

Rechaza la vigilancia, Le Bon Coin sigue filtrando tus datos personales

Hagamos clic en "Saber más":

lbcconsent1lbcconsent2

Así, algunos socios querrían ofrecer publicidad o contenidos segmentados sobre la base del interés legítimo, lo que contradice claramente el RGPD. Hagamos clic en "Rechazar todo" y consultemos algunos anuncios:

Sin consentimiento iOS

La vigilancia no se detiene jamás: me siguen rastreando Google, Appsflyer, Datadome y Weborama.

Conéctate, Weborama te encuentra

Cuando te conectas, los mismos rastreadores continúan siguiéndote. Pero un rastreador va más allá: Weborama recibe el detalle de cada anuncio consultado junto con el hash de tu dirección de correo electrónico. Sí, el mismo identificador que en la web; así, Weborama es capaz de seguirte sea cual sea tu dispositivo, aunque restablezcas tus identificadores. Ese hash le permite seguirte por el conjunto de sitios web y aplicaciones que usan sus servicios y, por tanto, construir un perfil muy preciso sobre ti.

LBC Conectar iOS

En los meandros del interés legítimo

Quizá pienses que, si te siguen rastreando, es porque se te ha escapado alguna opción. Al final del todo del formulario "Saber más", puedes hacer clic en "Ver nuestros socios":

LBC iOS Ver nuestros socios

Ahí descubres que algunos socios están premarcados, en contradicción con el RGPD:

kochova

Veamos el socio Weborama:

LBC Weborama 1LBC Weborama 2

Así, el interés legítimo está premarcado en Weborama, que considera que puede usar esta base jurídica para diversas finalidades, entre ellas la creación de un perfil para mostrar contenido personalizado. Desactivemos ahora todos los socios:

Socios LBC desactivados

Nada cambia, Weborama sigue ahí; también volvemos a ver AT Internet:

LBCrefus

Conéctate y Weborama sigue recuperando el hash de tu dirección de correo electrónico. Sin embargo, has indicado claramente que rechazas el seguimiento de todos los socios; en consecuencia, la información de rechazo del consentimiento y de "opt-out" del interés legítimo sí se envía a Weborama:

señal

Esta señal se codificó siguiendo el protocolo TCF v2 (protocolo de recogida y transmisión de las señales de consentimiento entre actores publicitarios, creado por IAB Europe, el lobby de las tecnologías publicitarias); descodifiquémosla mediante este sitio:

legítimo

¿Cómo puede entonces Weborama rastrearme de forma tan agresiva (detalle de todos los anuncios consultados, seguimiento permanente mediante el uso de un hash de mi dirección de correo electrónico) cuando recibe la información de que he rechazado cualquier tratamiento sobre la base jurídica del consentimiento o del interés legítimo? ¿Cómo pueden otros socios como Google seguir rastreándome?

¿"Weborama, una combinación de tecnologías, datos y conocimientos de alto rendimiento y 100 % conformes con el RGPD"?

Le Bon Coin viola su propia política de privacidad

Si observamos atentamente la Política de privacidad del sitio Le Bon Coin, sección "Uso de tus datos", párrafo "Uso de tus datos con tu consentimiento", se puede leer, entre otras cosas:

  • Podemos, con tu consentimiento: [...] compartir tus datos con nuestros socios publicitarios, responsables del tratamiento, con el fin de mejorar el rendimiento de las campañas de nuestros socios en nuestro sitio.
  • No compartimos tus datos personales con nuestros socios externos sin tu consentimiento. No obstante, si haces clic en un anuncio, su anunciante podrá saber que has consultado la página en la que has hecho clic.

confidencialidad

Le Bon Coin viola así su propia política de privacidad.

¿Qué hacer?

¿Cómo pueden permitir esto Le Bon Coin y la CNIL? A falta de sanciones disuasorias de la CNIL o de una reacción del sitio Le Bon Coin, puedes protegerte de forma individual. Puedes instalar un adblocker como uBlock Origin en la web, o apps como DNSCloak, Adguard o NextDNS en iOS.