Guerlain (LVMH): lujo y vigilancia

Las grandes plataformas publicitarias han encontrado el arma definitiva para identificarte: tu dirección de email

Publicado por Pixel de Tracking el 27 de noviembre de 2022

Vigilancia publicitaria cada vez más intrusiva

A pesar de las regulaciones (RGPD, ePrivacy, CCPA), las protecciones del navegador (Firefox, Safari o Brave), los bloqueadores de anuncios del navegador (uBlock Origin) o los servicios DNS (NextDNS, AdGuard o Pi-hole), la vigilancia publicitaria no ha disminuido. Ha mutado para eludir tus protecciones.

¿El acelerador de esta evolución? Facebook, por supuesto, con sus «señales resilientes», que le permiten desviar una gran parte de los datos generados por tus actividades en línea y fuera de línea. Dado que la cookie de terceros como vector de vigilancia está en vías de desaparición (Google Chrome es la excepción), había que encontrar nuevos vectores de vigilancia que los internautas no pudieran simplemente restablecer. Tomando como inspiración a «campeones» del adtech como Criteo, Facebook anima a los anunciantes a transmitirle tu email, tu nombre, tu número de teléfono o tu dirección postal: «señales resilientes».

Si bien muchos actores del adtech (LiveRamp, Criteo) llevan mucho tiempo identificándote a través de tu email, el fenómeno es relativamente nuevo entre las grandes plataformas publicitarias. El estudio «Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission» ilustraba la magnitud de las fugas de email en la web, hacia actores del adtech, pero también hacia Facebook y TikTok.

¿Cómo podría filtrarse tu email a estas grandes plataformas? Es lo que vamos a descubrir con Guerlain, uno de los buques insignia del lujo a la francesa y propiedad del grupo LVMH.

Incluso antes de crear una cuenta de Guerlain, el hash de tu email ya se filtra a Pinterest

Para esta prueba, naveguemos por el sitio de Guerlain, con la herramienta Charles Proxy activada y hagamos clic, excepcionalmente, en «Aceptar y cerrar» cuando aparece el banner de consentimiento (en honor a Guerlain, no detecté fugas de hash de email si se rechaza):

banniere

«Mejorar tu experiencia y ofrecerte servicios y comunicaciones adaptados a tus intereses», un mensaje aparentemente inofensivo.

A continuación, naveguemos por la página de creación de cuenta de Guerlain y empecemos a rellenar el formulario:

pinterest

Estos datos personales solo deberían incumbir a Guerlain, ¿verdad?

Veamos qué ocurre en Charles Proxy cuando introduces tu email, incluso antes de confirmarlo:

charlespinterest

Fíjate en una extraña petición a la red social Pinterest.

El parámetro pd de la petición a Pinterest contiene otro parámetro em, formado por una larga cadena de caracteres en apariencia indescifrable. La documentación de Pinterest para anunciantes da la respuesta:

pd: Partner data.

em: hashed email address value.

Así pues, Guerlain filtra un hash de tu dirección de email a Pinterest ¡incluso antes de que hayas confirmado la creación de tu cuenta! Este servicio se llama en realidad «Enhanced Match» (el significado de em), ya hablé de ello el pasado mes de mayo:

tweetpinterest

¿Sin cookies de terceros? ¡Ningún problema!

Pero no te preocupes, Pinterest usa un hash de tu dirección de email y la conexión a Pinterest es segura, ¡tu privacidad está protegida!

helppinterest

¡Permitir que los sitios web filtren tu email y pretender hacerlo para proteger tu privacidad!

La realidad es que la correspondencia entre tu email y su hash probablemente ya circula ampliamente y hay empresas que ganan dinero con ello.

¿Cómo comprobar tú mismo si Guerlain filtra un hash de tu email a Pinterest? Introduce tu email en este sitio, seleccionando la función de hash correcta (a menudo SHA256):

sha256

Bienvenidos a la matriz.

Bingo, el valor con hash 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c corresponde al campo em enviado a Pinterest.

Ten en cuenta que, cuando el anunciante envía datos de clientes directamente a Pinterest, este no es tan exigente con el email:

email: Admitimos tanto hash (SHA256, SHA1, MD5) como campos de datos del cliente en texto claro.

Confirma la creación de la cuenta y di adiós a tus datos personales

Ahora termino de completar el formulario y hago clic en 'Confirmar'. Las filtraciones de datos personales son masivas:

list

Observemos ya el uso ilícito de Google Analytics (si Guerlain quisiera seguir utilizando Google Analytics, tendría que seguir estas recomendaciones de la CNIL).

Al ampliar los parámetros enviados a Google Analytics, observamos el mismo hash de tu email (SHA256), enviado a través del parámetro cd11 (una dimensión «personalizada», que Guerlain se ha tomado la libertad de crear especialmente para la ocasión). Resulta que la práctica está prohibida por Google Analytics (si tan solo Google hiciera cumplir sus reglas):

Para proteger la privacidad del usuario, las políticas de Google prohíben el envío de datos que podríamos utilizar o considerar información de identificación personal.

Podrías argumentar: se trata de un hash de mi email, no de mi email en claro (como si Google no conociera ya tu email y, por tanto, su hash). Salvo que Google se ha encargado de prohibir también el envío de hashes a Google Analytics:

gahash

Guerlain viola las reglas de Google Analytics para vigilarte mejor, tan tranquilo.

Con Guerlain, la vigilancia es estadounidense pero también china, ya que el mismo hash de tu email se filtra a TikTok (el mando a distancia mágico de Xi Jinping):

tiktok

TikTok es más transparente, la variable se llama email.

Esta fuga es posible gracias a la función «Advanced Matching» de TikTok:

tweettiktok

Por supuesto, en cuanto a la privacidad todo está estudiado: fingerprinting si no hay coincidencia:

safe

«Privacy Safe», por TikTok.

El hash SHA256, o la varita mágica de la protección de la privacidad:

tiktokhash

TikTok no es capaz de identificar a los clientes que no son usuarios de TikTok, excepto que TikTok aspira las libretas de direcciones de sus usuarios...

Y para los anunciantes perezosos, TikTok ofrece la opción «Automatic Advanced Matching», que le permite escanear por sí solo los distintos campos de los formularios para recuperar, por ejemplo, tu email y tu número de teléfono:

tiktok

Buenas noticias para los anunciantes: ¡el spyware TikTok puede recuperar automáticamente los datos personales de sus clientes!

Hay que señalar que, una vez más, TikTok no inventó nada: simplemente copió a Facebook.

Consulta una nueva página y tu email se filtra a Facebook

Resultaba sorprendente no ver a Guerlain filtrar tu email a Facebook. Si consultas una página más, verás que la llamada a Facebook contiene una variable udff[em], que contiene el hash SHA256 de tu email:

fbguerlain

em, la abreviatura de tu email.

La concordancia avanzada permite a los anunciantes filtrar una amplia gama de datos personales:

advancedfb

No te preocupes, Facebook te encontrará.

Facebook Advanced Matching está lejos de ser la única herramienta de Facebook que se pone a disposición de los anunciantes para vigilarte; encontrarás otras en este hilo:

fbtweet

Pinterest, Google, TikTok y Facebook recopilan toda tu navegación en el sitio de Guerlain, asociada a un identificador persistente (tu email), pero este no es una excepción en la galaxia LVMH; veamos por ejemplo Givenchy.

Creación de cuentas de Givenchy y filtración de datos personales

Si creas una cuenta en Givenchy, también notarás filtraciones basadas en tu email (siempre hash SHA256), esta vez hacia Snapchat a través de la variable u_hems:

snap

Una red social americana más, ¿para qué privarse?

Snapchat también hace la vida más fácil a los anunciantes, como puedes leer en este hilo:

snaptweet

Creación de cuentas de Givenchy Beauty y filtración de datos personales

Nada más empezar la creación de una cuenta en Givenchy Beauty (distinto de Givenchy), veo pasar peticiones extrañas por Charles Proxy:

yan

La variable browser-info es muy detallada; combinada con tu dirección IP, permite a Yandex disponer de una huella muy fina. La variable pointer-click recupera la ubicación en píxeles de todos tus clics. Entonces, ¿te alegra ver que tu comportamiento se filtra a Rusia?

Pero esto no ha terminado: la empresa francesa ContentSquare parece recuperar mucha información sobre lo que escribes (¿keylogger?):

square

Every move you make, every step you take, I'll be watching you.

Tras introducir nombre y apellido, haz clic en 'Continuar':

step1

Comprueba en Charles las peticiones enviadas: el hash de tu nombre (udff[fn]) y de tu apellido (udff[ln]) ya se filtran a Facebook:

namefb

En el siguiente paso, cuando introduces tu email, su hash (udff[em]) se filtra en directo a Facebook (sin siquiera hacer clic en 'Continuar'):

emailfb

Observa las filtraciones hacia Google Analytics y DoubleClick, mientras ContentSquare sigue recopilando información mientras creas tu contraseña...

Ten en cuenta que solo probé 3 sitios del grupo LVMH, al azar. Es probable que esta vigilancia por parte de las grandes plataformas publicitarias mediante datos persistentes, como tu email, esté generalizada en LVMH.

Todas las principales plataformas publicitarias tienen un servicio de "Matching"

Pudimos constatar el uso del servicio de matching de Facebook, TikTok, Pinterest o Snapchat por parte de los sitios del grupo LVMH. Evidentemente, más allá de su servicio Google Analytics, Google no se queda atrás:

googtweet

El último juguete de Elon Musk, Twitter también ofrece su servicio de “matching”:

tweetparam

Los sitios del grupo LVMH están lejos de ser una excepción, como demuestra el estudio Leaky Forms. Un gran número de anunciantes ya recurren a estos métodos invasivos y, con la próxima desaparición de las cookies de terceros en Chrome (si Google así lo quiere), este modo de seguimiento se está convirtiendo en el estándar.

Cómo protegerte

A falta de sanciones contra este tipo de prácticas (hola, CNIL), tendrás que protegerte por tu cuenta. Dado que los bloqueadores de anuncios son ineficaces (a menos que bloquees todas las llamadas a Google y a las redes sociales) y las protecciones del navegador también lo son (el seguimiento se basa en un dato persistente, no en cookies), una opción es usar un alias de email distinto para cada servicio que utilices. Conozco estos 4 servicios, pero seguro que podrás encontrar otros en la red:

  • SimpleLogin, recientemente adquirido por ProtonMail, lo que augura una integración interesante.
  • Firefox Relay, directamente desde tu navegador favorito.
  • DuckDuckGo Email Protection, con la extensión DuckDuckGo, para una buena protección en la web.
  • Hide My Email si estás en Apple, incluida la integración de Safari.

Ten en cuenta que hay límites: los alias de email no te protegerán cuando Facebook (u otros) realice el «matching» a través de tu número de teléfono, tu nombre y apellido, o tu dirección postal.