El antivirus Avast es uno de los más populares en todo el mundo. Una de las razones de su éxito es su gratuidad, pero esa gratuidad tiene en realidad un coste para sus usuarios. La empresa recopila los datos de navegación de sus clientes para venderlos a terceros.

La noticia no es nueva. Saltó el pasado diciembre, cuando en una entrevista en Forbes el director ejecutivo de Avast, Ondrej Vlcek, admitió abiertamente que una de sus principales fuentes de negocio era vender esos paquetes de datos que reunía con las extensiones para los navegadores Firefox, Opera y Chrome (los dos primeros eliminaron inmediatamente las extensiones de sus tiendas de complementos).

Reconocía, además, que la práctica se remontaba a 2013, que todo eso estaba en las condiciones de uso del antivirus (esas que tan raramente leemos) y que había una opción en la configuración para impedir ese seguimiento.

Pero, en un intento de tranquilizar a los usuarios, insistió entonces en que la información se comercializaba anonimizada y que era imposible inferir la identidad de cualquier usuario a partir de ella.

Ahora se han conocido algunos datos más del caso, gracias a una investigación de Motherboard y PCMag que desvela más información sobre cómo se realiza ese seguimiento y, además, que eso de la anonimización de los datos no es cierto.

Google, IBM, Unilever, Nestle Purina, Kimberly-Clark, Expedia, Yelp, Home Depot, Sephora, L’Oreal, McKinsey y Condé Nast, entre otras muchas, son algunas de las empresas que adquieren esos jugosos lotes de datos a Avast, que los comercializa a través de una de sus filiales, Jumpshot.

De búsquedas en Amazon a vídeos porno en Pornhub

Jumpshot ofrece a sus clientes, según apuntan Motherboard y PCMag, un relato detallado del recorrido que siguen en la Red (desde búsquedas en Amazon a vídeos de Pornhub) los usuarios de los cientos de millones de dispositivos en los que está instalado Avast. Y, aunque no se venden (que se sepa) ni identidades, ni correos, ni direcciones IP, los periodistas autores del reportaje han demostrado que es relativamente sencillo averiguar quién es el usuario en cuestión.

Vlcek ha vuelto a salir al paso tras esta nueva tanda de acusaciones sobre las prácticas de su compañía. Ha vuelto a insistir en lo de la anonimización de los datos (relativa, según sostienen Motherboard y PCMag) y que Jumpshot cumple con la normativa europea de protección de datos (GDPR) y con la California Consumer Privacy Act (CCPA, similar a la europea). Puede que sea legal, pero es, cuanto menos, cuestionable.