Google Chrome y la oscuridad: su última versión pone en riesgo nuestra privacidad
Cuando Chrome se lanzó hace 10 años todos aplaudimos aquella iniciativa de Google. Todo parecían aciertos en un navegador abierto, innovador y en el que simplicidad, soporte de estándares y velocidad eran pilares fundamentales de ese navegador web.
Mucho ha llovido desde entonces, y aquel navegador luminoso se ha ido oscureciendo. En Chrome 69 las luces se apagan aún más, porque el inicio de sesión automático que ahora converge entre Chrome y los servicios de Google plantea una amenaza a nuestra privacidad y también a la confianza que teníamos en Google, si es que quedaba algo de ella.
Chrome como nuevo apéndice de Google para seguir nuestros pasos
Un ingeniero de sistemas y experto en seguridad informática apodado Bálint abría la caja de Pandora. Su análisis de la última versión de Chrome, la número 69, iba más allá de aquello que nos contaba Google. Como él explicaba, si un usuario utiliza este navegador e inicia sesión desde él en un servicio de Google (Gmail, YouTube, etc) iniciará automáticamente sesión en Google Chrome.
¿Qué significa esto? Que Google te obliga a iniciar sesión en el navegador automáticamente porque sus desarrolladores entienden que si inicias sesión en Gmail, también quieres iniciar sesión en el navegador.
Al hacerlo verás cómo tu foto de perfil de Google aparece en la ventana del navegador, y a partir de ahí tus datos de navegación podrían llegar a los servidores de Google si activas la sincronización de cosas como el historial, los marcadores o las contraseñas.
De momento esos datos no se sincronizan automáticamente y eso sí debe activarlo el usuario, pero Google apenas explica el cambio y los razonamientos que dan sus responsables son discutibles.
La consistencia como excusa
Es lo que precisamente explicaba Matthew Green, criptógrafo y profesor en la Universidad Johns Hopkins. Según este experto, los desarrolladores de Google con los que se puso en contacto le comentaban cómo lo que quieren evitar es que si alguien se loguea en una cuenta A en Gmail por ejemplo, pero el navegador está siendo usado con una cuenta B que es la que sincroniza datos, eso podría hacer que las cookies de la cuenta A fueran «subidas» a la cuenta B. La idea era ofrecer «consistencia».
El problema de eso es que antes de que nada de eso pase esa persona B debe haber iniciado sesión en Chrome, algo que no afectaría a quienes prefieren usar el navegador sin estar «logados» en él.
Esos mismos desarrolladores explican que la nueva característica no activa la sincronización de datos que los envía a Google. «Eso requiere un paso de consentimiento adicional. Así que en teoría tus datos deberían mantenerse en local».
This change is interesting.
• Basically codifies what was happening anyway.
• Beyond over-reach that they went in this direction and not the privacy direction.
Prediction: This gets Chrome will get kicked out of enterprise. Too much of a pain and too much risk to manage. https://t.co/YMr9dl7JqK
— Steven Sinofsky (@stevesi) 23 de septiembre de 2018
Con este cambio puede que los desarrolladores pidan (por el momento) consentimiento para esa sincronización en Chrome 69, pero el consentimiento para iniciar sesión en Chrome desaparece. En cuanto iniciamos sesión en uno de sus servicios, el navegador automáticamente asume que queremos iniciar sesión en él.
La propia interfaz del navegador, explica Green, hace que de hecho un usuario pueda activar la sincronización (y con ello, que nuestros datos de navegación se transfieran a los servidores de Google) mucho más fácilmente porque se evita uno de los dos consentimientos que hasta ahora existían.
En la política de privacidad de Google Chrome se explica cómo funciona este desarrollo en cuanto a la transferencia de datos que realiza. Hay dos modos de funcionamiento: el «modo de navegador básico» en el que los datos se almacenan de forma local (y podremos borrarlos de nuestro equipo), y el «modo con inicio de sesión en Chrome». Como explican en esos términos:
La información personal que almacena Chrome no se enviará a Google, a no ser que decidas almacenar esos datos en tu cuenta de Google iniciando sesión en Chrome (lo que habilitará la función de sincronización de Chrome).
El problema es que muchos usuarios ni siquiera se dan cuenta de que ya no pueden decidir en qué modo de navegador están. Si inician sesión en Gmail, por ejemplo, habrán iniciado sesión en Chrome, lo que a su vez da acceso a Google para que nuestros datos acaben en sus servidores si damos ese consentimiento final a la sincronización.
Hi all, I want to share more info about recent changes to Chrome sign-in. Chrome desktop now tells you that you're "signed in" whenever you're signed in to a Google website. This does NOT mean that Chrome is automatically sending your browsing history to your Google account! 1/
— Adrienne Porter Felt (@__apf__) 24 de septiembre de 2018
Es cierto que por el momento esa sincronización no se activa por defecto, pero la decisión de Google ha causado mucha polémica y debates acalorados en foros como Hacker News en los que muchos usuarios han abogado por el cambio a navegadores como Firefox o Brave, que desde sus inicios han defendido la privacidad de los usuarios.
La función «Sync» ha estado presente en Chrome durante años, pero hasta ahora el sistema funcionaba de forma independiente al estado de nuestras cuentas de Google. Esto permitía a los usuarios navegar por la web estando logados en una cuenta de Google, pero sin que se subiera ningún dato de navegación a los datos de Google.
It's not just a handful of people sharing — it's extremely common, and a major way for data to accidentally "leak" between accounts. But I understand why you don't like it.
— Adrienne Porter Felt (@__apf__) 22 de septiembre de 2018
Eso sigue sin ocurrir ahora, pero la activación de la sincronización —que como indican en Google, sigue necesitando el consentimiento del usuario— está ahora disponible de forma mucho más directa. Los ingenieros de Google explicaban que esta función se ha incluido porque mucha gente que compartía su ordenador podía estar logado en Chrome con una identidad mientras un invitado estaba logado en su cuenta de Gmail con su propia identidad, lo que planteaba un conflicto a la privacidad.
Aún así, las críticas a Google han sido numerosas en redes sociales y medios en los que se indica que con esta característica Google le quita a los usuarios la opción de controlar si quieren o no estar logados en Chrome y en sus servicios de Google por separado, como sucedía hasta ahora.
Qué hacer para evitar que Chrome funcione de ese modo
De momento es posible desactivar ese modo de funcionamiento de Chrome gracias a los parámetros o flags que es posible modificar en la configuración del navegador.
Si usas Chrome 69 y quieres desactivar esta característica del navegador, deberás hacer lo siguiente:
- Ir a la dirección «chrome://flags/#account-consistency», lo que hará que Google Chrome muestre en la parte superior esa opción llamada «Identity consistency between browser and cookie jar».
- Desplegar el menú que aparece a la derecha de esa opción para elegir la opción «Disable»
- Pinchar en «Relaunch Now» para reiniciar el navegador.
Este cambio hará que Chrome funcione como lo hacía antes de Chrome 69 en este apartado, y podremos mantener separado el inicio de sesión en servicios de Google del inicio de sesión de Chrome. La ayuda oficial de Google Chrome también permite desactivar el inicio de sesión en Chrome desde la configuración de nuestra cuenta.
También te recomendamos
11 situaciones en las que el VPN de Norton se vuelve imprescindible en tu trabajo
–
La noticia
Google Chrome y la oscuridad: su última versión pone en riesgo nuestra privacidad
fue publicada originalmente en
Xataka
por
Javier Pastor
.