¿Alguna pregunta?   971.31.13.31   info@faseconsulting.es

Las permacookies de Telefónica y la inyección de cabeceras

Estos días ha sido noticia la sanción impuesta a Telefónica Móviles España por el uso de las llamadas “super cookies”. Algunos compañeros como Samuel Parra ya han escrito artículos sobre la sanción, pero a la vista de las preguntas que continúan apareciendo, resulta claro que aún existen algunas dudas sobre las características del caso.

Objeto de la sanción

El primer paso es analizar cuál ha sido el motivo concreto por el cuál se ha sancionado finalmente a Telefónica Móviles España. De acuerdo con el texto de la Resolución de la Agencia Española de Protección de Datos

IMPONER a la entidad TELEFONICA MOVILES ESPAÑA, S.A.U., por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4 g) de la LSSI, una multa de 20.000 € ( veinte mil euros) de conformidad con lo establecido en los artículos 39 y 40 de la citada LSSI

Esta infracción se basa en la introducción de un número único en la cabecera HTTP, respecto al cual únicamente Telefónica conoce a qué usuario de su red se encuentra asociado, y cuya introducción ésta estimó necesaria para la gestión de suscripciones, prestación y facturación de servicios Premium.

Podemos encontrar una definición del mecanismo de enriquecimiento de cabeceras utilizado en la misma Resolución

El enriquecimiento de cabeceras es una funcionalidad utilizada únicamente en el protocolo HTTP que permite añadir meta-información a las peticiones acceso a una página web concreta que se progresan desde el terminal del cliente hasta el servidor final

El problema surge cuando se advierte que dicho identificador era incluido en la cabecera de todos los usuarios y en toda petición HTTP, hecho que intentó justificarse con la necesidad de poder iniciar la prestación de estos servicios a cualquier usuario desde el momento mismo de su contratación, sin necesidad de esperar a la identificación del cliente por parte de Telefónica por otros medios que implicaría diferir la prestación del servicio en el tiempo.

La Resolución también menciona como el servicio técnico hablo de este mecanismo en un sitio web perteneciente a Movistar

Tras realizar la consulta, nos confirman que Movistar utiliza el “enriquecimiento de cabeceras” para un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios de suscripción Premium, pagos movistar, etc. donde es necesario facilitar una identificación del cliente para poder prestar el servicio.

En ningún caso, a partir de esos datos, Movistar proporciona información personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en Internet

En el caso concreto que ha sancionado la Agencia Española de Protección de Datos (AEPD), Movistar estaba añadiendo dos cabeceras extra en cada comunicación, identificadas como “x-up-subno” y “TM user-id”, con el objetivo de “sostener el modelo de negocio de contenidos Premium”. Esto es, según se desprende de la resolución sancionadora, para facilitar la suscripción a servicios Premium desde el terminal móvil (por ejemplo a sevicios SMS Premium) Movistar enviaba, de forma indiscriminada y a todas las páginas webs que sus clientes visitaran, determinada información específica e identificativa de su cliente para que Movistar pudiera facturar los servicios contratados por su cliente a la plataforma del tercero que presta el servicio premium.

Pese a lo que menciona en la alegación, un enriquecimiento de cabeceras generalizado como el utilizado suponía un riesgo para la privacidad mayor que el alegado por el técnico.

Las permacookies e identificadores

Un aspecto que no ha sido tratado más en profundidad se encuentra en las alegaciones de Telefónica

Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD y que los mismos sean utilizados por la entidad responsable de su instalación, componente que no ha sido acreditado.

La referencia a los DARD (Dispositivos de Almacenamiento y Recuperación de Datos) proviene del tenor literal del Art. 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que aparece en la Resolución del procedimiento sancionador

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Además, es cierto que el último párrafo del art. 22.2 LSSI contempla una excepción  para estos requisitos

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Alegando que no nos encontrábamos ante un DARD, y que se trataba de información estrictamente necesaria para prestar el servicio en su opinión, Telefónica Móviles intenta dar a entender que no se produce el uso prohibido por el Art. 22

inyeccion

 

La Resolución rechaza la posibilidad de invocar la excepción contemplada en el Art. 22.2 LSSI por la inyección generalizada de la cabecera en todos los usuarios del APN, lo cual suponía la aplicación de los requisitos de información para dicho uso que la Ley establece.

Por tanto, no siempre se podían considerar dispositivos de carácter técnico para los que la norma prevé la dispensa de la información al usuario de acuerdo con el último párrafo del art. 22.2 LSSI, o dicho de otro modo, para aquellos usuarios que no utilizaran los servicios Premium, no era de aplicación la exención que prevé la norma y por tanto se hacía necesario el cumplimiento del deber de información.

Esto nos lleva a las siguientes conclusiones sobre el presente caso

  • La inyección de cabeceras no se realizaba en el dispositivo del usuario (podrían haber intentado realizar esta función a través de una modificación del firmware instalado por la operadora, por ejemplo). Esto supone que el usuario no tenía un control directo sobre dicha inyección, y que la configuración del dispositivo no permitiría evitarlo.
  • Se utilizaba indistintamente para todos los usuarios, sin importar el tipo de servicios a los que se accedía.
  • La inyección se producía en todos los terminales que navegaran utilizando el APN telefónica.es, realizándose la identificación de navegación a través de la inyección de las cabeceras “x-up-subno” y “TM_user_ID” desde la red
  • La inyección se realizaba de forma transparente para el usuario, sin que Telefónica Móviles facilitase al usuario la información necesaria al respecto, ni recabara su consentimiento para este uso.
  • Dado que dicha identificación se incluía en las peticiones HTTP, cualquier tercero podía acceder a la misma, creando potencialmente la posibilidad de seguimiento de un usuario durante su navegación. Ajustes como “Do Not Track” no resultarían efectivos.
  • El tercero no podría acceder (en el caso concreto de Telefónica Móviles) a la identificación completa del usuario más alla del Id que las cabeceras facilitan.

Como nos indica el informe “Header Enrichment or ISP Enrichment? Emerging Privacy Threats in Mobile Networks“, el caso de Movistar no es único, habiendo detectado cabeceras en otros operadores que podían vulnerar la privacidad de sus usuarios.

cabeceras

En el caso de Vodacom, resulta llamativo que el informe detectó que se producía una filtración del número de teléfono, así como del IMEI del dispositivo utilizado.

Durante la investigación, sus autores también detectaron que otros operadores incluían cabeceras que facilitaban información sobre la red utilizada para acceder a los servicios

operadores2

También resulta interesante el artículo de la EFF sobre el uso de perma-cookies por parte de Verizon: “Verizon Injecting Perma-Cookies to Track Mobile Customers, Bypassing Privacy Controls“. Este artículo habla sobre los riesgos de este tipo de cabeceras (traducción propia):

Esta herramienta de seguimiento, incluida en una cabecera HTTP denominada X-UIDH, es enviada cada vez que un usuario de Verizon visita una web sin cifrado desde un dispositivo móvil. Esto permite a terceros responsables de redes publicitarias y de webs crear un perfil profundo y permanente de los hábitos de navegación de usuarios sin su consentimiento.

Este artículo menciona otro aspecto importante respecto a este tipo de seguimiento

Al contrario de lo que sucede con una cookie, las cabeceras inyectadas por Verizon son casi invisibles para el usuario, y no pueden visualizarse o cambiarse desde la configuración del navegador utilizado en el dispositivo. Si un usuario elimina todas las cookies, la cabecera X-UIDH no cambia. Y lo que es peor, las redes de publicidad podrían asignar inmediatamente una nueva cookie vinculada a las cookies eliminadas, utilizando el valor permanente de X-UIDH.

Por lo tanto, difícilmente podemos hablar de que no existen riesgos asociados al uso de identificadores únicos como los utilizados por Telefónica Móviles España.

 

¿Se produce una recuperación de datos de los terminales de los usuarios?

Si volvemos de nuevo a la alegación de Telefónica respecto a la necesidad de encontrarnos ante un DARD para poder aplicar el Art. 22 LSSI, a primera vista podría parecer que no se produce una recuperación de información existente en el dispositivo y, por tanto, no resultaría aplicable este artículo. Esta inyección de cabeceras, distinta en su naturaleza a las cookies/supercookies como alega Telefónica (que sí que se instalan efectivamente en el equipo del usuario, al que después deben acceder para obtener la información) se realizaba a nivel de APN.

A mi parecer, sí que se produce una recuperación de datos existentes en los terminales de los usuarios y, por lo tanto, es correcto el rechazo de esta alegación, y todo ello por la necesidad de contar con información adecuada antes de realizar la inyección de esta cabecera.

Dada la finalidad mencionada por Movistar, resulta claro que dicho identificador debía ser inequívoco y vinculado adecuadamente al usuario. Por lo tanto, se utilizaban los datos facilitados por el usuario al acceder a la Red para una nueva finalidad: la de asociar una cabecera inyectada en las peticiones HTTP al usuario.

Podría ahora alegarse que dichos datos son facilitados por el usuario de forma voluntaria, y que se utilizaban datos que ya eran utilizados antes de realizar dicha inyección, pero debemos recordar de nuevo el tenor literal del Art. 22 LSSI

después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos

Como ya hemos mencionado, la inyección de las cabeceras objeto de la Resolución se realizaba de forma transparente para el usuario, y sin que hubiera recibido información al respecto de las nuevas finalidades para las cuales se tratarían sus datos con carácter previo (no se trata ya de la identificación necesaria para la prestación de servicio que supone el acceso a la red). Por lo tanto, el uso de cualquier dato de identificación del usuario a partir del dispositivo utilizado, lo facilitara antes o no para acceder a la red, con el objetivo de crear una Base de Datos que permita asociarlo a estas cabeceras únicas no resultaba conforme con los requisitos de información del Art. 22 LSSI.

Lo mismo resultaría aplicable en el caso de que el prestador añadiera dichas cabeceras a la navegación de usuarios utilizando la huella de sus navegadores. Al final, la asociación de datos requiere un acceso a la información almacenada en los equipos terminales, lo cual no puede realizarse sin antes informar de ello a los usuarios.

En conclusión, no resultaba posible el funcionamiento de esta inyección de cabeceras sin el uso de información obrante en el equipo terminal del usuario, lo cual suponía la obligación de facilitar información clara al respecto con carácter previo.

Sergio Carrasco Mayans
Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos
2 comentarios
  1. Como ya he comentado antes en Linkedin, siento discrepar cordialmente de tí Sergio: me parece una interpretación forzada la aplicabilidad del Artº 22.2 LSSI a este caso. Voy a tratar de profundizar en ello un poco más.
    La información adecuada para realizar la inyección de estas cabeceras la tiene la operadora de red sin necesidad de leer ningún dato que esté almacenado en el terminal del usuario ya que tiene identificado a éste desde el comienzo de su conexión a la red móvil, antes por tanto de establecer la sesión HTTP. Por tanto, entiendo que no es necesaria ninguna recuperación de datos existentes en los terminales de los usuarios para que la operadora añada las cabeceras.
    Un ejemplo similar en el que se aprecia más claramente lo que sostengo sería el caso de un usuario que tuviera un PC conectado a la red fija a través de un modem-router ADSL configurado por él mismo. En ese caso, la operadora de red no habría almacenado ningún dato en los equipos del usuario y sin embargo podría perfectamente introducir cabeceras especiales en las sesiones HTTP del usuario ya que le tiene identificado por la asignación realizada de su par de cobre en el repartidor de entrada de la central local.
    Otra cuestión es si Movistar al añadir estas cabeceras ha incluido datos personales del usuario sin informarle ni solicitar su consentimiento y si esos datos pueden ser asociados al usuario por terceros distintos de Movistar. En ese caso, si no existe ninguna circunstancia eximente del deber de solicitar dicho consentimiento, Movistar habría realizado en mi opinión una cesión ilegítima de datos personales a terceros, siendo aplicable el art. 11 y conexos de la LOPD, pero no el 22.2 de la LSSI.

    • Sergio Carrasco Mayans

      Hola José Luís, está claro que el tema de si nos encontramos ante un DARD o no puede dar para un debate, con motivos por ambos lados, pero personalmente sigo pensando que sí que se recuperan datos del equipo del usuario, aunque para su vinculación a las cabeceras inyectadas se utilicen otros datos derivados de los facilitados inicialmente al acceder.

      La base de tu argumento se encuentra en que ya tiene identificado al usuario, por lo que no necesita recuperar datos del dispositivo sino que puede utilizar estos datos con los que ya cuenta. Efectivamente, es así porque en caso contrario no tendría acceso a la red del operador. Creo que no discutimos que, para poder tener acceso a dicha red, el dispositivo móvil facilita la información correspondiente al operador con carácter previo, y que dicho uso de datos concretos queda amparado por la prestación propia del servicio. El problema es que, con posterioridad, utiliza los datos de identificación con los que cuenta para una finalidad distinta a aquella para la cual el usuario ha consentido su tratamiento. Esos “datos identificativos” son al final derivados de los datos almacenados en el terminal móvil, simplemente tenemos uno (o varios) pasos intermedios, y su uso es ajeno a la prestación del servicio de acceso, con lo cual tampoco quedaría amparado por la excepción del 22.2 (a diferencia del caso en que se hubiera suscrito a dichos servicios, por ejemplo, el problema es el uso generalizado).

      Para mí el caso tampoco es el mismo que con la identificación a través de par en instalaciones fijas. En el caso de un terminal móvil, en el momento mismo de la conexión es el dispositivo el que se identifica facilitando dicha información. Sin acceso a la información almacenada en mi tarjeta, situada en mi teléfono móvil, difícilmente sabrán quién soy, y esto sería igualmente aplicable a SIMs virtuales, claro. En el caso de redes fijas sí que resulta más complejo, dado que la identificación del usuario ya se tiene antes, pero es posible que se buscara una mayor protección e incluso se intentara invocar la transmisión de datos de la cuenta de acceso por el router en el momento de la conexión, y ahí entraría tema de informes sobre si dicha recuperación de datos constituye el objeto del art. 22. En el resto de casos, mientras nos encontremos dentro de la prestación de ese servicio concreto no habrá problema, pero cuando hablamos ya de tema de servicios premium y demás…

      Un saludo!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Últimas publicaciones

En los medios

Dada nuestra especialización, participamos regularmente en artículos en medios de comunicación.
Voz Pópuli
El Español
Hipertextual
Crea Cultura
Xataka
Eldiario

Contáctanos

Calle des Cubells 33, Esc 3, 3A
Teléfono: 971.31.13.31
Móvil: 625.93.81.24
Website: https://www.faseconsulting.es
Email: info@faseconsulting.es