En primer lugar precisar que aunque he utilizado el término "supercookie" en el titular y en la entradilla (y lo repetiré en el resto del artículo), no es el término técnico preciso en este caso, pero he usado esta expresión, primero porque es la que utilizan en la resolución sancionadora a Movistar, segundo porque es el término que utilizó la persona que lo descubrió y denunció, y tercero porque en ocasiones es preferible reducir la precisión léxica por mor de una mayor comprensión para todos los mortales y no solo de aquellos que tienen un perfil técnico avanzado. Advertido esto, desde un punto de vista técnico, en este caso no nos encontramos ante una "cookie" especial (una supercookie, evercookie, ultracookie, zombiecookie o como la queramos denominar) sino que nos encontramos ante un "enriquecimiento de cabeceras" (header enrichment), pero siendo que al fin y al cabo, lo que permitía ese ?enriquecimiento de cabeceras? era identificar al usuario (como lo habría hecho una cookie), vamos a aceptar este término.
Voy a intentar explicar esto del enriquecimiento de cabeceras de la forma más sencilla posible para que entendamos lo que ha pasado con Movistar.
Cuando navegamos por páginas webs, ya sea desde un terminal móvil (un smartphone) o un ordenador de sobremesa, se producen numerosas comunicaciones entre la página web de destino que queremos visitar y nuestro dispositivo, comunicaciones que pasan también por nuestro proveedor de acceso a Internet, claro. Entre esas comunicaciones hay una cosa que en informática se llaman "cabeceras" o headers en inglés, que se sitúan al inicio de la comunicación y que son necesarias para que ésta se establezca de forma correcta. En concreto, al navegar por una página web se utilizan las cabeceras HTTP, porque al navegar por páginas web utilizamos el protocolo HTTP.
Estas cabeceras son de muy diversa índole y pueden servir para muchas cosas, por ejemplo, se pueden utilizar para indicar en la comunicación el idioma que acepto, así, si visito una página y le digo a esa página mediante una cabecera justo al empezar la comunicación, que hablo el idioma "español", si la web está preparada para entender esta cabecera, podrá mostrarme la versión española de la web (si existe), en lugar de la versión inglesa que mostraría por defecto.
También se pueden utilizar cabeceras para indicar el navegador que estoy utilizando, de forma que la página que voy a visitar podrá conocer, por ejemplo, si estoy utilizando un navegador en su versión smartphone o uno de versión escritorio, para mostrarme la página en versión móvil o no.
Existen multitud de parámetros para las cabeceras establecidos internacionalmente en diversos estándares para que los programadores utilicen siempre los mismos y todos nos podamos entender.
Representación gráfica de unas cabeceras HTTP.
Por otro lado, esto de las cabeceras sucede en milésimas de segundo y de forma totalmente transparente para el usuario final; el usuario no ve qué cabeceras se están intercambiando en la comunicación, para saberlo tendría que utilizar programas especiales.
Como se puede observar, no nos encontramos técnicamente ante una cookie o cookie dopada porque no se almacena nada en nuestro terminal. Una cookie se almacena de alguna forma en nuestro terminal/dispositivo/navegador, pero esto, como hemos visto, es otra cosa.
Ahora bien, es posible, como en el caso de Movistar, que se utilicen estas cabeceras para transmitir información extra, y si además esa información extra permite identificarnos, entonces tenemos un problema.
Movistar, al ser el proveedor de acceso a Internet de sus propios clientes, puede alterar esas cabeceras y añadir información extra sin que el usuario se de cuenta. Es decir, si Movistar quisiera, en cada comunicación que realizan sus clientes para conectarse a una página web, podría añadir una cabecera extra adicional, por ejemplo, para informar a la página web de destino que el visitante es de un determinado barrio de la ciudad.
Las sospechas de que Movistar estaba utilizando estas "supercookies" o enriquecimiento cabeceril, se produjeron en el foro de la propia Movistar, en este hilo titulado: "Movistar rastrea los sitios web que visito con supercookies". En este hilo, un usuario le preguntaba al soporte de Movistar si se estaba añadiendo un identificador único en las cabeceras cuando navegaba por las páginas webs y además mostraba su preocupación por si se podría filtrar su número de teléfono a las webs que visitaba. La respuesta que recibió por parte del servicio de Movistar fue la siguiente:
Lo primero de todo, disculpad la demora en responder. Emoticono avergonzado.
Tras realizar la consulta, nos confirman que Movistar utiliza el "enriquecimiento de cabeceras" para un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios de suscripción Premium, pagos movistar, etc. donde es necesario facilitar una identificación del cliente para poder prestar el servicio.
En ningún caso, a partir de esos datos, Movistar proporciona información personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en internet.. :smileywink:
En el caso concreto que ha sancionado la Agencia Española de Protección de Datos (AEPD), Movistar estaba añadiendo dos cabeceras extra en cada comunicación, identificadas como "x-up-subno" y "TM user-id", con el objetivo de "sostener el modelo de negocio de contenidos Premium". Esto es, según se desprende de la resolución sancionadora, para facilitar la suscripción a servicios Premium desde el terminal móvil (por ejemplo a sevicios SMS Premium) Movistar enviaba, de forma indiscriminada y a todas las páginas webs que sus clientes visitarán, determinada información específica e identificativa de su cliente para que Movistar pudiera facturar los servicios contratados por su cliente a la plataforma del tercero que presta el servicio premium.
Pero el problema no ha sido utilizar estas concretas cabeceras, sino hacerlo de forma generalizada en todas las comunicaciones y sin informar al usuario. La AEPD entiende que no habría habido ningún problema si, además de informar correctamente al usuario en su momento, se activaran estas cabeceras solo cuando el usuario va a iniciar la contratación de uno de estos servicios premium. De hecho, en teoría así es como estaría funcionando a día de hoy.
Cuando los inspectores de la AEPD recibieron las alegaciones de Movistar informando que ya habían procedido a desactivar estas cabeceras, se utilizó el servicio de http://amibeingtracked.com para comprobar si efectivamente se seguía produciendo un rastreo de las conexiones de sus usuarios, siendo el resultado negativo.
A pesar de los intentos de Movistar por defenderse y evitar la sanción, la AEPD lo dejó claro:
"debe señalarse que la utilización de la técnica de enriquecimiento de cabeceras se venía utilizando por TME, con independencia de su utilización para la finalidad que en principio estaba prevista, la facturación de los servicios Premium, ya que se utilizaba indistintamente para todos los usuarios.
Por tanto, no siempre se podían considerar dispositivos de carácter técnico para los que la norma prevé la dispensa de la información al usuario de acuerdo con el último párrafo del art. 22.2 LSSI, o dicho de otro modo, para aquellos usuarios que no utilizaran los servicios Premium, no era de aplicación la exención que prevé la norma y por tanto se hacía necesario el cumplimiento del deber de información."
De hecho, fueron las primeras declaraciones de Movistar al inicio de la investigación de la AEPD las que abocaron el asunto irremediablemente a la sanción:
A esta conclusión de utilización de dicha técnica de modo generalizado -se llega, precisamente, por las propias manifestaciones de TME durante las actuaciones previas de inspección, en concreto, en el escrito de fecha de entrada en esta Agencia de 01/12/2015 se hace constar lo siguiente:
El enriquecimiento de cabeceras es una funcionalidad utilizada únicamente en el protocolo HTTP que permite añadir meta-información a las peticiones acceso a una página web concreta que se progresan desde el terminal del cliente hasta el servidor final [..][..] en este contexto histórico, todos los terminales usaban proxy explicito para la navegación por el APN telefónica.es ya que la navegación a través de la red móvil estaba más limitada que actualmente [..]
[..] a partir de 2012 se inicia un proceso de consolidación de la solución de Proxy de Navegación Móvil estando disponible para cualquier terminal que disponga de la configuración del APN telefónica.es. [..] en este proceso de consolidación se mantuvo por defecto la identificación de navegación ("x-up-subno" y "TM_user_ID") desde la red para sostener el modelo de negocio de contenidos Premium. [..] en septiembre de 2015 [..] se ha hecho un esfuerzo de racionalización de uso del enriquecimiento de cabeceras en la navegación móvil [..]
La conducta descrita encaja por tanto, para la AEPD, en la infracción prevista en el artículo 38.4.g de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que considera infracción leve (según la redacción anterior a la modificación de 10 de mayo de 2014): El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave. Finalmente se impone la sanción de 20000 euros.
La AEPD además reprocha expresamente a Movistar su falta de diligencia exigible en esta materia, precisamente por ser quien es, con las siguientes palabras:
"Por tanto se ha de considerar que las circunstancias previstas en los apartados citados (existencia de intencionalidad y plazo durante el tiempo en que se cometido la infracción) operarían como circunstancias agravantes a la hora de determinar la cuantía de la sanción que corresponda, además de la diligencia exigible a una entidad como TME que es tributaria de un conocimiento y rigor en la aplicación de la normativa aplicable a buena parte de su actividad, que no es otra que la LSSI, lo que le hace merecedora de un mayor reproche sancionador."
La resolución sancionadora se puede descargar desde aquí.
Artículo reproducido del blog de Samuel Parra - Derecho y Tecnología