Profundiza en Privacy Sandbox

Privacy Sandbox es una serie de propuestas para satisfacer casos de uso de terceros sin cookies de terceros ni otros mecanismos de seguimiento.

Resumen

• En esta entrada, se describen las APIs y los conceptos de las propuestas de Privacy Sandbox.
• Los autores de las propuestas solicitan comentarios de la comunidad, en especial de quienes se dedican al espacio publicitario (publicadores, anunciantes y empresas de tecnología publicitaria), para sugerir casos de uso que faltan y compartir información sobre cómo respaldar los casos de uso de tu empresa.
• Puedes comentar las propuestas presentando problemas en los repositorios que aparecen a continuación.
• Al final de esta publicación, encontrará un glosario de las propuestas.

---

El estado actual de la privacidad en la Web

Los sitios web utilizan servicios de otras empresas para proporcionar estadísticas, ofrecer videos y realizar muchas otras tareas útiles. La componibilidad es uno de los superpoderes de la Web. En particular, los anuncios se incluyen en las páginas web a través de iframes y JavaScript de terceros. A través de cookies y secuencias de comandos de terceros, se hace un seguimiento de las reproducciones de anuncios, los clics y las conversiones.

Sin embargo, es posible que no conozcas a los terceros involucrados ni lo que hacen con tus datos cuando visitas un sitio web. Es posible que incluso los publicadores y desarrolladores web no comprendan toda la cadena de suministro de terceros.

La selección de anuncios, la medición de conversiones y otros casos de uso actualmente dependen del establecimiento de una identidad del usuario estable en varios sitios. Históricamente, esto se ha hecho con cookies de terceros, pero los navegadores han comenzado a restringir el acceso a estas cookies. También hubo un aumento en el uso de otros mecanismos para el seguimiento de usuarios entre sitios, como el almacenamiento encubierto del navegador, la creación de huellas digitales de dispositivos y las solicitudes de información personal, como direcciones de correo electrónico.

Este es un dilema para la Web. ¿Cómo se pueden admitir casos de uso legítimos de terceros sin permitir que se les haga un seguimiento de los usuarios en los sitios?

En particular, ¿cómo pueden los sitios web financiar contenido al permitir que terceros muestren anuncios y medir el rendimiento de los anuncios, pero no permitir que se genere un perfil de usuarios individuales? ¿Cómo pueden los anunciantes y propietarios de sitios evaluar la autenticidad de un usuario sin recurrir a patrones oscuros como la huella digital del dispositivo?

El funcionamiento actual de las cosas puede causar problemas para todo el ecosistema web, no solo para los usuarios. Para los publicadores y anunciantes, el seguimiento de la identidad y el uso de diversas soluciones de terceros no estándares pueden aumentar la deuda técnica, la complejidad del código y el riesgo de los datos. Los usuarios, desarrolladores, publicadores y anunciantes deben poder confiar en que la Web protege las elecciones de privacidad del usuario.

La publicidad es un modelo de negocio web fundamental para Internet, pero la publicidad debe funcionar para todos. Esto nos lleva a la misión de Privacy Sandbox: crear un ecosistema web próspero que respete a los usuarios y sea privado de forma predeterminada.

Presentación de Privacy Sandbox

Privacy Sandbox presenta un conjunto de APIs que preservan la privacidad para respaldar modelos de negocios que financian la Web abierta en la ausencia de mecanismos de seguimiento, como las cookies de terceros.

Las APIs de Privacy Sandbox requieren que los navegadores web adopten un nuevo rol. En lugar de trabajar con herramientas y protecciones limitadas, las APIs permiten que el navegador del usuario actúe en su nombre (de forma local, en su dispositivo) para proteger la información de identificación del usuario mientras navega por la Web. Las APIs permiten casos de uso como la selección de anuncios y la medición de conversiones, sin revelar información personal y privada individual. En términos de ingeniería, una sandbox es un entorno protegido. Un principio clave de Privacy Sandbox es que la información personal de un usuario debe protegerse y no compartirse de una manera que permita identificarlo en todos los sitios.

Este es un cambio de dirección para los navegadores. Con la visión de futuro de Privacy Sandbox, los navegadores proporcionarán herramientas específicas para satisfacer casos de uso específicos y, al mismo tiempo, preservar la privacidad del usuario. Un posible modelo de privacidad para la Web establece los principios fundamentales de las APIs:

• Establecer el rango de actividad web a través del cual el navegador del usuario puede permitir que los sitios web traten a una persona como si tuviera una sola identidad.
• Identificar las formas en que la información puede cruzar los límites de identidad sin comprometer esa separación.

Las propuestas de Privacy Sandbox

Para poder dejar de utilizar cookies de terceros correctamente, la iniciativa Privacy Sandbox necesita tu apoyo. Las explicaciones de la propuesta necesitan comentarios de desarrolladores, publicadores, anunciantes y empresas de tecnología publicitaria para sugerir casos de uso que faltan y compartir información sobre cómo lograr sus objetivos de una manera que resguarde la privacidad.

Puedes comentar las explicaciones de la propuesta presentando problemas en cada repositorio:

• Modelo de privacidad para la Web
  Establece el rango de actividad web en la cual el navegador del usuario puede permitir que los sitios web traten a una persona como si tuviera una sola identidad. Identifica las formas en que la información puede cruzar los límites de identidad sin comprometer esa separación.
• Presupuesto de privacidad
  Limita la cantidad total de datos potencialmente identificables a los que pueden acceder los sitios. Actualiza las APIs para reducir la cantidad de datos potencialmente identificables que se revelan. Hacer que el acceso a datos potencialmente identificables sea medible
• Gnatcatcher
  Limita la capacidad de identificar usuarios individuales mediante el acceso a su dirección IP.
• API de Trust Token
  Habilita un origen que confía en que un usuario le emitirá tokens criptográficos que almacena su navegador para que puedan usarse en otros contextos para evaluar la autenticidad del usuario.
• Conjuntos propios
  Permite que los nombres de dominio relacionados que pertenecen a la misma entidad se declaren como pertenecientes al mismo origen.
• Informes agregados
  Proporciona mecanismos que preservan la privacidad para respaldar una variedad de casos de uso, como la medición de conversiones posimpresión, de marca, de efectividad y de alcance.
• Informes de atribución
  Proporciona mediciones de clics y vistas que preserven la privacidad con informes agregados y a nivel del evento.
• API de Topics
  Habilita la publicidad basada en intereses sin tener que recurrir a hacer un seguimiento de los sitios que visita un usuario. El diseño de la API se basa en los comentarios de la comunidad de nuestras pruebas anteriores de FLoC y sustituye la propuesta de FLoC.
• FLEDGE
  Proporciona una solución para los casos de uso de remarketing, diseñada de modo que terceros no puedan usarla para hacer un seguimiento del comportamiento de navegación de los usuarios en diferentes sitios.

Puede profundizar en las explicaciones de las propuestas de la API de inmediato y, en los próximos meses, publicaremos publicaciones sobre cada una de ellas de forma individual.

También agregaremos a nuestra lista de reproducción de videos de cinco minutos que ofrecen una explicación simple de cada API.

Casos de uso y objetivos

Mide las conversiones

Objetivo: Permitir que los anunciantes midan el rendimiento de los anuncios

La API de Attribution Reporting permite medir dos eventos vinculados entre sí: 1. Es un evento en el sitio web de un publicador, como un usuario que ve un anuncio o hace clic en él. 1. Una conversión posterior en el sitio de un anunciante.

Esta API admite la medición de clics y posimpresión.

Otras funciones de esta API incluyen los informes de atribución en dispositivos múltiples y los informes de atribución de app a Web.

La API también ofrece dos tipos de informes de atribución:

• Los informes a nivel del evento asocian una vista o el clic en un anuncio en particular (del lado del anuncio) con los datos de la conversión. Para preservar la privacidad del usuario, al impedir la unión de las identidades de los usuarios en diferentes sitios, los datos orientados a las conversiones son muy limitados y los datos reciben “ruido” (lo que significa que, en un pequeño porcentaje de casos, se envían datos aleatorios). Para proteger la privacidad adicional, los informes no se envían de inmediato.

• Los informes globales no están vinculados a un evento específico del anuncio. Estos informes proporcionan datos de conversiones más detallados y de mayor fidelidad que los informes a nivel del evento. Una combinación de técnicas de privacidad de criptografía, distribución de confianza y privacidad diferencial ayuda a reducir el riesgo de unión de identidades en los sitios.

Se pueden utilizar ambos tipos de informes simultáneamente: son complementarios.

En la Introducción a Attribution Reporting, se explica más sobre el estado de estas funciones y cómo probar esta API.

Seleccione los anuncios

Objetivo: Permitir que los anunciantes muestren anuncios relevantes para los usuarios.

Los anuncios relevantes son más favorables para los usuarios y más rentables para los publicadores (las personas que ejecutan sitios web que admiten anuncios). Las herramientas de selección de anuncios de terceros hacen que los espacios publicitarios sean más valiosos para los anunciantes (las personas que los compran en sitios web), lo que, a su vez, aumenta los ingresos de los sitios web con anuncios y permite que se cree y publique contenido.

Existen muchas maneras de lograr que los anuncios sean relevantes para el usuario, incluidas las siguientes:

• Datos de origen: Muestra anuncios relevantes para los temas que una persona le indicó a un sitio web que le interesa o el contenido que una persona ya consultó en el sitio web actual.
• Contextual: Elige dónde mostrar los anuncios según el contenido del sitio. Por ejemplo, "Colocar este anuncio junto a artículos sobre tejido".
• Remarketing: Muestra anuncios a las personas que ya visitaron tu sitio cuando no están allí. Por ejemplo, "Muestre este anuncio de lana con descuento a las personas que visitaron su tienda y dejaron artículos tejidos en sus carritos de compras mientras visitan sitios de manualidades".
• Basadas en intereses: Selecciona anuncios según el historial de navegación de un usuario. Por ejemplo, "Muestra este anuncio a los usuarios cuyo comportamiento de navegación indique que podrían estar interesados en tejer".

Los datos de origen y la selección de anuncios contextuales se pueden lograr sin conocer nada sobre el usuario más que su actividad en un sitio. Estas técnicas no requieren el seguimiento entre sitios.

Por lo general, el remarketing se realiza mediante el uso de cookies o de alguna otra manera para reconocer a las personas en sitios web, es decir, cuando se agregan usuarios a las listas y, luego, se seleccionan anuncios específicos para mostrarlos.

Actualmente, la selección de anuncios basada en intereses usa cookies para hacer un seguimiento del comportamiento de los usuarios en tantos sitios como sea posible. A muchas personas les preocupan las implicaciones de la selección de anuncios en la privacidad. Privacy Sandbox propone dos alternativas, para el remarketing y para la selección basada en intereses:

• FLEDGE: Para casos de uso de remarketing
  La API está diseñada de modo que terceros no puedan usarla para realizar un seguimiento del comportamiento de navegación del usuario: el navegador del usuario, no el anunciante o la plataforma de tecnología publicitaria, almacena grupos de intereses definidos por el anunciante con los que está asociado su navegador. El navegador del usuario combina datos del grupo de interés con los datos del comprador o vendedor de anuncios y la lógica empresarial para realizar una "subasta" a nivel local en el dispositivo del usuario para seleccionar un anuncio, en lugar de compartir los datos con un tercero.

• API de Topics: Para públicos basados en intereses.
  Habilita la publicidad basada en intereses sin tener que hacer un seguimiento de los sitios que visita un usuario. La API propone el uso del aprendizaje automático para inferir los temas a partir de nombres de host y una API de JavaScript que muestra temas generales que podrían interesarle a un usuario en la actualidad, en función de los nombres de host de los sitios visitados recientemente.

Combate la creación de huellas digitales

Objetivo: Reducir la cantidad de datos potencialmente identificables que revelan las APIs y hacer que los usuarios puedan controlar y medir el acceso a esos datos

Los navegadores han tomado medidas para dar de baja las cookies de terceros, pero las técnicas para identificar y hacer un seguimiento del comportamiento de los usuarios individuales, conocidas como “creación de huellas digitales”, han evolucionado. La creación de huellas digitales utiliza mecanismos que los usuarios no conocen y no pueden controlar.

• El objetivo de la propuesta de Presupuesto de privacidad es limitar el potencial de la creación de huellas digitales. Para ello, se identifica la cantidad de datos de huellas dactilares expuestos por las APIs de JavaScript o por otras "plataformas" (como los encabezados de solicitudes HTTP) y se establece un límite para la cantidad de datos a los que se puede acceder.

• Se reducirá el alcance de las superficies de creación de huellas digitales, como el encabezado User-Agent, y los datos que estén disponibles mediante mecanismos alternativos, como Client Hints, estarán sujetos a los límites de Presupuesto de privacidad. Otras plataformas, como las APIs de orientación del dispositivo y nivel de batería, se actualizarán para mantener la información expuesta al mínimo.

Seguridad de la dirección IP

Objetivo: Controlar el acceso a las direcciones IP para reducir la creación de huellas digitales encubierta y permitir que los sitios inhabiliten las direcciones IP para no consumir el presupuesto de privacidad.

La dirección IP de un usuario es la "dirección" pública de su computadora en Internet que, en la mayoría de los casos, es asignada de manera dinámica por la red a través de la cual se conecta a Internet. Sin embargo, incluso las direcciones IP dinámicas pueden permanecer estables durante un período significativo. Como era de esperar, esto significa que las direcciones IP son una fuente importante de datos de huellas digitales.

La propuesta de Gnatcatcher intenta proporcionar un enfoque que preserve la privacidad y evite consumir el presupuesto de privacidad, a la vez que garantiza que los sitios que requieren acceso a direcciones IP con fines legítimos, como la prevención de abusos, puedan hacerlo, sujeto a certificación y auditoría.

La propuesta tiene dos partes: * La ceguera de IP intencional permite que los sitios web sepan que no están conectando direcciones IP con los usuarios. * La NAT de ruta cercana permite que grupos de usuarios envíen su tráfico a través del mismo servidor de privacidad y ocultan de forma efectiva sus direcciones IP del host de un sitio.

Combatir los ataques de spam, fraude y denegación del servicio

Objetivo: Verificar la autenticidad del usuario sin la creación de huellas digitales.

La protección antifraude es fundamental para mantener seguros a los usuarios y garantizar que los anunciantes y propietarios de sitios puedan obtener mediciones precisas del rendimiento de los anuncios. Los anunciantes y propietarios de los sitios deben poder distinguir entre bots maliciosos y usuarios auténticos. Si los anunciantes no pueden distinguir con certeza qué clics en el anuncio provienen de personas reales, invertirán menos y, de este modo, los publicadores de sitios obtendrán menos ingresos. Actualmente, muchos servicios de terceros utilizan técnicas como la creación de huellas digitales de dispositivos para combatir el fraude.

Lamentablemente, las técnicas que se utilizan para identificar a usuarios legítimos y bloquear generadores de spam, estafadores y bots funcionan de formas similares a las técnicas de huellas digitales que dañan la privacidad.

• La API de Trust Tokens propone un enfoque alternativo que permite que la autenticidad establecida para un usuario en un contexto, como un sitio de redes sociales, se transmita a otro contexto, como un anuncio que se publica en un sitio de noticias, sin identificar al usuario ni vincular las dos identidades.

Habilitar que los dominios pertenezcan al mismo origen

Objetivo: Permitir que las entidades declaren que los nombres de dominio relacionados son propiedad del mismo origen.

Muchas organizaciones poseen sitios en varios dominios. Esto puede convertirse en un problema si se imponen restricciones en el seguimiento de la identidad del usuario en sitios que se consideran "de terceros", pero que en realidad pertenecen a la misma organización.

• Conjuntos propios

Más información

Explicaciones de la propuesta de Privacy Sandbox

La iniciativa Privacy Sandbox requiere tu asistencia. Las explicaciones de propuestas de la API requieren comentarios, en particular para sugerir casos de uso faltantes y formas más privadas de lograr sus objetivos.

• Presupuesto de privacidad
• API de Trust Token
• Gnatcatcher
• API de Aggregated Reporting
• Medición de conversiones
• API de Topics
• FLEDGE

Un posible modelo de privacidad para la Web establece los principios fundamentales subyacentes de las APIs.

Privacy Sandbox

• Descripción general técnica: Privacy Sandbox
• Descripción general no técnica: privacysandbox.com
• Principios del proyecto: Crea una Web más privada
• El futuro de las cookies de terceros

Debate y participación

• Cómo participar en la iniciativa Privacy Sandbox
• Actualización del progreso de la iniciativa Privacy Sandbox
• Asistencia para desarrolladores de Privacy Sandbox: Únete a debates o haz preguntas.

Casos de uso, políticas y requisitos

• Casos de uso de publicidad
• Política antiseguimiento de Mozilla
• Política de prevención de seguimiento de WebKit
• Atribución de clics en el anuncio que preserva la privacidad
• Presupuestos valientes, con huellas digitales y privacidad

---

Apéndice: Glosario de términos usados en las explicaciones de la propuesta

Tasa de clics (CTR)

Es la proporción de usuarios que hicieron clic en un anuncio después de verlo. (También consulta la impresión).

Conversión posclic (CTC)

Una conversión atribuida a un anuncio en el que se hizo clic en un clic.

Conversión

La finalización de una acción en el sitio web de un anunciante por parte de un usuario que interactuó anteriormente con un anuncio de ese anunciante. Por ejemplo, la compra de un producto o un registro para recibir un boletín informativo después de hacer clic en un anuncio que se vincula al sitio del anunciante.

Privacidad diferencial

Comparte información sobre un conjunto de datos para revelar patrones de comportamiento sin revelar información privada sobre individuos o si pertenecen al conjunto de datos.

Dominio

Consulta Dominio de nivel superior y eTLD.

eTLD, eTLD+1

Los dominios de nivel superior "eficaces" se definen en la lista de sufijos públicos. Por ejemplo:

co.uk
appspot.com
glitch.me

Los TLD eficaces son los que permiten que foo.appspot.com sea un sitio diferente de bar.appspot.com. En este caso, el dominio de nivel superior efectivo (eTLD) es appspot.com y el nombre completo del sitio (foo.appspot.com, bar.appspot.com) se conoce como eTLD+1.

Consulta también Dominio de nivel superior.

Entropía

Es una medida de la medida en que un elemento de datos revela la identidad individual.

La entropía de datos se mide en bits. Cuanto más revelan la identidad los datos, mayor será su valor de entropía.

Los datos se pueden combinar para identificar a un individuo, pero puede ser difícil averiguar si los nuevos datos contribuyen a la entropía. Por ejemplo, saber que una persona es de Australia no reduce la entropía si ya sabes que es de la Isla Canguro.

Creación de huellas digitales

Técnicas para identificar y hacer un seguimiento del comportamiento de usuarios individuales La creación de huellas digitales utiliza mecanismos que los usuarios no conocen y no pueden controlar. Sitios como Panopticlick y amiunique.org muestran cómo se pueden combinar los datos de huella dactilar para identificarte como persona.

Superficie de huella digital

Algo que se puede usar (probablemente en combinación con otras plataformas) para identificar a un usuario o dispositivo en particular. Por ejemplo, el método navigator.userAgent() de JavaScript y el encabezado de la solicitud HTTP User-Agent proporcionan acceso a una plataforma de creación de huellas digitales (la string de usuario-agente).

Propia

Recursos del sitio que estás visitando. Por ejemplo, la página que estás leyendo está en el sitio web.dev e incluye recursos de ese sitio. Consulta también la sección Terceros.

Impresión

Vista de un anuncio. (Consulta también la tasa de clics).

k‑anonimato

Es una medida de anonimato dentro de un conjunto de datos. Si tienes el anonimato de k, no se puede distinguir de otras personas del conjunto de datos de k-1. En otras palabras, k personas tienen la misma información (incluido tú).

Nonce

Número arbitrario que se usa una sola vez en la comunicación criptográfica.

Origen

El origen de una solicitud, incluido el nombre del servidor, pero la información de la ruta. Por ejemplo: https://web.dev.

Superficie pasiva

Algunas plataformas de creación de huellas digitales, como las cadenas de usuario-agente, las direcciones IP y los encabezados de idioma de aceptación, están disponibles para todos los sitios web, ya sea que el sitio lo solicite o no. Esto significa que las plataformas pasivas pueden consumir fácilmente el presupuesto de privacidad de un sitio.

La iniciativa Privacy Sandbox propone reemplazar las plataformas pasivas con formas activas de obtener información específica, por ejemplo, usar Client Hints una sola vez para obtener el lenguaje del usuario en lugar de tener un encabezado de lenguaje de aceptación para cada respuesta a cada servidor.

Publicador

Las explicaciones de la propuesta de Privacy Sandbox se enfocan principalmente en los anuncios, por lo que los tipos de publicadores a los que se hace referencia son los que publican anuncios en sus sitios web.

Alcance

Es la cantidad total de personas que ven un anuncio.

Remarketing

Mostrar anuncios a personas que ya visitaron su sitio Por ejemplo, una tienda en línea podría mostrar anuncios de una venta de juguetes a las personas que anteriormente vieron juguetes en su sitio.

Sitio

Consulta Dominio de nivel superior y eTLD.

Superficie

Consulta Superficie de huella digital y Superficie pasiva.

De terceros

Recursos que se publican desde un dominio distinto del sitio web que estás visitando. Por ejemplo, un sitio web foo.com podría usar el código de Analytics de google-analytics.com (a través de JavaScript), fuentes de use.typekit.net (mediante un elemento de vínculo) y un video de vimeo.com (en un iframe). Consulta también Propios.

Dominio de nivel superior (TLD)

Los dominios de nivel superior, como .com y .org, se enumeran en la base de datos de zonas raíz.

Ten en cuenta que algunos "sitios" son, en realidad, subdominios. Por ejemplo, translate.google.com y maps.google.com, son solo subdominios de google.com (que es eTLD + 1).

.well-known

Puede ser útil acceder a la política o a otra información sobre un host antes de realizar una solicitud. Por ejemplo, robots.txt les indica a los rastreadores web qué páginas visitar y qué páginas ignorar. La RFC8615 de la IETF describe una forma estandarizada para que los metadatos de todo el sitio sean accesibles en ubicaciones estándar en un subdirectorio /.well-known/. Puedes ver una lista de estas opciones en iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Gracias a todos los que nos ayudaron a escribir y revisar esta publicación.

Foto de Pierre Bamin en Unsplash.