Profundiza en Privacy Sandbox

Privacy Sandbox es una serie de propuestas para satisfacer casos de uso de terceros sin cookies de terceros ni otros mecanismos de seguimiento.

Resumen

• En esta publicación, se describen las APIs y los conceptos de las propuestas de Privacy Sandbox.
• Los autores de la propuesta invitan a la comunidad, en particular a los miembros del espacio publicitario (publicadores, anunciantes y empresas de tecnología publicitaria), para que sugieran casos de uso que faltan y compartan información sobre cómo respaldar los casos de uso de tu empresa.
• Puedes comentar las propuestas registrando los problemas en los repositorios vinculados a continuación.
• Al final de esta entrada, encontrará un glosario con las propuestas.

---

El estado actual de la privacidad en la Web

Los sitios web utilizan servicios de otras empresas para proporcionar análisis, proporcionar videos y hacer muchas otras cosas útiles. La capacidad de componibilidad es uno de los superpoderes de la Web. En particular, los anuncios se incluyen en las páginas web a través de iframes y JavaScript de terceros. Se hace un seguimiento de las vistas de anuncios, los clics y las conversiones mediante cookies de terceros y secuencias de comandos.

Sin embargo, cuando visitas un sitio web, es posible que no conozcas a los terceros involucrados ni qué hacen con tus datos. Es posible que incluso los publicadores y desarrolladores web no comprendan toda la cadena de suministro de terceros.

Actualmente, la selección de anuncios, la medición de conversiones y otros casos de uso dependen del establecimiento de una identidad del usuario estable entre sitios. Históricamente, esto se ha hecho con cookies de terceros, pero los navegadores comenzaron a restringir el acceso a estas cookies. También aumentó el uso de otros mecanismos para el seguimiento de usuarios entre sitios, como el almacenamiento encubierto del navegador, la creación de huellas digitales del dispositivo y las solicitudes de información personal, como direcciones de correo electrónico.

Este es un dilema para la Web. ¿Cómo se pueden admitir casos de uso legítimos de terceros sin permitir que se realice un seguimiento de los usuarios en los sitios?

En particular, ¿cómo pueden los sitios web financiar el contenido permitiendo que terceros muestren anuncios y midan el rendimiento de los anuncios, pero sin permitir que se creen perfiles de usuarios individuales? ¿De qué manera los anunciantes y propietarios de sitios pueden evaluar la autenticidad de un usuario sin recurrir a patrones oscuros como la creación de huellas digitales del dispositivo?

La forma en que funcionan actualmente las cosas puede ser problemática para todo el ecosistema web, no solo para los usuarios. Para los publicadores y anunciantes, el seguimiento de la identidad y el uso de una variedad de soluciones no estándares de terceros pueden aumentar la deuda técnica, la complejidad del código y el riesgo de datos. Los usuarios, desarrolladores, publicadores y anunciantes deben estar seguros de que la Web protege las opciones de privacidad del usuario.

La publicidad es un modelo de negocio web central para Internet, pero debe funcionar para todos. Esto nos lleva a la misión de Privacy Sandbox: crear un ecosistema web próspero que respete a los usuarios y que sea privado de forma predeterminada.

Presentación de Privacy Sandbox

Privacy Sandbox presenta un conjunto de APIs que preservan la privacidad para admitir modelos de negocio que financian la Web abierta sin mecanismos de seguimiento como cookies de terceros.

Las APIs de Privacy Sandbox requieren que los navegadores web asuman un nuevo rol. En lugar de trabajar con herramientas y protecciones limitadas, las APIs permiten que el navegador del usuario actúe en su nombre (a nivel local, en su dispositivo) para proteger la información de identificación del usuario mientras navega por la Web. Las APIs permiten casos de uso como la selección de anuncios y la medición de conversiones, sin revelar información personal y privada individual. En términos de ingeniería, una zona de pruebas es un entorno protegido. un principio clave de Privacy Sandbox es que la información personal de los usuarios debe protegerse y no compartirse de una manera que permita identificarlo en distintos sitios.

Este es un cambio de dirección para los navegadores. La visión del futuro de Privacy Sandbox consiste en que los navegadores proporcionen herramientas específicas para satisfacer casos de uso específicos y, al mismo tiempo, preservar la privacidad del usuario. Un modelo de posible privacidad para la Web establece principios fundamentales detrás de las APIs:

• Para establecer el rango de actividad web a través del cual el navegador del usuario puede permitir que los sitios web traten a una persona como una única identidad.
• Para identificar las formas en que la información puede moverse más allá de los límites de identidad sin comprometer esa separación.

Las propuestas de Privacy Sandbox

Para lograr una transición satisfactoria a las cookies de terceros, la iniciativa de Privacy Sandbox necesita tu apoyo. Las explicaciones de la propuesta necesitan comentarios de los desarrolladores, publicadores, anunciantes y empresas de tecnología publicitaria para sugerir casos de uso que faltan y compartir información sobre cómo lograr sus objetivos de una manera que resguarde la privacidad.

Puedes comentar las explicaciones de la propuesta informando problemas en cada repositorio:

• Modelo de privacidad para la Web
  Establece el rango de actividad web a través del cual el navegador del usuario puede permitir que los sitios web traten a una persona como una única identidad. Identifica las formas en que la información puede moverse más allá de los límites de identidad sin comprometer esa separación.
• Presupuesto de privacidad
  Limita la cantidad total de datos de identificación potencial a los que pueden acceder los sitios. Actualiza las APIs para reducir la cantidad de datos identificables revelados. Hacer que el acceso a datos potencialmente identificables sea medible.
• Gnatcatcher
  Limita la capacidad de identificar usuarios individuales accediendo a su dirección IP.
• API de Trust Token
  Habilita un origen que confíe en que un usuario le otorgue tokens criptográficos que el navegador del usuario almacena para que se puedan usar en otros contextos y así evaluar la autenticidad del usuario.
• Conjuntos propios
  Permitir que los nombres de dominio relacionados que pertenecen a la misma entidad se declaren como pertenecientes al mismo origen
• Informes agregados
  Proporciona mecanismos que preserven la privacidad para respaldar una variedad de casos de uso, como las conversiones posimpresión, la marca, la efectividad y la medición de alcance.
• Informes de atribución
  Ofrece mediciones de clics y vistas que preserven la privacidad mediante informes agregados y a nivel del evento.
• API de Topics
  Habilitar la publicidad basada en intereses sin tener que recurrir a hacer un seguimiento de los sitios que visita un usuario El diseño de la API se basó en los comentarios de la comunidad de nuestras pruebas anteriores de FLoC, y sustituye la propuesta de FLoC.
• FLEDGE
  Proporciona una solución para los casos de uso de remarketing, diseñada de modo que terceros no puedan usarla para realizar un seguimiento del comportamiento de navegación de los usuarios en los sitios.

Puede sumergirse en las explicaciones de las propuestas de API de inmediato y, en los próximos meses, realizaremos publicaciones sobre cada propuesta de forma individual.

También agregaremos a nuestra playlist de videos de cinco minutos que brindan una explicación simple de cada API.

Casos de uso y objetivos

Mide las conversiones

Objetivo: Permitir que los anunciantes midan el rendimiento de los anuncios

La API de Attribution Reporting permite medir dos eventos que están vinculados entre sí: 1) Es un evento en el sitio web de un publicador, como cuando un usuario ve un anuncio o hace clic en él. 1. Una conversión posterior en el sitio de un anunciante

Esta API admite la medición de clics y posimpresión.

Otras funciones de esta API incluyen los informes de atribución en dispositivos múltiples y los informes de atribución de app a la Web.

La API también ofrece dos tipos de informes de atribución:

• Los informes a nivel del evento asocian un clic o una vista en el anuncio en particular (en el lado del anuncio) con datos en el lado de la conversión. Para preservar la privacidad del usuario, al evitar la unión de la identidad del usuario en todos los sitios, los datos de las conversiones son muy limitados y los datos se "contaminan". (esto significa que, en un pequeño porcentaje de casos, se envían datos aleatorios). Como medida adicional para proteger la privacidad, las denuncias no se envían inmediatamente.

• Los informes globales no están vinculados a un evento específico del anuncio. Estos informes proporcionan datos de conversiones más detallados y de mayor fidelidad que los informes a nivel del evento. Una combinación de técnicas de privacidad en criptografía, distribución de confianza y privacidad diferencial ayuda a reducir el riesgo de unión de identidades en todos los sitios.

Ambos tipos de informes se pueden utilizar de forma simultánea, ya que son complementarios.

En la Introducción a Attribution Reporting, se explica más sobre el estado de estas funciones y cómo probar esta API.

Seleccione los anuncios

Objetivo: Permitir que los anunciantes muestren anuncios relevantes para los usuarios.

Los anuncios relevantes son más favorables para los usuarios y más rentables para los editores (las personas que ejecutan sitios web compatibles con anuncios). Las herramientas de selección de anuncios de terceros hacen que el espacio publicitario sea más valioso para los anunciantes (las personas que compran espacio publicitario en sitios web), lo que, a su vez, aumenta los ingresos de los sitios web que admiten anuncios y permiten crear y publicar contenido.

Existen muchas formas de hacer que los anuncios sean relevantes para los usuarios, incluidas las siguientes:

• Datos de origen: Muestra anuncios relevantes para los temas que una persona informó sobre un sitio web que le interesa o contenido que una persona ya consultó en el sitio web actual.
• Contextuales: Elige dónde mostrar los anuncios según el contenido del sitio. Por ejemplo, "Coloca este anuncio junto a artículos sobre tejer".
• Remarketing: Muestre sus anuncios a las personas que ya visitaron su sitio, pero que no están allí. Por ejemplo, "Muestre este anuncio de lana con descuento a las personas que visitaron su tienda y dejaron artículos en su carrito de compras mientras visitan sitios de manualidades".
• Basado en intereses: Selecciona anuncios en función del historial de navegación del usuario. Por ejemplo, "Muestra este anuncio a los usuarios cuyo comportamiento de navegación indique que podrían estar interesados en tejer".

La selección de anuncios contextuales y de datos de origen se puede lograr sin saber nada sobre el usuario que no sea su actividad en un sitio. Estas técnicas no requieren seguimiento entre sitios.

El remarketing normalmente se realiza mediante el uso de cookies o de alguna otra manera de reconocer a los usuarios en los distintos sitios web: agregar usuarios a las listas y, luego, seleccionar anuncios específicos para mostrarles.

Actualmente, la selección de anuncios basados en intereses utiliza cookies para realizar un seguimiento del comportamiento de los usuarios en tantos sitios como sea posible. A muchas personas les preocupan las implicaciones de privacidad de la selección de anuncios. Privacy Sandbox propone dos alternativas, para el remarketing y para la selección basada en intereses:

• FLEDGE: Para casos de uso de remarketing.
  La API está diseñada de modo que terceros no puedan usarla para hacer un seguimiento del comportamiento de navegación del usuario: el navegador del usuario, no el anunciante ni la plataforma de tecnología publicitaria, almacena grupos de interés definidos por el anunciante con los que está asociado su navegador. El navegador del usuario combina datos del grupo de interés con datos del comprador o vendedor de anuncios y la lógica empresarial para realizar una "subasta". localmente en el dispositivo del usuario para seleccionar un anuncio, en lugar de compartir datos con un tercero.

• API de Topics: para públicos basados en intereses.
  Habilitar la publicidad basada en intereses sin tener que recurrir a hacer un seguimiento de los sitios que visita un usuario La API propone usar el aprendizaje automático para inferir temas a partir de nombres de host y una API de JavaScript que muestra temas específicos que podrían interesarle a un usuario en la actualidad, según los nombres de host de los sitios visitados recientemente.

Creación de huellas digitales de combate

Objetivo: Reducir la cantidad de datos identificables que revelan las APIs y permitir que los usuarios puedan controlar y medir el acceso a esos datos.

Los navegadores tomaron medidas para dar de baja las cookies de terceros, pero siguieron evolucionando las técnicas para identificar el comportamiento de los usuarios individuales y hacerles un seguimiento, lo que se conoce como creación de huellas digitales. La creación de huellas digitales utiliza mecanismos que los usuarios no conocen y que no pueden controlar.

• El objetivo de la propuesta de presupuesto de privacidad es limitar el potencial de la creación de huellas digitales mediante la identificación de cuántos datos de huella digital exponen las APIs de JavaScript y otras "plataformas" (como encabezados de solicitud HTTP) y establecer un límite sobre la cantidad de datos a los que se puede acceder.

• Se reducirá el alcance de las superficies de creación de huellas digitales, como el encabezado User-Agent, y los datos disponibles mediante mecanismos alternativos, como Client Hints, estarán sujetos a los límites del Presupuesto de privacidad. Otras plataformas, como las APIs de orientación del dispositivo y nivel de la batería, se actualizarán para mantener la información expuesta al mínimo.

Seguridad de la dirección IP

Objetivo: Controlar el acceso a direcciones IP para reducir la creación de huellas digitales encubierta y permitir que los sitios inhabiliten la visualización de direcciones IP para no consumir presupuesto de privacidad.

La dirección IP de un usuario es la "dirección" pública. de su computadora en Internet, que en la mayoría de los casos es asignada de forma dinámica por la red a través de la cual se conectan a Internet. Sin embargo, incluso las direcciones IP dinámicas pueden permanecer estables durante un período significativo. No es sorprendente que esto signifique que las direcciones IP son una fuente importante de datos de huellas dactilares.

La propuesta Gnatcatcher es un intento de proporcionar un enfoque que preserva la privacidad, evita que se consuma el presupuesto de privacidad, a la vez que se garantiza que los sitios solicitar acceso a direcciones IP para fines legítimos, como la prevención de abusos, puede hacerlo, sujeta a certificación y auditoría.

La propuesta tiene dos partes: * Ceguera intencional de IP proporciona a los sitios web una forma de informar a los navegadores que no están conectando direcciones IP con los usuarios. * NAT de ruta cercana permite grupos de usuarios para enviar su tráfico por el mismo servidor de privatización, lo que oculta direcciones IP de un host del sitio.

Combate los ataques de spam, fraude y denegación del servicio

Objetivo: Verificar la autenticidad de los usuarios sin la creación de huellas digitales.

La protección contra fraudes es fundamental para proteger a los usuarios y garantizar que los anunciantes y los propietarios de sitios puedan obtener mediciones precisas del rendimiento de los anuncios. Los anunciantes y los propietarios de sitios deben poder distinguir entre bots maliciosos y usuarios auténticos. Si los anunciantes no pueden determinar con certeza qué clics en el anuncio provienen de personas reales, invertirán menos, por lo que los publicadores de sitios obtienen menos ingresos. Muchos servicios de terceros actualmente usan técnicas para combatir el fraude, como la creación de huellas digitales del dispositivo.

Lamentablemente, las técnicas que se utilizan para identificar a los usuarios legítimos y bloquear a los generadores de spam, estafadores y bots funcionan de forma similar a las técnicas de creación de huellas digitales que dañan la privacidad.

• La API de Trust Tokens propone un enfoque alternativo, que permite que la autenticidad establecida para un usuario en un contexto, como un sitio de redes sociales, se transmita a otro contexto, como un anuncio que se publica en un sitio de noticias, sin identificar al usuario ni vincular las dos identidades.

Habilitar dominios para que pertenezcan al mismo origen

Objetivo: Habilitar las entidades para que declaren que los nombres de dominio relacionados pertenecen al mismo origen.

Muchas organizaciones poseen sitios en varios dominios. Esto puede convertirse en un problema si se imponen restricciones al seguimiento de la identidad del usuario en sitios que se consideran "de terceros" pero que en realidad pertenecen a la misma organización.

• El objetivo de los conjuntos propios es lograr que el concepto de origen y de terceros de la Web se alinee más con el del mundo real permitiendo que varios dominios se declaren como pertenecientes al mismo origen.

Más información

Explicaciones de la propuesta de Privacy Sandbox

La iniciativa de Privacy Sandbox necesita tu apoyo. Las explicaciones de la propuesta de la API necesitan comentarios, en particular para sugerir casos de uso faltantes y formas más privadas de lograr sus objetivos.

• Presupuesto de privacidad
• API de Trust Token
• Gnatcatcher
• API de Aggregated Reporting
• Medición de conversiones
• API de Topics
• FLEDGE

Un modelo de posible privacidad para la Web establece los principios básicos subyacentes de las APIs.

Privacy Sandbox

• Descripción general técnica: Privacy Sandbox
• Descripción general no técnica: privacysandbox.com
• Principios del proyecto: Cómo construir una Web más privada
• El futuro de las cookies de terceros

Debate y participación

• Cómo participar en la iniciativa Privacy Sandbox
• Actualización del progreso de la iniciativa de Privacy Sandbox
• Asistencia para desarrolladores de Privacy Sandbox: Únete a debates o haz preguntas.

Casos de uso, políticas y requisitos

• Casos de uso de publicidad
• Política antiseguimiento de Mozilla
• Política de prevención del seguimiento de WebKit
• Atribución de clics en anuncios que preserva la privacidad para la Web
• Presupuestos valientes, de creación de huellas digitales y de privacidad

---

Apéndice: Glosario de términos usados en las explicaciones de la propuesta

Tasa de clics (CTR)

Es la proporción de usuarios que hicieron clic en un anuncio después de verlo. (Consulta también Impresión).

Conversión posclic (CTC)

Una conversión atribuida a un anuncio en el que se hizo clic.

Conversión

La finalización de una acción en el sitio web de un anunciante por parte de un usuario que ya interactuó con un anuncio de ese anunciante. Por ejemplo, la compra de un producto o el registro para recibir un boletín informativo después de hacer clic en un anuncio que dirige al sitio del anunciante.

Privacidad diferencial

Comparte información sobre un conjunto de datos para revelar patrones de comportamiento sin revelar información privada sobre individuos o si estos pertenecen al conjunto de datos.

Dominio

Consulta Dominio de nivel superior y eTLD.

eTLD, eTLD+1

“Efectivo” los dominios de nivel superior se definen a través de la lista de sufijos públicos. Por ejemplo:

co.uk
appspot.com
glitch.me

Los TLD eficaces son los que permiten que foo.appspot.com sea un sitio diferente de bar.appspot.com. En este caso, el dominio de nivel superior efectivo (eTLD) es appspot.com, y el nombre completo del sitio (foo.appspot.com, bar.appspot.com) se conoce como eTLD+1.

Consulta también Dominio de nivel superior.

Entropía

Es una medida de cuánto revela un elemento de datos la identidad individual.

La entropía de datos se mide en bits. Mientras más identidad revelen los datos, mayor será su valor de entropía.

Los datos se pueden combinar para identificar a una persona, pero puede ser difícil averiguar si los nuevos datos aumentan la entropía. Por ejemplo, saber que una persona es de Australia no reduce la entropía si ya sabes que es de la Isla del Canguro.

Creación de huellas digitales

Técnicas para identificar y rastrear el comportamiento de usuarios individuales. La creación de huellas digitales utiliza mecanismos que los usuarios no conocen y que no pueden controlar.

Superficie de huella digital

Algo que se puede usar (probablemente en combinación con otras plataformas) para identificar a un usuario o dispositivo en particular. Por ejemplo, el método navigator.userAgent() de JavaScript y el encabezado de la solicitud HTTP User-Agent proporcionan acceso a una plataforma de creación de huellas digitales (la string de usuario-agente).

Propia

Recursos del sitio que estás visitando Por ejemplo, la página que estás leyendo está en el sitio web.dev y, además, incluye recursos de ese sitio. Consulta también la sección De terceros.

Impresión

Vista de un anuncio (Consulta también la tasa de clics).

k‑anonimato

Es una medida de anonimato dentro de un conjunto de datos. Si tienes k anonimato, no podrás distinguirlo de otros k-1 individuos en el conjunto de datos. En otras palabras, k personas tienen la misma información (incluido tú).

Nonce

Número arbitrario que se usa una sola vez en comunicación criptográfica.

Origen

El origen de una solicitud, que incluye el nombre del servidor, pero no la información de la ruta de acceso. Por ejemplo: https://web.dev.

Superficie pasiva

Algunas plataformas de creación de huellas digitales, como cadenas de usuario-agente, direcciones IP y encabezados de idioma de aceptación, están disponibles para todos los sitios web, independientemente de si el sitio las solicita o no. Eso significa que las plataformas pasivas pueden consumir fácilmente el presupuesto de privacidad de un sitio.

La iniciativa de Privacy Sandbox propone reemplazar las superficies pasivas por formas activas de obtener información específica, por ejemplo, usar Client Hints una sola vez para obtener el idioma del usuario en lugar de tener un encabezado de aceptación de idioma para cada respuesta a cada servidor.

Editor

Las explicaciones de la propuesta de Privacy Sandbox se centran principalmente en los anuncios, por lo que los tipos de publicadores a los que se hace referencia son los que colocan anuncios en sus sitios web.

Alcance

Es la cantidad total de personas que ven un anuncio.

Remarketing

Mostrar anuncios a personas que ya visitaron tu sitio Por ejemplo, una tienda en línea podría mostrar anuncios sobre una venta de juguetes a las personas que ya vieron juguetes en su sitio.

Sitio

Consulta Dominio de nivel superior y eTLD.

Superficie

Consulta Superficie de huellas digitales y Superficie pasiva.

De terceros

Recursos publicados desde un dominio diferente del sitio web que estás visitando. Por ejemplo, un sitio web foo.com podría usar el código de Analytics de google-analytics.com (a través de JavaScript), las fuentes de use.typekit.net (a través de un elemento de vínculo) y un video de vimeo.com (en un iframe). Consulta también la sección Propios.

Dominio de nivel superior (TLD)

Los dominios de nivel superior, como .com y .org, se enumeran en la base de datos de zonas raíz.

Ten en cuenta que algunos sitios en realidad son subdominios. Por ejemplo, translate.google.com y maps.google.com son subdominios google.com (que es eTLD + 1).

.well-known

Puede ser útil acceder a la política o a otra información sobre un host antes de realizar una solicitud. Por ejemplo, robots.txt les indica a los rastreadores web qué páginas visitar y qué páginas ignorar. IETF RFC8615 describe una forma estandarizada de hacer que los metadatos de todo el sitio sean accesibles en ubicaciones estándar de un subdirectorio /.well-known/. Puedes ver una lista de estas en iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Gracias a todos los que nos ayudaron a escribir y revisar esta publicación.

Foto de Pierre Bamin en Unsplash.