Qué es TrustPid Utiq y cómo protegerse ante la pérdida total de privacidad en redes móviles
by Aitor Arozamenapublished onYa hace tiempo de esto pero en su momento me impactó. Tanto como para dejar este artículo en nevera prioritario para publicar. Resumo: TrustPid (ahora Utiq) es una iniciativa española conjunta de Movistar, Orange y Vodafone ─triada infame, entre otras empresas─ para asignar una especie de supercookie con un ID único a cada usuario de su red móvil, independiente del dispositivo, navegador, ajustes o sistema operativo. Es por tanto incontrolable, de tal manera que se lo van a proporcionar a todas las páginas que visites para que muestren publicidad personalizada en función de lo que hayas visitado antes. Tal cual.
Es un asunto que, sin entrar en detalles técnicos, de entrada suena absolutamente demencial. Te pasas el día frente al ordenador bloqueando scripts, anuncios y cookies ─con el fin de limitar los datos sobre tus actividades en la red─ y para no quedarse sin más pastel que repartir, se sacan de la manga un atentado gigantesco contra la privacidad. Y lo consiguen colar en la Unión Europea.
Tabla de Contenidos
Actualización Mayo 2024: Utiq es aún residual (y esperemos que siga así), solo lo tiene activo un puñado de periódicos y funciona exclusivamente en redes móviles (no fibra ni wifi). Si quieres ver su estado en tu caso, visita https://consenthub.utiq.com/, donde en caso de estar activo puedes proceder a darlo de baja.
TrustPid Utiq es peligroso a más no poder, no hay uso legítimo, decente o sensato
Antes de desguazar a fondo este despropósito, hubo otra cosa que me dejó temblando: la Comisión Europea dando su visto bueno, con lo cual la iniciativa ya está legalmente aprobada ─y lista para desplegar─.
Te guste o no. Lo quieras o no. Te parezca bien o no. Yo mismo hice la prueba con mi red móvil de Jazztel/Orange hace unos meses y me aparecía habilitada. En cuanto te la cuele la primera web que se integre en Utiq, tu trustpid será expuesto, asociado a tu IP, tu número de teléfono móvil y tu conexión a nivel de proveedor. Insisto, va por encima de capas de control o protocolos. Salvo que instales una VPN ─que no es para todos los usuarios─ no hay nada que hacer. No se puede filtrar, no importa que uses HTTPS, no importa que tengas bloqueadores. Si tu operador quiere, te va a exponer sin piedad a publicistas y webs para que hagan un perfil con tus visitas y crucen todos los datos que quieran.
Explicación técnica sencilla. ¿Cómo logra saltar Utiq todo filtro o bloqueador que pongamos en el navegador? Fácil para un ISP. Interceptando las peticiones HTTP que salgan de tu router a su red e inyectando en el código el token que te identifica con cada una, en una especie de acto peligroso y deliberado de "Man in The Middle".
No entiendo cómo es posible que haya prosperado una iniciativa así. Al parecer algo tiene que ver con que en 2024 Google Chrome va a fusilar definitivamente las cookies de terceros, cargándose de un plumazo análisis, estadísticas y demás lindezas de marketing online. Nótese que Firefox y Safari ya tienen opción de bloquearlas sin miramientos.
TrustPid ya estuvo activado y en prueba en los teléfonos de Movistar, Orange y Vodafone
Es más, aún mantienen abiertas su propias secciones en la web para "explicar" en qué consiste esta salvajada: https://www.orange.es/trustpid
Durante este periodo de tiempo, se supone que ya había sitios que se aprovechaban de la supercookie. Otros operadores secundarios, como Simyo, están fuera de este complot, aunque tampoco es garantía que no se agreguen en el futuro al proyecto conjunto de las ballenas de la telefonía.
Lo más importante: cómo defenderse de la futura intrusión en tu móvil de TrustPid Utiq
De la misma manera que cuando tenían la red en pruebas, es de esperar que habiliten un sitio web donde conectarse con la red móvil y retirar todo permiso a usar la "supercookie", negando su uso durante 90 días. Lo normal sería que puedas retirar permanentemente el permiso, pero al menos en Orange, esa opción no existía.
Lo que no se sabe es que harán sin ese permiso. Yo sospecho que lo activarán subrepticiamente para todos, con o sin el consentimiento. Necesitan datos y como buenas mafias harán lo que sea para conseguirlos. Si acaso, igual tienen que pagar alguna multita, pero será insignificante.
Actualizaré la entrada en cuanto pongan en marcha esta diabólica herramienta llamada Utiq.
La protección definitiva es usar una aplicación o red VPN. Los usuarios de iPhone que tengan contratado iCloud+ ya cuentan con esta protección y pueden activar una contramedida de rastreo eficaz. Está en Ajustes -> iCloud Private Relay. Así las webs que visiten nunca sabrán tu IP real, sino la que te asigne Apple como cortafuegos.
Artículos relacionados y fuentes:
Artículo de MalwareBytes LAB sobre la creación de TrustPid (2022, en inglés)
Artículo que explica el funcionamiento de TrustPid y cómo deshabilitarlo (2023)
Entrada de blog de Le VPN sobre las supercookies (2022)
Artículo en Banda Ancha sobre "cómo desactivar el identificador Utiq" (2024)
🎤 ¿Tienes algo que decir? ¡Coméntalo aquí!