Actualización del progreso de la iniciativa de Privacy Sandbox

La iniciativa Privacy Sandbox propone un conjunto de APIs que preservan la privacidad para respaldar modelos de negocios que financian la Web abierta en ausencia de mecanismos de seguimiento como las cookies de terceros. Se introdujo en 2019, y Chrome compartió actualizaciones sobre el progreso en enero y octubre del año pasado.

Después de un año de incubación, 2021 será un año de pruebas con oportunidades continuas de participación para el ecosistema web. En esta publicación, se proporciona una actualización sobre el estado de las APIs y las propuestas de Privacy Sandbox.

Progreso en casos de uso clave

Ubicar anuncios relevantes en un sitio

Los editores y anunciantes desean proporcionar contenido, incluidos anuncios, que sea relevante e interesante para el usuario. En la Web actual, los intereses de las personas a menudo se miden mediante la observación de los sitios o las páginas que visitan, lo cual depende de cookies de terceros o de mecanismos menos transparentes y no deseados, como la creación de huellas digitales del dispositivo.

En marzo, con la versión 89, Chrome lanzará una prueba de origen para la API de aprendizaje federado de cohortes (FLoC). FLoC propone una nueva forma de llegar a las personas con contenido y anuncios relevantes. Para ello, agrupa grupos grandes de personas con patrones de navegación similares, los oculta "entre la multitud" y mantiene su historial web en su navegador. Hoy Google Ads comparte una actualización de sus pruebas del algoritmo FLoC, que muestra que la API propuesta podría ser tan eficaz como las cookies de terceros para publicar anuncios relevantes basados en intereses.

Creación de públicos propios

Uno de los casos de uso más interesantes en la comunidad de estándares se trata de cómo las empresas pueden crear públicos y llegar a visitantes anteriores de sus sitios web por medio del remarketing. El año pasado, Chrome presentó TURTLEDOVE, una propuesta que aborda este caso de uso y, al mismo tiempo, proporciona las mismas protecciones de la privacidad que las otras propuestas. Un sitio web puede solicitarle al navegador que almacene un grupo de interés, lo que incluye información sobre las ofertas y la visualización de anuncios, y las ofertas en el dispositivo de posibles compradores de anuncios se basarían en este grupo de interés.

La nueva propuesta de FLEDGE de Chrome ( primer experimento "Decisión ejecutada de forma local sobre grupos") amplía el enfoque TURTLEDOVE mediante la incorporación de conceptos nuevos de muchas otras propuestas contribuidas. FLEDGE incluye una forma para que los algoritmos de ofertas integrados en el dispositivo usen información adicional de un nuevo servidor de confianza diseñado para este único propósito. Para facilitar la experimentación temprana antes de que estén disponibles los nuevos servidores de confianza, proponemos un modelo “trae tu propio servidor” y esperamos enviar este primer experimento durante 2021.

Medición de la eficacia de la publicidad

Cuando un especialista en marketing publica una campaña publicitaria, es importante que comprenda cuántas personas ven cada anuncio y si esto genera una acción del consumidor, como una compra o un registro.

En septiembre de 2020, abrimos la API de Medición de conversiones de eventos para realizar pruebas en pruebas públicas de origen de Chrome. Permite a los especialistas en marketing medir las conversiones sin el uso de cookies de terceros. En cambio, el navegador registra los clics y las conversiones y comparte un informe anonimizado. Una versión futura de esta tecnología también admitirá las "conversiones posimpresión" (cuando las personas ven un anuncio, pero realizan una acción posteriormente).

Para ayudar a los especialistas en marketing a comprender el alcance de público de una campaña publicitaria en particular, en abril de 2020, publicamos la API de Aggregate Measurement, que ayuda a medir cuántas veces los usuarios únicos vieron un anuncio en varios sitios, sin revelar los datos que podrían usarse para identificar a las personas. Esto es posible cuando se informan datos solo una vez que alcanzan un umbral determinado de agregación. Planeamos abrir la API de Aggregate Measurement para realizar pruebas mediante pruebas de origen público en la primera mitad del año.

Prevención de fraudes

Los sitios y publicadores deben asegurarse de poder distinguir a los generadores de spam, a los estafadores y a los bots de los usuarios reales. En julio del año pasado, abrimos la API de Trust Tokens para realizar pruebas. Esto permite evaluar la autenticidad de un usuario para combatir el fraude sin necesidad de conocer su identidad. Chrome 89 presenta una prueba de origen para admitir un nuevo tipo de entidad emisora de tokens de confianza que puede mejorar la detección de fraudes que se originan en dispositivos móviles y, al mismo tiempo, proteger la privacidad del usuario.

En 2020, también mejoramos la seguridad de la tecnología web actual. Chrome y Edge adoptaron la política de cookies de SameSite, y pronto llegarán a Firefox, ya que tratarán las cookies como propias, a menos que el desarrollador indique que se debe acceder a ellas desde diferentes sitios. También lanzamos esto para WebView de Android y esperamos aplicar el tratamiento predeterminado "SameSite=Lax" a partir de las apps orientadas a Android S.

Como novedad en la actualización de Chrome 88 de este mes, fortaleceremos esta política con la modificación de la definición de SameSite para evitar algunas formas de ataques entre sitios, incluido el cambio de la seguridad de una conexión a una versión inferior. Ahora las versiones seguras e inseguras del mismo dominio de host, como https://site.example y http://site.example, se consideran como contexto de terceros entre sí.

Reconocemos que los sitios web del mundo real pueden abarcar varios dominios o dominios de códigos de país (como .com, co.uk y .de). En Chrome 89, presentaremos los conjuntos propios como una prueba de origen en Chrome para que los propietarios de dominios puedan declarar explícitamente que un grupo de dominios web relacionados pertenecen a la misma organización y tratarse como “del mismo grupo” entre sí. Los usuarios pueden, por ejemplo, permanecer en un sitio de compras, incluso si la experiencia del sitio abarca varios dominios. Regístrate para la prueba.

Cómo evitar el seguimiento encubierto

También avanzamos en los cambios en Chrome para evitar las técnicas de seguimiento intrusivas existentes y habilitar soluciones alternativas de mitigación:

  • En las próximas semanas, completaremos el lanzamiento estable de Chrome de la nueva API de User-Agent Client Hints (UA-CH), que permite a los desarrolladores solicitar información específica sobre el navegador de un usuario en lugar de obtenerla de forma predeterminada. Alentamos a los desarrolladores a comenzar a migrar a la API de UA-CH, ya que, con el tiempo, Chrome comenzará a limitar la información disponible en la string de usuario-agente tradicional, que actualmente se puede usar para la creación de huellas digitales.

  • La semana pasada, presentamos Gnatcatcher, una propuesta que permite que grupos de usuarios envíen su tráfico mediante el mismo servidor que privatiza y que oculta de manera efectiva sus direcciones IP del host del sitio. Gnatcatcher también garantiza que los sitios que requieren acceso a direcciones IP por motivos legítimos, como la prevención de abusos, puedan hacerlo, sujetos a certificación y auditorías.

  • Como lo informamos en octubre del año pasado, también cerramos la capacidad de un sitio para observar otros sitios que un usuario podría haber visitado a través de mecanismos de almacenamiento en caché. Esto garantiza que solo el sitio que realizó la solicitud original pueda acceder a los recursos almacenados en caché, lo que disminuye el riesgo de ataques de seguridad, como el seguimiento entre sitios y los ataques de búsqueda. Este cambio se lanzará para todos los usuarios de Chrome a partir de marzo con Chrome 89.

Más información

Foto de Aditya Saxena de Unsplash