Casares.blog

Telemetría de WordPress

·

Javier Casares

Llevo ya unas cuantas charlas hablando sobre el proyecto FAIR, y estoy contento de haber podido hablar de ello en una WordCamp tras un par de Meetup.

Si no sabes qué es FAIR, al día siguiente de su lanzamiento en junio de 2025 escribí sobre ello, cuando el proyecto casi ni estaba definido. Además, he hablado de forma extensa en la Meetup de Terrassa (en vídeo ha sido eliminado de WordPress TV) y hace poco en la Meetup de Mataró.

Y siguiendo la línea más parecida a esta última, decidí plantear para Zaragoza una charla focalizada más en qué es FAIR como concepto general, y en lo que hace el plugin que creo que es bastante importante.

Descarga y vídeo

WCZGZ 26 – FAIR – Javier CasaresDescarga

Sobre la telemetría

Una de las cosas que más sorprende cuando hablo de WordPress es que es «ilegal» (lo pongo entre comillas para que nadie me diga nada, y ahora detallo).

WordPress no es de por sí ilegal, el software son «unos y ceros», pero ejecutarlo por primera vez, tal y como viene compilado, para un europeo, sí que lo sería. Ya lo expliqué, pero quiero entrar en detalle de todas las cosas.

¿Por qué es «ilegal»?

Cuando digo que es ilegal, lo primero, no soy abogado, pero, sí que tengo los conocimientos base del RGPD y otras legislaciones sobre Internet, y, aunque en pequeña escala todo es discutible, cuando miras las cosas un poco a lo grande, es cuando se generan problemas.

La telemetría no está definida textualmente en el RGPD, pero cuando datos remotos contienen información identificable de una persona pasan a ser datos personales. Su tratamiento se rige por los principios del RGPD: licitud, lealtad, transparencia, minimización y limitación de finalidad. El responsable del tratamiento debe documentar y justificar la base legal para recoger telemetría (como por ejemplo el consentimiento explícito o interés legítimo) y demostrar cumplimiento con los derechos de los interesados. Hay que recordar que la web de WordPress.org no tiene en ningún sitio (al menos hoy en día) Términos y Condiciones ni nada que se le parezca. El RGPD requiere informar explícitamente al interesado sobre perfilado y decisiones automatizadas, y la realización de evaluaciones de impacto cuando estas prácticas conlleven riesgos elevados.

Hay que recordar que el antiguo Privacy Shield fue invalidado por el Tribunal de Justicia de la UE en Schrems II (2020) por no garantizar protección frente al acceso gubernamental de datos en EE. UU. (vigilancia masiva de inteligencia). Desde 10 de julio de 2023, existe un nuevo Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework, DPF) considerado adecuado por la Comisión Europea, pero solo para entidades estadounidenses incluidas en la lista del marco, y requiere que se cumplan obligaciones de protección y mecanismos de recurso.

Y, hay que decir que Automattic Inc., está en esa lista, pero WordPress.org no es parte de Automattic (o al menos, no es lo que se ha explicado, hasta donde yo sé).

Aunque los datos que se mandan por el propio software no son de por sí perfiles, (estos datos no identifican directamente a una persona) pueden llegar a ser datos personales si se combinan con IP u otros identificadores (lo que es RGPD aplicable).

Otra cosa es el interés legítimo del responsable (seguridad, compatibilidad, mantenimiento), razonable y esperado en un CMS, pero Aun así, debería documentarse en el registro de tratamientos (que, de nuevo, hoy, no existe).

También hay que tener en cuenta que tenemos Gravatar (el punto más delicado), que implica el envío del hash del email, la IP del visitante y la transferencia a Automattic (EE. UU.); esto ocurre cada vez que se carga un avatar, incluso para usuarios no autenticados, si hay comentarios. Esto tiene problemas RGPD claros, como la transferencia internacional de datos, la falta de consentimiento explícito del visitante y que es difícil justificar interés legítimo para un avatar decorativo.

La creación de perfiles

Si varios sitios comparten la misma IP / mismo servidor y el mismo usuario administrador, existen vectores claros de correlación:

  • IP pública compartida
  • User-Agent + patrones de acceso
  • Credenciales reutilizadas (mismo email/usuario en WP-Admin)
  • Huella del entorno:
    • Versión de PHP
    • Stack exacto de plugins
    • Idioma, zona horaria
    • Horarios de login
  • Eventos sincronizados (actualizaciones, errores, health checks)

Con esto, un tercero puede inferir:

“Estos N sitios pertenecen o son gestionados por la misma persona u organización”.

Eso encaja con la definición de perfilado del RGPD (Art. 4.4), que es la evaluación automatizada de aspectos relacionados con una persona física.

A gran escala

En WordPress, cuando un sitio tiene muchos usuarios (por ejemplo, un e-commerce) y un administrador accede a la lista de usuarios, el sistema intenta cargar automáticamente los avatares mediante Gravatar. Para ello, WordPress genera un hash del email de cada usuario y realiza una petición externa a los servidores de Gravatar, enviando además la IP del servidor y otros metadatos técnicos. En un sitio con cientos o miles de cuentas, esto supone un envío masivo y repetido de datos personales pseudonimizados de usuarios finales a un tercero externo, normalmente ubicado en Estados Unidos.

Desde el punto de vista del RGPD, este comportamiento constituye un tratamiento sistemático de datos personales y una transferencia internacional de datos que no es estrictamente necesaria para la prestación del servicio principal del sitio (vender productos, gestionar cuentas, etc.). Mostrar un avatar es un elemento meramente visual, difícilmente justificable por interés legítimo, y no existe consentimiento explícito de los usuarios para ese tratamiento. Además, el volumen y la repetición elevan el riesgo, lo que en contextos como un e-commerce hace razonable exigir una evaluación de impacto (DPIA).

De forma adicional, estas peticiones permiten a terceros inferir información sobre el propio sitio y su responsable: tamaño de la base de usuarios, tipo de plataforma, frecuencia de gestión y patrón de actividad, lo que facilita un perfilado indirecto del administrador o de la empresa. Por eso, en entornos mínimamente exigentes con el RGPD, la práctica recomendada es desactivar Gravatar, evitar llamadas externas innecesarias y limitar WordPress a tratamientos de datos estrictamente necesarios para la operación del servicio.

A partir de aquí, dejo el análisis / auditoría que me ha devuelto el sistema, y que desde un punto de vista técnico y legal puede ser bastante interesante.

Páginas: 1 2 3 4 5 6

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *