Las “Supercookies” & Friends!

LSAF, BloG - 002

LSAF, BloG - 003

LSAF, BloG - 004

“Cookies” -;

Las cookies han sido y son un método común para recoger información de los navegadores y con ello, del usuario que hay detrás. Como siempre, el principal interés es ganar dinero y se trata de obtener cuanta más información mejor, sobre los patrones de comportamiento de una persona para después explotarla convenientemente comercialmente. Lógicamente además de los intereses puramente económicos existen otros con distintos objetivos (políticos, sociales, etc) }:/

¿Qué es una “cookie”?

Pues simplemente un “fichero” que se almacena en el navegador del ordenador o dispositivo del usuario y que servirá para obtener información e identificar al navegante al acceder a sitios web. Esto unido a la ejecución de scripts, generalmente javascript o archivos flash, se consigue procesar y recuperar muchísima información. Visítese -por ejemplo- el enlace (a modo de prueba) de una editorial (elmundo.es) para consultar su política de cookies y enterarse de quienes y con qué objetivo hacen uso de ellas -;

LSAF, BloG - 005
Captura 1: Política de cookies -; elmundo.es 😉

Este abuso de la privacidad del internauta ha llevado a la aparición de “leyes reguladoras” para tratar acotar el uso de las cookies o al menos, pretenderlo. Aquí en España la Agencia Española de Protección de Datos publicó la Guía sobre  Cookies  para ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

LSAF, BloG - 006.png

LSAF, BloG - 007.png

Con las cookies tradicionales, el usuario tiene cierto control sobre su uso ya que, en cualquier momento puede decidir limpiarlas de su navegador y eliminar los rastros tanto de cookies como de archivos cacheados. No obstante la aparición de nuevas tecnologías como HSTS han sido aprovechadas para hacer más persistente el almacenamiento de información de modo que la limpieza de caché y cookies no basten para eliminar los rastros identificadores. Esto se ha pasado a denominar “supercookies” (aquí le ponemos nombre a todo) y como decimos, utilizando HSTS y los flags asociados como max-age se consigue, en ocasiones, el ansiado objetivo de la persistencia.

LSAF, BloG - 008

Un demostración de persistencia via HSTS podemos encontrarla aquí (“clic” <captura>) -;

LSAF, BloG - 009

LSAF, BloG - 010

LSAF, BloG - 011

Recientes resultados arrojados de los estudios de la iniciativa accessnow.org (“clic” <captura superior>) para la libertad digital , han demostrado que las cookies e incluso las supercookies se quedan atrás en cuanto a lo que identificación y seguimiento de usuarios se refiere.

En el estudio realizado a través de http://amibeingtracked.com/ se demuestra como, en concreto las operadoras de telefonía móvil nos identifican y seguramente, nos observan. En este caso el método es aún más eficaz, ya que no se almacena nada en el dispositivo del cliente y por lo tanto es imposible evitar ser identificados limpiando caché o cookies.

¿Como lo hacen?

Utilizando el poder que les confiere ser nuestro proveedor de acceso a Internet.

LSAF, BloG - 012
Captura 1: Operadoras móviles & Privacidad

LSAF, BloG - 013

LSAF, BloG - 014

Del estudio se concluye que se están haciendo uso del protocolo http para inyectar una o más cabeceras que identifiquen al usuario al acceder a un sitio web. Para ello la operadora intercepta la solicitud http del cliente y contando con sus datos de acceso a Internet que ella misma proporciona crea unos identificadores para el usuario.

Estos identificadores se usarán para crear un perfil donde la operadora irá almacenando toda la información de navegación y patrones de comportamiento del cliente. En el caso que de alguna empresa interesada solicite a la operadora información sobre clientes (seguramente tras un jugoso pago), la operadora se encargará de inyectar cabeceras http que de información del cliente que está visitando el sitio. Una vez identificado, y con la información recopilada, el sito web se encargará de dar un “tratamiento especial” al visitante.

LSAF, BloG - 015.png

Lógicamente las operadoras defenderan que su uso es legítimo y únicamente con intenciones de monitorización del servicio, pero cuando menos, resulta sospechosillo. Googleando un poco y buscando información sobre esas cabeceras llegamos al punto de partida: Verizon y sus métodos, como podemos leer en este artículo: https://www.eff.org/deeplinks/2014/11/verizon-x-uidh.

Como se sugiere en el estudio anteriormente referenciado, es muy probable que, sin consentimiento del usuario se estén almacenado perfiles y patrones de comportamiento con objeto de monetizarlo a través de su distribución para campañas de marketing o ventas personalizadas.

LSAF, BloG - 016

En este ejemplo, un supuesto cliente “Kavita” accede a la red móvil para consultar un sitio web (privacybegone.com) y su operadora manipula la petición con la inyección de cabeceras -;

LSAF, BloG - 017
Captura 2Ejemplo de funcionamiento de inyección de cabeceras http. FUENTE: accessnow.org 😉

La compañía privacybegone.com, a través de las cabeceras identifica al usuario y le ofrece unos contenidos “personalizados” -;

LSAF, BloG - 018
Captura 3Uso de las cabeceras para identificar al usuario. FUENTE: accessnow.org 🙂

LSAF, BloG - 019

Pues frente a la manipulación de cabeceras por parte de tu ISP u operadora móvil, bastante poco, por no decir nada. No servirán las opciones de navegación de incógnito, ni el Do Not Track,  ni limpiar cache. Es algo que sucede una vez las comunicaciones han abandonado nuestro dispositivo y donde ya no tenemos control.

La inyección de cabeceras solo funcionarán en comunicaciones http, y no será posible su inclusión en comunicaciones bajo ssl (https). Desafortunadamente aún son muy numerosos los sitios que que utilizan http.

Tal vez, esto es solo la punta del iceberg. Hoy en día la privacidad en Internet es algo más difícil de mantener.

Salu2


 

TonyHAT - 463

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s