En un nuevo estudio realizado por especialistas de la Universidad de Lovaina y el Instituto iMinds de Investigación, ambas entidades en Bélgica, se ha descubierto que 145 de los 10.000 sitios web más visitados de Internet monitorizan a los usuarios sin el conocimiento o consentimiento de estos.
Estas webs utilizan scripts ocultos para extraer del navegador del usuario una “huella dactilar” de dispositivo. Esta práctica se conoce como “device fingerprinting” (toma de “huellas dactilares” de dispositivos) o “browser fingerprinting” (toma de “huellas dactilares” de navegadores). Este método burla restricciones legales impuestas al uso de cookies e ignora el encabezado “Do Not Track”. Los hallazgos hechos en la nueva investigación sugieren que la monitorización secreta está más extendida de lo que se pensaba.
El método de device fingerprinting se basa en recolectar propiedades de computadoras, smartphones (teléfonos inteligentes) y tabletas, para identificar y monitorizar a los usuarios. Estas propiedades incluyen el tamaño de la pantalla, las versiones de programas y plugins instalados, y la lista de fuentes instaladas. Un estudio de 2010 realizado por la EFF (Electronic Frontier Foundation) mostró que, para la gran mayoría de los navegadores, la combinación de estas propiedades es única, y por tanto sirve como “huella digital” que se puede usar para monitorizar a los usuarios sin necesidad de las cookies. El método de device fingerprinting centra a menudo su atención en Flash, el popular plugin para navegadores usado para reproducir archivos de vídeo, sonido y animaciones, o en JavaScript, un lenguaje de programación común para aplicaciones web.
Éste es el primer trabajo en profundidad destinado a medir la incidencia del device fingerprinting en Internet. El equipo de Gunes Acar, Marc Juarez, Nick Nikiforakis, Claudia Díaz, Seda Gurses, Frank Piessens y Bart Preneel analizó las 10.000 webs más visitadas de Internet y descubrió que 145 de ellas (casi el 1,5 por ciento) utilizan el device fingerprinting orientado al citado plugin Flash. Algunos objetos Flash incluían técnicas cuestionables como revelar la dirección IP original de un usuario cuando visitaba una página web a través de un tercero (a través de un «proxy»).
En el estudio también se encontró que 404 del millón de webs más visitadas utilizan el device fingerprinting orientado a JavaScript, el cual permite a los sitios web monitorizar dispositivos y teléfonos móviles que no usen Flash.
En otro hallazgo sorprendente, los investigadores han encontrado que los usuarios son monitorizados por estas tecnologías de device fingerprinting aunque pidan explícitamente no ser monitorizados al habilitar el encabezado HTTP «Do Not Track».
Los investigadores también evaluaron a Tor Browser y a Firegloves, dos herramientas usadas para mejorar la privacidad que combaten el device fingerprinting. Se identificaron nuevas vulnerabilidades, algunas de las cuales dan acceso a la identidad del usuario.
El device fingerprinting puede ser usado para diversas tareas relacionadas con la seguridad, incluyendo detección de fraudes, protección contra el robo de cuentas y servicios Anti-Bot y Anti-Web Scraping. Pero también se le está usando para tareas de marketing mediante scripts de device fingerprinting.
Para detectar sitios web que utilizan tecnologías de device fingerprinting, los investigadores desarrollaron una herramienta llamada FPDetective. Esta herramienta rastrea y analiza sitios web en busca de scripts sospechosos. A fin de que otros investigadores puedan usarla, esta herramienta estará disponible gratuitamente en el siguiente enlace :
http://homes.esat.kuleuven.be/~gacar/fpdetective/
No hay comentarios:
Publicar un comentario