Que un vecino entrometido encontrara su receta secreta solía ser el mayor problema de privacidad relacionado con las cookies, pero eso ha cambiado gracias a Internet. Si bien las cookies normales del navegador a menudo son útiles y fáciles de borrar, existen otras variantes que están diseñadas para quedarse y controlarlo. Dos de estos tipos, las supercookies y las cookies zombie (a menudo conocidas como «Evercookies»), pueden ser particularmente difíciles de eliminar. Afortunadamente, no han pasado desapercibidos y los navegadores están evolucionando para combatir estas técnicas de rastreo más furtivas.
supergalletas
Este término puede resultar un poco confuso, ya que se ha utilizado para describir varias tecnologías diferentes, de las cuales solo algunas son cookies. Sin embargo, en general, se refiere a cualquier cosa que cambie su perfil de navegación para darle una identificación única. De esta manera, cumplen la misma función que las cookies, lo que permite que los sitios y los anunciantes lo rastreen, pero a diferencia de las cookies, en realidad no se pueden eliminar.
La mayoría de las veces escuchará el término «supercookie» en referencia a los encabezados de identificadores únicos (UIDH) y como una vulnerabilidad en HTTP Strict Transport Security, o HSTS, aunque el término original se refiere a cookies que se originan en dominios de nivel superior. Esto significa que se podría configurar una cookie para un dominio como «.com» o «.co.uk», lo que permitiría que cualquier sitio web con ese sufijo de dominio la vea.
Si Google.com establece una supercookie, esa cookie sería visible para cualquier otro sitio web «.com». Este es un claro problema de privacidad, pero como se trata de una cookie convencional, casi todos los navegadores modernos las bloquean de forma predeterminada. Dado que ya nadie habla mucho sobre este tipo de supercookie, generalmente escuchará más sobre los otros dos.
Encabezado de identificador único (UIDH)
Un encabezado de identificador único no está en su computadora en absoluto: tiene lugar entre su ISP y los servidores de un sitio web. Así es cómo:
- Usted envía una solicitud de un sitio web a su ISP.
- Antes de que su ISP reenvíe la solicitud al servidor, agrega una cadena de identificación única al encabezado de su solicitud.
- Esta cadena permite que los sitios lo identifiquen como el mismo usuario cada vez que los visita, incluso si ha eliminado sus cookies. Una vez que saben quién es usted, pueden volver a colocar las mismas cookies directamente en su navegador.
En lenguaje sencillo, si un ISP está utilizando el seguimiento UIDH, está enviando su firma personal a cada sitio web que visita (o los que han pagado al ISP por ello). Es principalmente útil para optimizar los ingresos publicitarios, pero es lo suficientemente invasivo como para que el FCC multa a Verizon con 1,35 millones de dólares por no informar a sus clientes al respecto o darles la opción de no participar.
Aparte de Verizon, no hay muchos datos sobre qué empresas están utilizando la información de la UIDH, pero la reacción negativa de los consumidores la ha convertido en una estrategia bastante impopular. Aún mejor, solo funciona a través de conexiones HTTP sin cifrar, y dado que la mayoría de los sitios web ahora usan HTTPS de forma predeterminada y puede descargar fácilmente extensiones como HTTPS Everywhere, esta supercookie ya no es un gran problema y probablemente no se esté usando mucho. Si desea protección adicional, use una VPN. Esto garantiza que su solicitud se transmitirá al sitio web sin adjuntar su UIDH.
Seguridad de transferencia estricta de HTTPS (HSTS)
Este es un tipo raro de supercookie que no se ha identificado específicamente en ningún sitio en particular, pero aparentemente estaba siendo explotado, ya que Apple parchó Safari en su contra, citando instancias confirmadas del ataque.
HSTS es en realidad algo bueno. Permite que su navegador redirija de manera segura a la versión HTTPS de un sitio en lugar de la versión HTTP insegura. Desafortunadamente, también se puede usar para crear una supercookie con la siguiente receta:
- Cree muchos subdominios (como «dominio.com», «subdominio2.dominio.com», etc.).
- Asigne a cada visitante de su página principal un número aleatorio.
- Obligue a los usuarios a cargar todos sus subdominios agregándolos en píxeles invisibles en una página o redirigiendo al usuario a través de cada subdominio mientras carga la página.
- Para algunos subdominios, dígale al navegador del usuario que use HSTS para cambiar a la versión segura. Para otros, deje el dominio como HTTP no seguro.
- Si la política HSTS de un subdominio está activada, cuenta como un «1». Si está apagado, cuenta como un «0». Usando esta estrategia, el sitio puede escribir el número de identificación aleatorio del usuario en binario en la configuración HSTS del navegador.
- Cada vez que el visitante regrese, el sitio verificará las políticas HSTS del navegador de un usuario, que devolverá el mismo número binario que se generó originalmente, identificando al usuario.
Suena complejo, pero se reduce a que los sitios web pueden hacer que su navegador genere y recuerde configuraciones de seguridad para varias páginas, y la próxima vez que visite, puede saber quién es usted porque nadie más tiene esa combinación exacta de configuraciones. .
Apple ya ha encontrado soluciones a este problema, como permitir que la configuración de HSTS se establezca solo para uno o dos nombres de dominio principales por sitio y limitar la cantidad de redireccionamientos encadenados que los sitios pueden usar. Es probable que otros navegadores sigan estas medidas de seguridad (el modo de incógnito de Firefox parece ayudar), pero dado que no hay casos confirmados de que esto suceda, no es una prioridad para la mayoría. Puede tomar el asunto en sus propias manos al profundizar en algunas configuraciones y borrar manualmente las políticas HSTSpero eso es todo.
Galletas zombi/Evercookies
Las galletas zombi son exactamente como suenan: galletas que vuelven a la vida después de que pensabas que se habían ido. Es posible que las hayas visto referidas como «Evercookies», que desafortunadamente no son el equivalente en cookies de un gobstopper eterno de Wonka. «Evercookie» es en realidad una API de JavaScript creado para ilustrar de cuántas maneras diferentes las cookies podrían eludir sus esfuerzos de eliminación.
Las cookies zombis no se eliminan porque se ocultan fuera de su almacenamiento habitual de cookies. El almacenamiento local es un objetivo principal (Adobe Flash y Microsoft Silverlight lo usan mucho), y algo de almacenamiento HTML5 también puede ser un problema. Las cookies de muertos vivientes pueden incluso estar en su historial web o en códigos de color RGB que su navegador permite en su caché. Todo lo que un sitio web tiene que hacer es encontrar una de las cookies ocultas y puede resucitar a las demás.
Sin embargo, muchos de estos agujeros de seguridad están desapareciendo. Flash y Silverlight no son una parte importante del diseño web moderno, y muchos navegadores ya no son especialmente vulnerables a otros escondites de Evercookie. Sin embargo, dado que hay tantas formas diferentes en que estas cookies pueden infiltrarse en su sistema, no existe una única forma de protegerse. ¡Sin embargo, un conjunto decente de extensiones de privacidad y buenos hábitos de limpieza del navegador nunca son una mala idea!
Espera, ¿estamos a salvo o no?
La tecnología de seguimiento en línea es una carrera constante hacia la cima, por lo que si la privacidad es algo que le preocupa, probablemente debería acostumbrarse a la idea de que nunca tenemos garantizado el 100% de anonimato en línea.
Sin embargo, probablemente no deba preocuparse demasiado por las supercookies, ya que no se ven en la naturaleza con mucha frecuencia y se bloquean cada vez más. Por otro lado, las cookies zombie/Evercookies son más difíciles de eliminar. Muchas de sus vías más conocidas han sido cerradas, pero aún pueden funcionar potencialmente hasta que se repare cada vulnerabilidad, y siempre pueden encontrar nuevas técnicas.