Llegamos a ustedes gracias a:



Noticias

FEP: Olvídese de las cookies, el navegador tiene las huellas dactilares

[18/05/2010] Incluso sin cookies, los navegadores populares como Internet Explorer y Firefox le dan a los sitios web información suficiente para tener una visión única de sus visitantes, alrededor del 94% de las veces, según un estudio elaborado durante los últimos meses por la Electronic Frontier Foundation.

La investigación hace una evaluación cuantitativa de algo que los gurús de la seguridad han sabido por años, indicó Peter Eckersley, el técnico senior del EFP quien realizó la investigación. Él encontró que la información de configuración -datos sobre el tipo de navegador, sistema operativo, plugins, e incluso fuentes instaladas- pueden ser compilados por los sitios web para crear un retrato único de la mayoría de los visitantes.
Esto significa que la mayoría de usuarios de Internet son mucho menos anónimos de lo que creen, añadió Eckersley. "Incluso si usted desactiva las cookies y utiliza un proxy para ocultar su dirección IP, todavía puede ser rastreado", señaló.
Los datos no identifican realmente al usuario de la web, pero crea una "huella digital" única del browser, que puede ser utilizada para identificar al usuario cuando visita otros sitios web.
Usando JavaScript, los sitios web son capaces de sondear las computadoras y aprender mucho. Ninguna pieza única de datos es suficiente para identificar al visitante por su cuenta, pero cuando se juntan todas -versión de navegador, idioma, sistema operativo, datos de zona horaria- emerge una imagen más clara. Algunas cosas -la combinación de plugins y fuentes instaladas, por ejemplo- pueden ser un claro indicativo.
Usar el modo privado que ofrecen algunos fabricantes de navegadores no hace nada para detener este análisis. "Ellos le proporcionan cierta protección contra otras personas que puedan estar en su casa o que tienen acceso a su computadora, pero no han llegado al punto en el que proporcionen protección contra empresas que están creando perfiles de los usuarios de la web", señaló Eckersley.
De hecho, ya hay un puñado de empresas que han empezado a ofrecer este tipo de seguimiento web sin cookies para ayudar a los sitios de comercio electrónico a identificar a los defraudadores. Compañías como 41st Parameter, ThreatMetrix e Iovation son ampliamente utilizadas en la banca, el comercio electrónico y sitios web sociales.
Y los productos funcionan. En agosto pasado, cuando los criminales serbios empezaron a probar tarjetas de crédito robadas mediante la publicación de cientos de transacciones de 1,99 dólares en el sitio web de películas online iReel.com todos los días, los responsables de la página emplearon ThreatMetrix para eludir a los defraudadores.
Usando técnicas similares a las descritas por el EFP, ThreatMetrix generó las huellas digitales de los visitantes del sitio, lo que ayudó a iReel a saber cuándo un usuario único trata de utilizar cientos de tarjetas de crédito, incluso cuando el delincuente estaba usando direcciones IP de proxy, detalló Adam Altman, director de operaciones iReel. "Hemos sido capaces de eliminar una gran cantidad de las operaciones innecesarias", comentó.
Estos productos pueden tener un uso amplio si los fabricantes de browsers dan a los usuarios más control sobre el manejo de las coockies de seguimiento web en sus browsers, afirma Avivah Litan, analista de Gartner. Muchos sitios web de comercio electrónico ya utilizan cookies llamadas de Flash para dar seguimiento a los visitantes, pero Adobe está empezando a dar a los usuarios más control sobre estos archivos. Tal vez la huella digital del navegador puede ser la próxima tecnología de seguimiento de visitantes en la web que se use ampliamente, indicó.
Para las personas que piensan que están navegando por la web de forma anónima, esta es una mala noticia, señaló Eckersley. "Si alguien puede ver a qué páginas vamos, sabe lo que estamos leyendo y lo que estamos pensando", agregó.
El EFP ha establecido un sitio web que pone a prueba a los visitantes y su información única de identificación. La mayoría de las personas se sorprenden al descubrir cuán fácilmente se les puede dar seguimiento en línea, añadió Eckersley.
Sin embargo, hay algunas medidas preventivas eficaces. Una computadora de IDG News Service ejecutando Windows XP no pudo ser identificada con la extensión NoScript de navegación segura activada. También funciona agregar el software Tor Internet para volverse anónimo, agregó Eckersley.
Los navegadores móviles en el iPhone en las plataformas Android a menudo no son identificables. Esto se debe a que normalmente no tienen la variedad de plugins de navegador y el add-on de fuentes que son comunes en las PC de escritorio.
Entonces, ¿podrán los fabricantes de navegadores hacer sus productos más privados? Eckersley así lo cree. "Hay algunas situaciones en que alguna de esta información es útil, pero no la necesita toda, por cualquier medio", finalizó.
Robert McMillan, IDG News Service