En un nuevo estudio realizado por especialistas de la Universidad de
Lovaina y el Instituto iMinds de Investigación, ambas entidades en
Bélgica, se ha descubierto que 145 de los 10.000 sitios web más
visitados de internet monitorizan a los usuarios sin el conocimiento o
consentimiento de estos.
Estas webs utilizan scripts ocultos para
extraer del navegador del usuario una "huella dactilar" de dispositivo.
Esta práctica se conoce como "device fingerprinting" (toma de "huellas
dactilares" de dispositivos) o "browser fingerprinting" (toma de
"huellas dactilares" de navegadores). Este método burla restricciones
legales impuestas al uso de cookies e ignora el encabezado "Do Not
Track". Los hallazgos hechos en la nueva investigación sugieren que la
monitorización secreta está más extendida de lo que se pensaba.
El
método de device fingerprinting se basa en recolectar propiedades de
ordenadores, smartphones (teléfonos inteligentes) y tabletas, para
identificar y monitorizar a los usuarios. Estas propiedades incluyen el
tamaño de la pantalla, las versiones de programas y plugins instalados, y
la lista de fuentes instaladas. Un estudio de 2010 realizado por la EFF
(Electronic Frontier Foundation) mostró que, para la gran mayoría de
los navegadores, la combinación de estas propiedades es única, y por
tanto sirve como "huella digital" que se puede usar para monitorizar a
los usuarios sin necesidad de las cookies. El método de device
fingerprinting centra a menudo su atención en Flash, el popular plugin
para navegadores usado para reproducir archivos de vídeo, sonido y
animaciones, o en JavaScript, un lenguaje de programación común para
aplicaciones web.
Éste es el primer trabajo en profundidad destinado a medir la incidencia
del device fingerprinting en internet. El equipo de Gunes Acar, Marc
Juarez, Nick Nikiforakis, Claudia Díaz, Seda Gurses, Frank Piessens y
Bart Preneel analizó las 10.000 webs más visitadas de internet y
descubrió que 145 de ellas (casi el 1,5 por ciento) utilizan el device
fingerprinting orientado al citado plugin Flash. Algunos objetos Flash
incluían técnicas cuestionables como revelar la dirección IP original de
un usuario cuando visitaba una página web a través de un tercero (a
través de un "proxy").
En el estudio también se encontró que 404 del millón de webs más visitadas utilizan el device fingerprinting orientado a JavaScript, el cual permite a los sitios web monitorizar dispositivos y teléfonos móviles que no usen Flash.
En otro hallazgo sorprendente, los investigadores han encontrado que los usuarios son monitorizados por estas tecnologías de device fingerprinting aunque pidan explícitamente no ser monitorizados al habilitar el encabezado HTTP "Do Not Track".
En el estudio también se encontró que 404 del millón de webs más visitadas utilizan el device fingerprinting orientado a JavaScript, el cual permite a los sitios web monitorizar dispositivos y teléfonos móviles que no usen Flash.
En otro hallazgo sorprendente, los investigadores han encontrado que los usuarios son monitorizados por estas tecnologías de device fingerprinting aunque pidan explícitamente no ser monitorizados al habilitar el encabezado HTTP "Do Not Track".
Los investigadores también evaluaron a Tor Browser y a Firegloves, dos
herramientas usadas para mejorar la privacidad que combaten el device
fingerprinting. Se identificaron nuevas vulnerabilidades, algunas de las
cuales dan acceso a la identidad del usuario.
El device fingerprinting puede ser usado para diversas tareas relacionadas con la seguridad, incluyendo detección de fraudes, protección contra el robo de cuentas y servicios Anti-Bot y Anti-WebScraping. Pero también se le está usando para tareas de marketing mediante scripts de device fingerprinting.
Para detectar sitios web que utilizan tecnologías de device fingerprinting, los investigadores desarrollaron una herramienta llamada FPDetective. Esta herramienta rastrea y analiza sitios web en busca de scripts sospechosos.
El device fingerprinting puede ser usado para diversas tareas relacionadas con la seguridad, incluyendo detección de fraudes, protección contra el robo de cuentas y servicios Anti-Bot y Anti-WebScraping. Pero también se le está usando para tareas de marketing mediante scripts de device fingerprinting.
Para detectar sitios web que utilizan tecnologías de device fingerprinting, los investigadores desarrollaron una herramienta llamada FPDetective. Esta herramienta rastrea y analiza sitios web en busca de scripts sospechosos.
No hay comentarios.:
Publicar un comentario