Cinco buenas prácticas para evitar que te rastreen en internet

El otro día me dio por cacharrear con algunas funciones poco usadas de las herramientas de desarrollo de Aurora (el Firefox de los desarrolladores), y llegué como quien no quiere la cosa a la vista3D de mi web, que  me devolvió gustosa una recreación en capas del blog como la que sigue.

PabloYglesias-vista3D

¿Sabéis que son esos rascacielos que se levantan orgullosos sobre el resto de la web? Qué iba a ser sino… Los botones sociales.

Dejando atrás el hecho de que a nivel de optimización los botones sociales son de lejos los elementos de una web peor optimizados (tienes que hacerlo queriendo para conseguir peor optimización que la burrada de capas que meten esos botones), siendo por tanto los principales causantes de los tiempos de carga elevados de internet, y que a priori se vuelve una herramienta realmente interesante para conocer visualmente fallos en etiquetas HTML o mala praxis en el desarrollo frontend, también saca a relucir un tema tan peliagudo como es el del rastreo en internet (esos elementos gris oscuro son formularios, y los morados que sirven de base para los widgets sociales, iframes de llamada a webs de terceros).

Es por ello que me ha parecido interesante hacer un pequeño tutorial sobre algunas pautas para evitar el rastreo en la red. Por supuesto, algunas de ellas son extremistas, y en caso de llevarlas a cabo, sacrificarás parte del atractivo de la navegación (como puede ser rapidez o accesibilidad), pero nunca está de más tenerlas en cuenta, sobre todo para casos puntuales cuando en verdad nos interesa tener un nivel de seguridad máximo (por ejemplo para conectarnos a la web de nuestra entidad bancaria).

Navegación por la red segura TOR

Se trata de la primera parada en nuestro camino, y sin duda la más efectiva de todas. Sobre TOR ya hemos dedicado varias entradas, una de ellas precisamente a modo de tutorial sobre cómo usarlo, pero resumiendo, TOR realiza las consultas a webs mediante un enrutamiento específico y altamente seguro llamado Onion Routing, enviando los paquetes de datos de forma cifrada en varias capas, de tal manera que es necesario pasar por un número de nodos aleatorios que van descifrando cada capa hasta llegar al objetivo.

A día de hoy se sigue usando para la comunicación de muchísimas redes privadas, entre las que destacan miembros del ejército de diferentes países como la armada de EEUU. También es la puerta de entrada de información vital que los activistas de países bajo regímenes autoritarios divulgan al resto del mundo, bajo el amparo del anonimato en la red que ofrece. Y por último, y por mucho que gobiernos de medio mundo intenten excusarse en ello para cohibir los derechos de sus ciudadanos, también es la cuna de mercados negros de la más diversa índole, donde puedes comprar desde armas a esclavos, droga, ataques informáticos o sicarios.

Requiere de una instalación inicial (como explico en el tutorial arriba enlazado), y su principal inconveniente es que mientras se navega con el navegador TOR, y debido a la necesidad de pasar por diferentes nodos tanto en la subida como en la bajada de paquetes, la velocidad de la red se limita considerablemente, así como la experiencia de usuario. Por contra, es el método más seguro para navegar por internet sin ser rastreado, inviable para su uso continuo (a no ser que estés en un país con una clara censura), pero muy recomendable para consultas esporádicas a webs donde no nos interesa que nos rastreen.

Do Not Track y NoScript

Pasamos de la red tor a dos parámetros interesantes. Sobre el primero ya hemos hablado largo y tendido, y es que Do Not Track es toda una declaración de intenciones.

La mayoría de los navegadores ya incluyen esta peculiar opción, y que no es otra que un parámetro más que se envía en la cabecera de los paquetes de datos para avisar a la web que consultamos que no queremos ser rastreados.

Y ese es el principal motivo por el que hablo de Do Not Track como una declaración de intenciones, puesto que se queda justamente en eso. Al llevarlo activo, dejamos claro que no queremos que se nos rastree, pero la web visitada está en todo su derecho de hacernos caso o no, por lo que en la práctica es bastante inútil contra iframes embebidos maliciosos (está claro que un cibercriminal se va a saltar tu recomendación), o empresas de publicidad sin escrúpulos.

Por su parte, NoScript es terriblemente eficaz, a costa de mermar claramente la experiencia de usuario. Al activarla, evitaremos que se cargue cualquier código javascript o java de la web, que son por otro lado el principal vector de ataques junto a flash de robo de datos.

Pero estamos en el siglo XXI, y casi todas las webs tienen javascript (de hecho HTML5 está basado principalmente en JavaScript), por lo que al desactivarlo, es bastante probable que la mayoría de webs que visitamos dejen de funcionar, total o parcialmente, lo que en la práctica la hace una alternativa inviable.

Bloqueadores de publicidad: AdBlock Plus

Llegamos a un Must To Have de la navegación web. Existen muchos bloqueadores de publicidad distintos, pero quizás el que más renombre tiene es AdBlock Plus, que permite únicamente el mostrado de publicidad no intrusiva, un aspecto muy importante que os detallaré a continuación.

 

Los administradores de una web no viven del aire. Mantener una web es duro, y dependiendo de las visitas, caro. A efectos prácticos, una web es un negocio, y hay que monetizarlo. En mi caso, mantengo la web por amor al arte, puesto que no obtengo dinero directo de ella, pero sí me sirve para posicionarme como influyente en el sector, y por tanto, eso acaba transmitiéndose en encargos de desarrollo o puestos de trabajo en algún que otro proyecto.

Otras webs recurren a vender parte del contenido (ya sean ebooks o productos en una tienda de ecommerce), y la mayoría acaba por insertar publicidad.

Un servidor no está en contra de la publicidad, siempre y cuando cumpla algunos requisitos que a mi punto de vista son indispensables, y que acaban por traducirse en una misma máxima: Publicidad SÍ, pero no intrusiva.

Como usuarios, tenemos la obligación de dejar claro qué queremos y qué no ver en internet, y una web que a cada rato abre un popup debería estar hasta prohibida. De ahí que un bloqueador de publicidad efectivo sea básico, evitando la apertura de mil y un ventanas raras, así como aquella publicidad que rastrea nuestros hábitos de consumo para segmentarnos.

Dicho esto, también quería dejar claro que soy de los que creen que hay que apoyar a las webs que sí cumplen estas características, y que quizás por fallo del bloqueador no están mostrando la publicidad. Por ello, os instaría a tener instalado un bloqueador, y a desactivarlo en aquellas webs que visitáis a diario y son conscientes del daño que puede llegar a hacer la publicidad intrusiva, no implementándolas como modelo de negocio. A las que sí, bloqueo de publicidad, para que aprendan.

Evitar contenidos de terceros

En este tercer punto toca hablar de los bloqueadores de contenido de terceros. Se trata de plugins de navegador, cuya principal misión es informarnos de qué servicios nos están rastreando, pudiendo desactivarlos si lo vemos oportuno. Cuentan además con una particularidad muy interesante, y es que si eliminamos el acceso de un servicio (por ejemplo un contador de visitas, o un botón de Me Gusta), éste elemento se cambiará por una imagen fija semejante, por lo que la experiencia de usuario no se ve limitada. Como en cualquier otro bloqueador, podremos incluir listas blancas y negras de webs, y tendremos a nuestra disposición plantillas con diferentes niveles de seguridad.

PabloYglesias-Ghostery

Hay varios en el mercado, pero quizás el más interesante y completo sea Ghostery, al que quizás hay que echarle en falta que no cuenta con una herramienta de estadísticas potente como la de DoNotTrackMe, y que no bloquea por defecto las webs (hay que configurarlo) como sí hace Disconnect, que además fuerza la conexión bajo el protocolo HTTPS siempre que éste está disponible.

Navegación privada y borrado de cookies por defecto

Hemos visto varias herramientas para protegernos del rastreo en internet, pero he dejado para el final una que quizás es la más recomendable.

Todos los navegadores actuales cuentan con la posibilidad de abrir pestañas en modo incógnito (o navegación privada), que permite justamente eso. En este modo, las webs no tienen acceso a nuestras credenciales de servicios de terceros, y nuestro rastro no se guarda en el historial. Pero hay que dejar clara una cosa, y es que estar en modo incógnito no significa que nuestro paso por una web sea completamente anónimo, ya que descontando el navegador TOR, el resto suelen incluir en los paquetes cabeceras con información como la IP y el tipo de navegador usado, que también recibirán en modo incógnito.

Aún así, es una buena alternativa, y quizás de las más sencillas de llevar a cabo. Se puede activar por defecto desde las opciones de configuración, aunque si crees que lo vas a necesitar en cada una de tus entradas, lo más recomendable es que te descargues un navegador totalmente anónimo como es TOR.

El último punto viene de la mano del anterior, y es el de evitar que se guarden las cookies en nuestro ordenador una vez hemos cerrado el navegador. Lo que se gana con ello, es que cada vez que entremos en una web, y siempre que no metamos los datos de acceso (por ejemplo un login), será a efectos prácticos como si fuera la primera vez que la visitamos. Como aspecto negativo, hay que decir que en caso de tenerlo activo, la carga de la web siempre será un poco superior a lo habitual y que perderemos la sincronización que hay actualmente entre los navegadores y las credenciales de los servicios.

Para activarlo, basta con ir a las opciones del navegador elegido, y en Privacidad activar el borrado de cookies y datos de navegación.

Por tanto, si por el motivo que sea, quieres que tu paso por internet sea lo menos rastreable posible, que sirva esta entrada de ayuda para facilitarte el paso 🙂

 

Edit a día 6 de Mayo del 2013: El Centro de Investigación para la Gestión Tecnológica del Riesgo (CIGTR) recoge en esta entrada (versión en inglés inclusive) unas declaraciones de un servidor sobre el peligro del rastreo en internet. A saber:

Para dirigir el destino de tus adversarios, Sun-Tzu recomendaba ser “completamente misterioso y confidencial, hasta el punto de ser silencioso”. ¿Sabes ser silencioso en Internet? Las prácticas de tracking con fines comerciales pueden ser perfectamente legítimas… pero ¿sabes cuánta información dejas cada vez que visitas webs con iframes de llamadas a terceros? Y ese es solo UNO de los puntos críticos que desvela +Pablo F. Iglesias en su magnífico y reciente post sobre el rastreo en Internet.