Trazabilidad del usuario en internet (II): Casos y ¿cómo protegerse?

Continuamos con este especial sobre rastreo en internet y privacidad. En el anterior, hablamos del complejo equilibrio entre seguridad en las comunicaciones y diversidad de explotación de los datos (a más seguridad, más corralito, y por ende, menos alternativas a los gigantes de internet), y vimos cómo funciona técnicamente el rastreo de usuarios entre distintas webs.

Rastreo en internet

En este artículo, hablaremos de casos reales, de cómo esta industria se asienta bajo pilares alegales, sin una regulación firme que proteja los intereses del usuario, del uso de plataformas para la viralización de malware o ataques de phishing y el cómo defendernos, teniendo en cuenta lo que sacrificamos.

Malvertising y explotación fraudulenta de plataformas de publicidad

Veíamos que uno de los usos más habituales de la trazabilidad de usuarios en internet era la publicidad. Conocer los gustos y hábitos del visitante permite ya no solo mostrarle el contenido que le interesa a cada uno, sino también realizar campañas de remarketing o de marketing social/de recomendación.

Y puesto que estas plataformas cuentan con las herramientas necesarias para “espiar” al usuario, sirven de pasarela perfecta para fines fraudulentos, como el malvertising. Gracias a que la mayoría de estas plataformas basan su sistema de prioridad en las pujas en tiempo real (real time bidding), basta con que los ciberdelincuentes pujen más que el resto de anunciantes legales para incrustar malware, cuyo objetivo es recopilar información de los visitantes en sitios legítimos, o instalar herramientas de la más diversa índole aprovechando plugins como Adobe Flash (según el nivel de seguridad que tenga el usuario, posiblemente sin conocimiento de la acción).

Otro uso, derivado del primero, es la compra de información a estas plataformas para realizar APTs dirigidos o suplantaciones de identidad. Hablaremos de ello a continuación, pero entra en juego la cadena de suministro de servicios de internet, que al ser tan elaborada, resulta difícil de seguir, y por tanto, acaba operando en un aparente sistema alegal.

Caso real ¿Cómo me espían los medios españoles?

Para realizar este estudio, me he servido de la herramienta Trackography (EN), que nos permite ver de forma gráfica las peticiones a plataformas de publicidad de terceros que realizan las webs de grandes medios en algunos países.

Me he basado en España, por ser el % más alto de lectores de esta web, pero en la práctica, puede realizar este mismo estudio en la mayoría de países de latinoamérica, EEUU y Europa.

Así pues, cojo como ejemplo dos medios masivos españoles (elmundo y elpais) y dos blogs tecnológicos seguramente por todos conocidos (alt1040 y xataka), que pertenecen todos a distintas casas. Webs como LibertadDigital o PeriodistaDigital hacían uso de tantas plataformas que no me entrarían de forma cómoda en el artículo, por lo que las acabé rechazando, pero le recomiendo que dedique unos minutos a navegar por el servicio para darse cuenta de a qué estamos expuestos.

Rastreo webs españolas
Como verá, la mayoría de estas plataformas obedecen leyes americanas (22 de las 25 grandes a nivel mundial), pese a que operan en todo el mundo. En la práctica esto les permite saltarse legislaciones más proteccionistas como las europeas, alargando los procesos judiciales hasta que no les queda otro remedio que acatar las directrices, como les pasaba hace unos años a Facebook con el reconocimiento facial.

Quitando cXense, Amazon y Fox (en los cuatro medios estudiados), el resto recopilan información de diferentes medios para crear un perfil de usuario. Un identificador único que nos persigue por internet, y que es capaz de conocer qué estamos consumiendo y qué hábitos tenemos (horarios, temáticas buscadas, tecnologías usadas,…).

Únicamente Twitter, de las estudiadas (y 11 de las 25 grandes a nivel mundial), informa del tiempo que guarda la información obtenida. En este caso 37 días. Del resto (y mira que hay unos cuantos), no se puede saber. Podrían ser días, meses, años o nunca borrarse.

De todas las estudiadas, únicamente comScore no comparte la información con terceros (6 de las 25 que operan en todo el mundo). Esto quiere decir que el resto o vende o comparte los datos obtenidos de nuestra sesión con otras compañías DIRECTAMENTE. Ya no hablamos de mostrarnos publicidad según nuestros intereses, sino de compartir esa información para que un tercero trabaje con ella (para bien, o para mal).

Y por último, de las estudiadas, únicamente Twitter y Amazon hacen caso del DNT (Do Not Track), una petición expresa que puede hacer todo usuario para que no se le rastree. El resto lee la petición, y se la pasa por…

Es decir, cuando visitamos estas páginas, estamos compartiendo información con estas empresas, que a su vez (y salvando algún que otro caso) la revenden o comparten entre terceros. La mayoría realizan tracking de usuarios entre webs, creando un perfil de usuario que nos persigue hagamos lo que hagamos. No sabemos a ciencia cierta cuánto tiempo guardan esa información, y aunque hayamos pedido expresamente que no lo hagan, lo siguen haciendo.

¿Qué podemos hacer para evitar que nos rastreen?

Había escrito hace tiempo un artículo sobre las cinco buenas prácticas para evitar este tipo de rastreos, pero lamentablemente, se ha quedado corto.

En él, hablábamos de la red TOR como quizás la mejor herramienta para el anonimato, que a día de hoy sigue siendo de las mejores, pero ha quedado más que demostrado que no es infalible.

Técnicas como las del canvas fingerprinting o el uso de SuperCookies, como veíamos en el artículo anterior, nos demuestran que el panorama se ha sofisticado, y que donde antes teníamos que considerar tres o cuatro puntos, ahora hay unos cuantos más. Así pues, dejo esta tabla con algunas de las extensiones actuales que nos podrían ayudar a proteger nuestra privacidad en internet.

 

Tipo\Navegador Extensiones para Firefox Extensiones para Chrome
Bloqueo de rastreadores de terceros Privacy Badger, AdBlock Plus, GhosteryDisconnect Adblock Plus, GhosteryDisconnect
Bloqueo de scripts de terceros NoScript ScriptNo
Bloqueo de  rastreadores en sitios cruzados RequestPolicy y Priv8
Control de cookies Beef Taco
Limpieza del historial de navegación Click&Clean Click&Clean
Visualizador de rastreadores de terceros Ghostery y Disconnect Ghostery y Disconnect

 

Vuelvo a dejar claro que muchas de estas herramientas nos permitirán ser menos rastreables… a cambio de perder usabilidad. Es decir, que si bloqueamos por ejemplo scripts de terceros, los botones de redes sociales no funcionarán (porque además de servir para rastrearnos, nos sirven para compartir). O que si borramos continuamente la caché y cookies de nuestro sistema, volveremos a recibir los dichosos popups que ya habíamos cerrado con anterioridad.

Además, algunos de estos medios utilizan estas plataformas para monetizarse. Si cerráramos a cal y canto su ejecución, perderían su modelo de negocio.

Por ello, quizás un término medio sea lo más acertado. Limpiezas periódicas, unido al bloqueo previo petición de scripts que no solamos precisar, y para los más precavidos, visualizador de rastreadores de terceros, por eso de saber quien está al otro lado. Si hablamos de publicidad no invasiva, hacer de tripas corazón y permitirla, al menos en las conexiones habituales, ya que dice mucho del medio.

 

Espero que le haya gustado. Si es así, no dude en compartirlo y hacérmelo saber.

¡Muchas gracias!