Continuamos con este especial sobre rastreo en internet y privacidad. En el anterior, hablamos del complejo equilibrio entre seguridad en las comunicaciones y diversidad de explotación de los datos (a más seguridad, más corralito, y por ende, menos alternativas a los gigantes de internet), y vimos cómo funciona técnicamente el rastreo de usuarios entre distintas webs.
En este artículo, hablaremos de casos reales, de cómo esta industria se asienta bajo pilares alegales, sin una regulación firme que proteja los intereses del usuario, del uso de plataformas para la viralización de malware o ataques de phishing y el cómo defendernos, teniendo en cuenta lo que sacrificamos.
Malvertising y explotación fraudulenta de plataformas de publicidad
Veíamos que uno de los usos más habituales de la trazabilidad de usuarios en internet era la publicidad. Conocer los gustos y hábitos del visitante permite ya no solo mostrarle el contenido que le interesa a cada uno, sino también realizar campañas de remarketing o de marketing social/de recomendación.
Y puesto que estas plataformas cuentan con las herramientas necesarias para “espiar” al usuario, sirven de pasarela perfecta para fines fraudulentos, como el malvertising. Gracias a que la mayoría de estas plataformas basan su sistema de prioridad en las pujas en tiempo real (real time bidding), basta con que los ciberdelincuentes pujen más que el resto de anunciantes legales para incrustar malware, cuyo objetivo es recopilar información de los visitantes en sitios legítimos, o instalar herramientas de la más diversa índole aprovechando plugins como Adobe Flash (según el nivel de seguridad que tenga el usuario, posiblemente sin conocimiento de la acción).
Otro uso, derivado del primero, es la compra de información a estas plataformas para realizar APTs dirigidos o suplantaciones de identidad. Hablaremos de ello a continuación, pero entra en juego la cadena de suministro de servicios de internet, que al ser tan elaborada, resulta difícil de seguir, y por tanto, acaba operando en un aparente sistema alegal.
Caso real ¿Cómo me espían los medios españoles?
Para realizar este estudio, me he servido de la herramienta Trackography (EN), que nos permite ver de forma gráfica las peticiones a plataformas de publicidad de terceros que realizan las webs de grandes medios en algunos países.
Me he basado en España, por ser el % más alto de lectores de esta web, pero en la práctica, puede realizar este mismo estudio en la mayoría de países de latinoamérica, EEUU y Europa.
Así pues, cojo como ejemplo dos medios masivos españoles (elmundo y elpais) y dos blogs tecnológicos seguramente por todos conocidos (alt1040 y xataka), que pertenecen todos a distintas casas. Webs como LibertadDigital o PeriodistaDigital hacían uso de tantas plataformas que no me entrarían de forma cómoda en el artículo, por lo que las acabé rechazando, pero le recomiendo que dedique unos minutos a navegar por el servicio para darse cuenta de a qué estamos expuestos.
Como verá, la mayoría de estas plataformas obedecen leyes americanas (22 de las 25 grandes a nivel mundial), pese a que operan en todo el mundo. En la práctica esto les permite saltarse legislaciones más proteccionistas como las europeas, alargando los procesos judiciales hasta que no les queda otro remedio que acatar las directrices, como les pasaba hace unos años a Facebook con el reconocimiento facial.
Quitando cXense, Amazon y Fox (en los cuatro medios estudiados), el resto recopilan información de diferentes medios para crear un perfil de usuario. Un identificador único que nos persigue por internet, y que es capaz de conocer qué estamos consumiendo y qué hábitos tenemos (horarios, temáticas buscadas, tecnologías usadas,…).
Únicamente Twitter, de las estudiadas (y 11 de las 25 grandes a nivel mundial), informa del tiempo que guarda la información obtenida. En este caso 37 días. Del resto (y mira que hay unos cuantos), no se puede saber. Podrían ser días, meses, años o nunca borrarse.
De todas las estudiadas, únicamente comScore no comparte la información con terceros (6 de las 25 que operan en todo el mundo). Esto quiere decir que el resto o vende o comparte los datos obtenidos de nuestra sesión con otras compañías DIRECTAMENTE. Ya no hablamos de mostrarnos publicidad según nuestros intereses, sino de compartir esa información para que un tercero trabaje con ella (para bien, o para mal).
Y por último, de las estudiadas, únicamente Twitter y Amazon hacen caso del DNT (Do Not Track), una petición expresa que puede hacer todo usuario para que no se le rastree. El resto lee la petición, y se la pasa por…
Es decir, cuando visitamos estas páginas, estamos compartiendo información con estas empresas, que a su vez (y salvando algún que otro caso) la revenden o comparten entre terceros. La mayoría realizan tracking de usuarios entre webs, creando un perfil de usuario que nos persigue hagamos lo que hagamos. No sabemos a ciencia cierta cuánto tiempo guardan esa información, y aunque hayamos pedido expresamente que no lo hagan, lo siguen haciendo.
¿Qué podemos hacer para evitar que nos rastreen?
Había escrito hace tiempo un artículo sobre las cinco buenas prácticas para evitar este tipo de rastreos, pero lamentablemente, se ha quedado corto.
En él, hablábamos de la red TOR como quizás la mejor herramienta para el anonimato, que hoy en día sigue siendo de las mejores, pero ha quedado más que demostrado que no es infalible.
Técnicas como las del canvas fingerprinting o el uso de SuperCookies, como veíamos en el artículo anterior, nos demuestran que el panorama se ha sofisticado, y que donde antes teníamos que considerar tres o cuatro puntos, ahora hay unos cuantos más. Así pues, dejo esta tabla con algunas de las extensiones actuales que nos podrían ayudar a proteger nuestra privacidad en internet.
| Tipo\Navegador | Extensiones para Firefox | Extensiones para Chrome |
| Bloqueo de rastreadores de terceros | Privacy Badger, AdBlock Plus, Ghostery y Disconnect | Adblock Plus, Ghostery y Disconnect |
| Bloqueo de scripts de terceros | NoScript | ScriptNo |
| Bloqueo de rastreadores en sitios cruzados | RequestPolicy y Priv8 | |
| Control de cookies | Beef Taco | |
| Limpieza del historial de navegación | Click&Clean | Click&Clean |
| Visualizador de rastreadores de terceros | Ghostery y Disconnect | Ghostery y Disconnect |
Vuelvo a dejar claro que muchas de estas herramientas nos permitirán ser menos rastreables… a cambio de perder usabilidad. Es decir, que si bloqueamos por ejemplo scripts de terceros, los botones de redes sociales no funcionarán (porque además de servir para rastrearnos, nos sirven para compartir). O que si borramos continuamente la caché y cookies de nuestro sistema, volveremos a recibir los dichosos popups que ya habíamos cerrado con anterioridad.
Además, algunos de estos medios utilizan estas plataformas para monetizarse. Si cerráramos a cal y canto su ejecución, perderían su modelo de negocio.
Por ello, quizás un término medio sea lo más acertado. Limpiezas periódicas, unido al bloqueo previo petición de scripts que no solamos precisar, y para los más precavidos, visualizador de rastreadores de terceros, por eso de saber quien está al otro lado. Si hablamos de publicidad no invasiva, hacer de tripas corazón y permitirla, al menos en las conexiones habituales, ya que dice mucho del medio.
Espero que le haya gustado. Si es así, no dude en compartirlo y hacérmelo saber.
¡Muchas gracias!
Muy interesante el artículo. Es un tema para muchos desconocido, pero no deja de ser de mucha importancia por que tiene que ver con la seguridad de nuestra propia vida, de nuestra familia, de nuestros amigos….
Así es Ruben. Y hasta cierto punto, se puede contrarrestar. Tarde o temprano regularán los servicios digitales y estas tácticas pasarán a ser ilegales.
Por ahora, no nos queda otra que defendernos como podamos. Conociendo su funcionamiento y poniendo barreras al abuso.