Si tiene un vecino curioso, puede encontrar que su receta secreta es el mayor problema de privacidad en torno a las cookies, pero eso ha cambiado gracias a Internet. Aunque las cookies habituales del navegador suelen ser útiles y fáciles de eliminar, existen otras variaciones que están diseñadas para mantenerse con ellas. Dos de estos tipos, las supercookies y las cookies zombie (a menudo conocidas como "Evercookies"), pueden ser muy difíciles de eliminar. Afortunadamente, no ha pasado desapercibido y los navegadores están evolucionando para combatir estas técnicas de seguimiento ocultas.
supergalletas
Este término puede ser un poco confuso, ya que se usa para describir muchas tecnologías diferentes, algunas de las cuales en realidad son solo cookies. Sin embargo, en general, se refiere a cualquier cosa que altere su perfil de navegación para proporcionarle un identificador único. De esta manera, cumplen la misma función que las cookies, lo que permite que los sitios y los anunciantes lo rastreen, pero a diferencia de las cookies, en realidad no se pueden eliminar.
A menudo escuchará el término "supercookie" utilizado para referirse a encabezados de identificadores únicos (UIDH) y doblajes en HTTP Strict Transport Security o HSTS, aunque el término original se refería a cookies. que se originan en dominios de nivel superior. Esto significa que se puede configurar una cookie para un dominio como ".com" o ".co.uk", lo que permite que cualquier sitio web con el sufijo la vea.
Si Google.com establece una supercookie, esa cookie será visible para cualquier otro sitio web ".com". Este es un problema de privacidad obvio, pero dado que no son cookies tradicionales, todos los navegadores modernos las restringen por defecto. Dado que ya nadie habla mucho sobre este tipo de Supercookie, generalmente escuchará más sobre los otros dos.
Dirección de identificador único (UIDH)
La dirección del identificador único no está en su computadora en absoluto, sucede entre su ISP y los servidores del sitio web. Así es cómo:
Usted envía una solicitud de un sitio web a su proveedor de servicios de Internet.
Antes de que su ISP reenvíe la solicitud al servidor, agrega una cadena de identificación única al encabezado de su solicitud.
Esta cadena permite que los sitios web lo reconozcan como un único usuario cuando los visita, incluso si ha eliminado sus cookies. Una vez que saben quién es usted, pueden enviar las mismas cookies a su navegador.
En palabras simples, si Su ISP utiliza la herramienta de seguimiento UIDH, envía su firma personal a cada sitio que visita (o que le pagó a su ISP). Esta medida es principalmente útil para mejorar los ingresos por publicidad, pero vale lo suficiente como para que la FCC dicte $ 1.35 millones en Verizon por no informar a sus clientes de ello o darles la opción de darse de baja.
Aparte de Verizon, no hay muchos datos sobre qué empresas utilizan la información de la UIDH, pero la reacción de los consumidores la ha convertido en una estrategia impopular. Aún mejor, solo funciona a través de conexiones HTTP sin cifrar, y dado que la mayoría de los sitios web usan HTTPS de manera predeterminada y puede descargar fácilmente extensiones como HTTPS Everywhere, esta supercookie no es realmente un gran problema y probablemente no se use mucho. Si desea protección adicional, use una VPN. Esto garantiza que su solicitud se transmita al sitio web sin adjuntar su UIDH.
Seguridad de transferencia estricta de HTTPS (HSTS)
Este es un tipo raro de supercookie que no se ha identificado específicamente en ningún sitio en particular, pero aparentemente estaba siendo explotado, porque Apple emparejó a Safari en su contra, Tomando nota de los casos confirmados del ataque.
HSTS es en realidad algo bueno. Permite que el navegador redirija de forma segura a la versión HTTPS del sitio en lugar de a la versión HTTP insegura. Desafortunadamente, también se puede usar para crear una súper cookie usando la siguiente receta:
Cree muchos subdominios (por ejemplo, "dominio.com", "subdominio2.dominio.com", etc.).
Asigne a cada visitante de su página de inicio un número aleatorio.
Obligue a los usuarios a cargar todos sus subdominios, ya sea agregándolos en píxeles invisibles en una página o redirigiendo al usuario a través de cada subdominio durante la carga de la página.
Para algunos subdominios, dígale al navegador del usuario que use HSTS para cambiar a la versión segura para algunos. Para otros, deje el dominio como HTTP inseguro.
Si se activa una política HSTS para un subdominio, contará como "1". Si está apagado, se cuenta como "0". Con esta estrategia, un sitio puede escribir un número binario de identificación de usuario aleatorio en la configuración HSTS del navegador.
Cada vez que un visitante regresa, el sitio verificará las políticas HSTS del navegador del usuario, que devolverá el mismo número binario que se generó originalmente, identificando al usuario.
Suena complicado, pero se reduce a que los sitios web pueden usar su navegador para crear y recordar configuraciones de seguridad para varias páginas, y la próxima vez que visite, pueden ver quién es usted porque nadie tiene esa configuración exacta de la configuración. .
Apple ya ha encontrado soluciones a este problema, como permitir que la configuración de HSTS solo se establezca para uno o dos nombres de dominio principales por sitio y limitar la cantidad de redirecciones restringidas que se pueden usar. Es probable que otros navegadores sigan estas medidas de seguridad (el modo de incógnito de Firefox parece ayudar), pero dado que no hay casos confirmados de que esto suceda, no es una prioridad para la mayoría de ellos. Puede tomar el asunto en sus propias manos mirando algunas configuraciones y eliminando las políticas HSTS manualmente , pero eso es todo.
Galletas zombi/Evercookies
Las galletas zombi son exactamente como suenan: galletas que vuelven a la vida después de que pensabas que se habían ido. Es posible que haya visto que se refieren a ellas como "Evercookies", que desafortunadamente no es el equivalente de galleta de gobstopper.
"Evercookie" es en realidad Una API de JavaScript creada para mostrar varias formas diferentes qué cookies pueden obtener sobre los esfuerzos de eliminación.
Las cookies zombie no se borran porque están ocultas fuera del almacén de cookies normal. El almacenamiento local es un objetivo principal (Adobe Flash y Microsoft Silverlight se usan mucho), y algo de almacenamiento HTML5 también puede ser un problema. Las cookies en vivo pueden estar en su historial web o en códigos de color RGB que su navegador permite en su caché. Todo lo que tienes que hacer es encontrar una de las cookies ocultas y puede revivir a las demás.
Sin embargo, muchos de estos agujeros de seguridad están desapareciendo. Flash y Silverlight no son una gran parte del diseño web moderno, y muchos navegadores no son particularmente vulnerables a otros escondites de Evercookie. Debido a que hay tantas formas diferentes en que estas cookies pueden ingresar a su sistema, no hay una sola forma de protegerse. Sin embargo, ¡tener un buen conjunto de extensiones de privacidad y hábitos de limpieza en su navegador nunca es una mala idea!
Espera, ¿estamos a salvo o no?
La tecnología de seguimiento en línea es una especie de carrera constante hacia la cima, por lo que si la privacidad es algo que le interesa, probablemente esté acostumbrado a la idea de que nunca garantizamos el 100% de anonimato en línea.
Probablemente no tengas que preocuparte demasiado por los Superkids, ya que mientras tanto no se ven muy a menudo y cada vez están más prohibidos. Por otro lado, las cookies zombie/Evercookies son difíciles de eliminar. Muchos de sus métodos conocidos se han cerrado, pero aún puede funcionar hasta que se solucionen todas las vulnerabilidades, y siempre puede generar nuevas tecnologías.
