Clicky

Meta y TikTok también están usando sus propios rastreadores invisibles de marketing

Cuando ingresamos nuestras direcciones de correo electrónico en un sitio web, para hacer cualquier cosa, desde registrar una cuenta, comprar una entrada o suscribirnos a un boletín informativo, podemos suponer que los datos no irán a ninguna parte hasta que presionemos el botón Enter.

Pero una nueva investigación indica que este no es el caso. Después de analizar más de 100.000 sitios web, investigadores de KU Leuven, Radboud University y University of Lausanne descubrieron que una asombrosa cantidad de sitios web recopilan de forma encubierta todo lo que se escribe en un formulario en línea, incluso si los usuarios cambian de opinión y abandonan el sitio sin enviarlo.

El estudio, que utilizó un software que imitaba a un usuario real (visitando páginas web y completando páginas de inicio de sesión o registro sin enviarlas), encontró que 1.844 sitios web en la UE habían recopilado las direcciones de correo electrónico sin el consentimiento del usuario. En los EE. UU. fue aún peor, con 2.950 sitios estadounidenses haciendo lo mismo.

"Ciertamente superó nuestras expectativas por mucho", dice Güneş Acar, profesor e investigador de la Universidad de Radboud, quien explicó que su equipo pensó inicialmente que encontraría solo un par de cientos de sitios que recogieran los datos de los usuarios.

"Según nuestros hallazgos, los usuarios deben suponer que los rastreadores pueden recopilar la información personal que ingresan en los formularios web, incluso si el formulario nunca se envía", agregaron los autores.

Si bien en algunos casos los sitios web recopilaban los datos antes de enviarlos, el estudio analizó únicamente los datos recopilados por servicios de publicidad y marketing de terceros como Taboola, Bizible y Glassbox digital, que se incorporan a los sitios web para monetizar el contenido.

Este tipo de recopilación de datos es similar al registro de teclas, en el que un programa de malware registra todo lo que escribe un usuario, a menudo para robar contraseñas u otra información confidencial.

Pero mientras que el registro de teclas es un tipo de malware relativamente raro, la práctica de registrar direcciones de correo electrónico no lo es.

Shopifi privacidad

Imagen: Cuando un script de seguimiento lee ("olfatea") un campo de entrada que contiene información personal, LeakInspector resalta el campo de entrada y bloquea las solicitudes con fugas que contienen estos datos personales. La interfaz de usuario muestra los intentos recientes de olfateo y fuga, junto con el dominio del rastreador, la empresa y la categoría del rastreador.

Los principales sitios web por tráfico donde las direcciones de correo electrónico fueron recopiladas por dominios rastreadores en los EE. UU. incluyeron conocidas marcas como USAToday, Time, Fox News y Trello, encontraron los autores del estudio.

En la UE, Newsweek, Shopify y Marriott también aparecieron en la lista.

Los investigadores también encontraron 52 sorprendentes sitios web donde terceros también recopilaban datos de contraseña antes del envío.

El grupo dijo en el estudio que desde entonces ha informado a los sitios que recopilaron contraseñas y que todas las instancias se han resuelto.

El problema de Meta

Después de publicar el estudio, los investigadores también descubrieron que Meta y TikTok también estaban usando sus propios rastreadores invisibles de marketing para recopilar datos de otras páginas web.

Los sitios web que habían utilizado Meta Pixel o TikTok Pixel, fragmentos de código que permiten que los dominios de los sitios web rastreen la actividad de los visitantes, tenían activada una función de "coincidencia avanzada automática", lo que permitía que las plataformas de redes sociales tomaran datos de los sitios web del anunciante.

Al ingresar una dirección de correo electrónico en la página que tenía Meta Pixel en su lugar, al hacer clic en la mayoría de los botones o enlaces que alejaban a los usuarios de esa página, Meta o TikTok tomaron datos personales, descubrieron los investigadores.

Vídeo: Capturas de pantalla de muestra: fugas a Meta y TikTok debido a la coincidencia avanzada automática

"La documentación que analizamos junto con Asuman afirma que [Meta] solo recopila estos datos cuando los usuarios hacen clic en Enviar, pero hemos analizado su código y estaban recopilando todos los clics en cualquier botón, cualquier enlace en la página", dice Acar.

Señala que incluso hacer clic para ver la política de privacidad aún daría como resultado que la información de su correo electrónico se envíe a Facebook.

Para los usuarios de EE. UU., 8.438 sitios pueden haber estado filtrando datos a Meta a través de su Pixel, mientras que 7.379 sitios pueden haber sido afectados para los usuarios de la UE.

"Teniendo en cuenta su escala, intrusividad y efectos secundarios no deseados, el problema de privacidad que investigamos merece más atención por parte de los proveedores de navegadores, los desarrolladores de herramientas de privacidad y las agencias de protección de datos", advirtieron los autores en el estudio.

La investigación se titula "Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission" y se presentará en el Simposio de Seguridad de USENIX 2022

Buscar en el sitio

 
Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube