Contrabando de ID de usuario: una nueva técnica para rastrear usuarios en línea
La herramienta CrumbCruncher detecta cuando es rastreado un usuario
Los anunciantes y los rastreadores web han podido agregar la información de los usuarios en todos los sitios web que visitan durante décadas, principalmente colocando cookies de terceros en los navegadores de los usuarios. Hace dos años, varios navegadores que priorizan la privacidad del usuario comenzaron a bloquear por defecto las cookies de terceros para todos los usuarios.
Esto presenta un importante problema para las empresas que colocan anuncios en la web en nombre de otras empresas y confían en las cookies para realizar un seguimiento de las tasas de clics y determinar cuando necesitan recibir el pago.
Los anunciantes han respondido siendo pioneros en un nuevo método para rastrear a los usuarios en la Web, conocido como contrabando (smuggling) de ID de usuario (o UID), que no requiere cookies de terceros. Pero nadie sabía exactamente con qué frecuencia se usaba este método para rastrear personas en Internet.
Investigadores de la Universidad de California, San Diego, han buscado por primera vez cuantificar la frecuencia del contrabando de UID en la naturaleza, mediante el desarrollo de una herramienta de medición llamada CrumbCruncher.
CrumbCruncher navega por la web como un usuario común, pero en el camino, realiza un seguimiento de cuántas veces ha sido rastreado mediante el contrabando de UID. Los investigadores encontraron que el contrabando de UID estaba presente en aproximadamente el 8 por ciento de las navegaciones que realizó CrumbCruncher. El equipo también está lanzando tanto su conjunto de datos completo como su canal de medición para que los utilicen los desarrolladores de navegadores.
El objetivo principal del equipo es crear conciencia sobre el problema entre los desarrolladores de navegadores, dijo la primera autora Audrey Randall, estudiante de doctorado en ciencias de la computación en la UC San Diego. "El contrabando de UID es más utilizado de lo que esperábamos", dijo. "Pero no sabemos cuánto de esto es una amenaza para la privacidad del usuario".
Así funciona el contrabando de ID de usuario
El contrabando de UID puede tener usos legítimos, dicen los investigadores. Por ejemplo, la incrustación de ID de usuario en las URL puede permitir que un sitio web se dé cuenta de que un usuario ya ha iniciado sesión, lo que significa que puede omitir la página de inicio de sesión y navegar directamente al contenido.
También es una herramienta que una empresa propietaria de sitios web con diferentes dominios puede usar para rastrear el tráfico de usuarios. También es, por supuesto, una herramienta para que los anunciantes afiliados realicen un seguimiento del tráfico y reciban pagos. Por ejemplo, un bloguero que anuncia un producto usando enlaces de afiliados puede recibir una comisión si alguien hace clic en sus enlaces y luego realiza una compra. El contrabando de UID puede identificar qué bloguero debería recibir la comisión.
Pero hay usos potencialmente más peligrosos que preocupan a los investigadores. Por ejemplo, un corredor de datos podría usar el contrabando de UID para recopilar una base de datos de la navegación por Internet de los usuarios.
Los investigadores también realizaron un pequeño ejercicio en el que bloquearon manualmente el contrabando de UID para varias navegaciones. Descubrieron que esto tenía un impacto mínimo en la funcionalidad del sitio web. Los próximos pasos podrían incluir la creación de una herramienta para bloquear los UID. Pero los investigadores advierten que esto probablemente solo sea un paso más en el juego del gato y el ratón.
"Hagamos lo que hagamos, el juego no terminará a menos que podamos encontrar una solución que permita que la industria publicitaria siga siendo rentable y al mismo tiempo preserve la privacidad del usuario", dijo el primer autor Randall.
Documento "Measuring UID Smuggling in the Wild" [PDF]
