Clicky

Investigadores revelan nuevas técnicas de seguimiento de usuarios en línea

Técnicas de seguimiento

Pueden ser eludidos la mayoría de los mecanismos de protección

Los investigadores han identificado una serie de técnicas de seguimiento de usuarios en línea que no pueden ser bloqueadas por las defensas anti-rastreo integradas de los navegadores y las extensiones existentes anti-rastreo y bloqueo de anuncios.

La buena noticia es que también han escaneado los sitios más populares de Alexa Top 10.000 y no encontraron evidencia de que estos servicios ya estén siendo utilizados por los anunciantes y los servicios de seguimiento de los usuarios.

La investigación

El seguimiento de las actividades en línea de los usuarios se realiza a través de cookies y, de forma predeterminada, los navegadores los asocian automáticamente a todas las solicitudes HTTP. A menudo, el seguimiento se realiza con fines autorizados: permite a los usuarios realizar un seguimiento de los artículos que han agregado a sus cestas de compras en línea o iniciar sesión en sus sitios web favoritos.

"Sin embargo, las cookies también pueden explotarse para objetivos más nefastos: las actividades en línea de los usuarios son rastreadas a gran escala por varias compañías de publicidad, o los llamados ataques entre sitios pueden usarse para hacerse cargo de la cuenta de un usuario involuntario.

"Como respuesta a esta creciente superficie de amenazas, se han desarrollado diversos mecanismos de defensa: ya sea como extensiones de navegador anti-seguimiento o bloqueo de anuncios, o como funciones incorporadas del navegador, como la Protección de seguimiento en Firefox, o las cookies SameSite, que pueden ser muy efectivas para frustrar los ataques entre sitios", explicaron Gertjan Franken, Tom Van Goethem y Wouter Joosen de la Universidad Católica de Lovaina (Bélgica).

Para que estas funciones de mejora de la seguridad y la privacidad funcionen correctamente, todas las solicitudes deben cumplir con las políticas de cookies impuestas, y no es así.

framework del estudio

"En nuestra investigación, creamos un marco de trabajo para verificar si se aplican correctamente todas las políticas impuestas de cookies y solicitudes. De manera preocupante, encontramos que la mayoría de los mecanismos podrían ser eludidos: por ejemplo, para todas las extensiones de navegador de bloqueo de anuncios y anti-seguimiento, descubrimos al menos una técnica que podría eludir las políticas", señalaron los miembros del grupo.

Probaron 7 navegadores, 31 bloqueadores de anuncios y 15 extensiones anti-rastreo. Identificaron 7 categorías de mecanismos de activación de solicitudes que se pueden usar para el seguimiento del usuario en al menos una configuración probada.

Estas técnicas de seguimiento aprovechan:

• La API de AppCache (en desuso, pero todavía admitida) y su API de reemplazo de Service Worker (SW)
• Javascript en PDF
• Etiquetas HTML
• Encabezados de respuesta
• Varias redirecciones
• API de Javascript.

Para ver más a fondo sus descubrimientos revisa el artículo de los investigadores [PDF], que ganó el premio Distinguished Paper y el Internet Defense Prize en el Usenix Security Symposium que tuvo lugar la semana pasada en Baltimore, Maryland.

¿Ahora que?

Los investigadores han estado informando los problemas descubiertos a los proveedores de navegadores y desarrolladores de extensión y han estado trabajando con ellos para solucionarlos. Algunos ya lo han sido y otros no (por ejemplo, los vinculados a la API de AppCache, ya que está obsoleta).

Esperemos que el resto de las soluciones lleguen antes de que algunos emprendedores de servicios de seguimiento comiencen a usar esta investigación para mejorar su efectividad.

Jesus_Caceres