¿Qué son las supercookies, las galletas Zombie y las Evercookies, y son una amenaza?

Hacer que un vecino entrometido encuentre su receta secreta solía ser el mayor problema de privacidad en torno a las cookies, pero eso ha cambiado gracias a Internet. Si bien las cookies normales del navegador a menudo son útiles y fáciles de borrar, existen otras variantes que están diseñadas para quedarse y vigilarlo. Dos de estos tipos, las supercookies y las cookies zombies (a menudo conocidas como “Evercookies”), pueden ser particularmente difíciles de eliminar. Afortunadamente, no han pasado desapercibidos y los navegadores están evolucionando para combatir estas técnicas de rastreo más furtivas.

Supercookies

Este término puede resultar un poco confuso ya que se ha utilizado para describir varias tecnologías diferentes, de las cuales solo algunas son cookies. Sin embargo, en general, se refiere a cualquier cosa que cambie su perfil de navegación para darle una identificación única. De esta manera, cumplen la misma función que las cookies, permitiendo que los sitios y los anunciantes lo rastreen, pero a diferencia de las cookies, en realidad no se pueden eliminar.

La mayoría de las veces escuchará el término “supercookie” en referencia a los encabezados de identificador único (UIDH) y como una vulnerabilidad en HTTP Strict Transport Security, o HSTS, aunque el término original se refiere a cookies que se originan en dominios de nivel superior . Esto significa que se puede configurar una cookie para un dominio como “.com” o “.co.uk”, permitiendo que cualquier sitio web con ese sufijo de dominio lo vea.

Si Google.com establece una supercookie, esa cookie sería visible para cualquier otro sitio web “.com”. Este es un problema de privacidad claro, pero dado que por lo demás es una cookie convencional, casi todos los navegadores modernos las bloquean de forma predeterminada. Dado que ya nadie habla mucho sobre este tipo de supercookie, generalmente escucharás más sobre las otras dos.

Encabezado de identificador único (UIDH)

Un encabezado de identificador único no está en su computadora en absoluto, tiene lugar entre su ISP y los servidores de un sitio web. Así es cómo:

  1. Envía una solicitud de un sitio web a su ISP.
  2. Antes de que su ISP reenvíe la solicitud al servidor, agrega una cadena de identificación única al encabezado de su solicitud.
  3. Esta cadena permite que los sitios lo identifiquen como el mismo usuario cada vez que lo visita, incluso si ha eliminado sus cookies. Una vez que sepan quién es usted, pueden volver a colocar las mismas cookies en su navegador.

En términos simples, si un ISP está usando el seguimiento UIDH, está enviando su firma personal a cada sitio web que visita (o aquellos que le han pagado al ISP). Es sobre todo útil para optimizar los ingresos por publicidad, pero es lo suficientemente invasivo como para que la FCC multó a Verizon con 1,35 millones de dólares por no informar a sus clientes o por no darles la opción de excluirse.

Aparte de Verizon, no hay muchos datos sobre qué empresas están usando información UIDH, pero la reacción de los consumidores la ha convertido en una estrategia bastante impopular. Aún mejor, solo funciona con conexiones HTTP no cifradas, y dado que la mayoría de los sitios web ahora usan HTTPS de forma predeterminada y puede descargar fácilmente extensiones como HTTPS Everywhere, esta supercookie ya no es un gran problema y probablemente no se esté usando ampliamente. Si desea protección adicional, use una VPN. Esto garantiza que su solicitud será transmitida al sitio web sin su UIDH adjunto.

Seguridad de transferencia estricta HTTPS (HSTS)

Este es un tipo raro de supercookie que no se ha identificado específicamente en ningún sitio en particular, pero aparentemente estaba siendo explotado, ya que Apple parcheó Safari en su contra, citando casos confirmados del ataque .

HSTS es realmente algo bueno. Permite que su navegador redirija de forma segura a la versión HTTPS de un sitio en lugar de a la versión HTTP insegura. Desafortunadamente, también se puede utilizar para crear una supercookie con la siguiente receta:

  1. Cree muchos subdominios (como “dominio.com”, “subdominio2.dominio.com”, etc.).
  2. Asigne a cada visitante de su página principal un número aleatorio.
  3. Obligue a los usuarios a cargar todos sus subdominios agregándolos en píxeles invisibles en una página o redirigiendo al usuario a través de cada subdominio mientras carga la página.
  4. Para algunos subdominios, dígale al navegador del usuario que use HSTS para cambiar a la versión segura. Para otros, deje el dominio como HTTP no seguro.
  5. Si la política HSTS de un subdominio está activada, cuenta como un “1”. Si está apagado, cuenta como un “0”. Con esta estrategia, el sitio puede escribir el número de identificación aleatorio del usuario en binario en la configuración HSTS del navegador.
  6. Cada vez que el visitante regresa, el sitio verificará las políticas HSTS del navegador de un usuario, que devolverá el mismo número binario que se generó originalmente, identificando al usuario.

Suena complejo, pero todo se reduce a que los sitios web pueden hacer que su navegador genere y recuerde configuraciones de seguridad para varias páginas, y la próxima vez que lo visite, podrá saber quién es usted porque nadie más tiene esa combinación exacta de configuraciones. .

Apple ya ha encontrado soluciones a este problema, como permitir que solo se establezcan configuraciones de HSTS para uno o dos nombres de dominio principales por sitio y limitar el número de redireccionamientos encadenados que los sitios pueden usar. Es probable que otros navegadores sigan estas medidas de seguridad (el modo incógnito de Firefox parece ayudar), pero como no hay casos confirmados de que esto suceda, no es una prioridad para la mayoría. Puede tomar el asunto en sus propias manos investigando algunas configuraciones y borrando manualmente las políticas de HSTS , pero eso es todo.

Galletas de zombies / Evercookies

Las cookies de zombies son exactamente lo que parecen: cookies que vuelven a la vida después de que pensabas que se habían ido. Es posible que los haya visto referidos como “Evercookies”, que desafortunadamente no son el equivalente en cookies de un eterno gobstopper de Wonka. “Evercookie” es en realidad una API de JavaScript creada para ilustrar de cuántas formas diferentes las cookies pueden evitar sus esfuerzos de eliminación.

Las cookies de Zombie no se borran porque se esconden fuera de su almacenamiento habitual de cookies. El almacenamiento local es un objetivo principal (Adobe Flash y Microsoft Silverlight lo usan mucho), y algo de almacenamiento HTML5 también puede ser un problema. Las cookies de muertos vivientes pueden incluso estar en su historial web o en códigos de color RGB que su navegador permite en su caché. Todo lo que tiene que hacer un sitio web es encontrar una de las cookies ocultas y puede resucitar las demás.

Sin embargo, muchos de estos agujeros de seguridad están desapareciendo. Flash y Silverlight no son una gran parte del diseño web moderno, y muchos navegadores ya no son especialmente vulnerables a otros escondites de Evercookie. Sin embargo, dado que hay tantas formas diferentes en que estas cookies pueden entrar en su sistema, no existe una única manera de protegerse. Sin embargo, un conjunto decente de extensiones de privacidad y buenos hábitos de limpieza del navegador nunca son una mala idea.

Espera, ¿estamos a salvo o no?

La tecnología de seguimiento en línea es una carrera constante hacia la cima, por lo que si la privacidad es algo que le preocupa, probablemente debería acostumbrarse a la idea de que nunca se garantiza el 100% de anonimato en línea.

Sin embargo, probablemente no necesite preocuparse demasiado por las supercookies, ya que no se ven en la naturaleza con mucha frecuencia y se bloquean cada vez más. Por otro lado, las cookies zombies / Evercookies son más difíciles de eliminar. Muchas de sus vías más conocidas se han cerrado, pero aún pueden funcionar potencialmente hasta que se repare cada vulnerabilidad y siempre puedan idear nuevas técnicas.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario