Galleta eterna
Interfaz de programación de aplicaciones JavaScript
Presentación de la NSA 'Tor apesta'

Evercookie (también conocida como supercookie [1] ) es una interfaz de programación de aplicaciones (API) de JavaScript que identifica y reproduce las cookies eliminadas intencionalmente en el almacenamiento del navegador de los clientes. [2] Fue creada por Samy Kamkar en 2010 para demostrar la posible infiltración desde los sitios web que utilizan respawning. [3] Los sitios web que han adoptado este mecanismo pueden identificar a los usuarios incluso si intentan eliminar las cookies almacenadas previamente. [4]

En 2013, Edward Snowden filtró un documento de alto secreto de la NSA que mostraba que Evercookie puede rastrear a los usuarios de Tor (redes anónimas). [5] Muchas empresas populares utilizan una funcionalidad similar a Evercookie para recopilar información de los usuarios y rastrearlos. [1] [6] Otras investigaciones sobre huellas digitales y motores de búsqueda también se inspiran en la capacidad de Evercookie de rastrear a un usuario de forma persistente. [4] [5] [7]

Fondo

Existen tres tipos de almacenamiento de datos de uso común: cookies HTTP, cookies flash, almacenamiento HTML5 y otros. [1] [8] Cuando el usuario visita un sitio web por primera vez, el servidor web puede generar un identificador único y almacenarlo en el navegador del usuario o en el espacio local. [9] El sitio web puede leer e identificar al usuario en sus futuras visitas con el identificador almacenado, y el sitio web puede guardar las preferencias del usuario y mostrar anuncios de marketing. [9] Debido a las preocupaciones sobre la privacidad, todos los navegadores principales incluyen mecanismos para eliminar y/o rechazar las cookies de los sitios web. [9] [10]

En respuesta a la creciente renuencia de los usuarios a aceptar cookies, muchos sitios web emplean métodos para evitar la eliminación de cookies por parte de los usuarios. [11] A partir de 2009, muchos equipos de investigación descubrieron que los sitios web populares usaban cookies flash, ETags y varios otros almacenamientos de datos para reconstruir las cookies eliminadas por los usuarios, incluidos hulu.com, foxnews.com, spotify.com, etc. [1] [12] [13] [14] En 2010, Samy Kamkar , un programador californiano, construyó un proyecto Evercookie para ilustrar aún más el mecanismo de seguimiento con reaparición en varios mecanismos de almacenamiento en los navegadores. [3]

Descripción

Evercookie permite a los autores de sitios web poder identificar a los usuarios incluso después de que dichos usuarios hayan intentado eliminar las cookies. [15] Samy Kamkar lanzó la versión beta v0.4 de evercookie el 13 de septiembre de 2010, como un proyecto de código abierto . [16] [17] [18] Evercookie es capaz de regenerar cookies HTTP eliminadas almacenándolas en múltiples sistemas de almacenamiento diferentes que normalmente exponen los navegadores web. [16] Cuando un navegador visita un sitio web con la API Evercookie en su servidor, el servidor web puede generar un identificador y almacenarlo en varios mecanismos de almacenamiento disponibles en ese navegador. [2] Si el usuario elimina algunos , pero no todos, los identificadores almacenados en el navegador y vuelve a visitar el sitio web, el servidor web recupera el identificador de las áreas de almacenamiento que el usuario no pudo eliminar. [16] Luego, el servidor web copiará y restaurará este identificador en las áreas de almacenamiento previamente borradas. [19]

Al abusar de los diversos mecanismos de almacenamiento disponibles, Evercookie crea identificadores de datos persistentes, ya que es poco probable que los usuarios borren todos los mecanismos de almacenamiento. [20] De la lista proporcionada por Samy Kamkar, [16] se podrían utilizar 17 mecanismos de almacenamiento para la versión beta de Evercookie v0.4 cuando estén disponibles en los navegadores:

Samy Kamkar afirma que no tenía intención de utilizar el proyecto Evercookie para violar la privacidad de los usuarios de Internet ni de venderlo a terceros para uso comercial. Sin embargo, ha servido de inspiración para otros sitios web comerciales que más tarde implementaron mecanismos similares para restaurar las cookies eliminadas por los usuarios. [ cita requerida ] El proyecto Evercookie es de código abierto, lo que significa que todos pueden acceder y examinar el código, o utilizar el código para cualquier propósito. El proyecto incorpora HTML5 como uno de los mecanismos de almacenamiento, que se lanzó 6 meses antes del proyecto y ganó atención pública debido a su persistencia añadida. Kamkar deseaba que su proyecto pudiera demostrar cómo la privacidad de los usuarios puede ser infiltrada por herramientas de seguimiento contemporáneas. [21] En 2010, una forma de evitar la reaparición de Evercookie fue un complemento del navegador Firefox llamado "Anonymizer Nevercookie™". [22]

Los mecanismos de almacenamiento incorporados en el proyecto Evercookie se actualizan constantemente, lo que aumenta la persistencia de Evercookie. Como incorpora muchos métodos de seguimiento existentes, Evercookie proporciona una herramienta avanzada de seguimiento de datos que reduce la redundancia de los métodos de recopilación de datos de muchos sitios web comerciales. [23] [24] Un número cada vez mayor de sitios web comerciales utilizaron la idea de Evercookie y la ampliaron incorporando nuevos vectores de almacenamiento. En 2014, un equipo de investigación de la Universidad de Princeton realizó un estudio a gran escala de tres herramientas de seguimiento persistente: Evercookie, canvas footprinting y sincronización de cookies. El equipo rastreó y analizó los 100.000 sitios web principales de Alexa y detectó un nuevo vector de almacenamiento, IndexedDB, que está incorporado en un mecanismo Evercookie y utilizado por weibo.com. El equipo afirmó que esta es la primera detección de uso comercial de IndexedDB. [12] Además, los investigadores descubrieron que la sincronización de cookies se utiliza junto con Evercookie. La sincronización de cookies permite compartir datos entre diferentes mecanismos de almacenamiento, lo que facilita el proceso de reaparición de Evercookie en diferentes ubicaciones de almacenamiento en los navegadores de los usuarios. El equipo también descubrió casos de cookies Flash que reaparecieron en las cookies HTTP y cookies HTTP que reaparecieron en las cookies Flash en los sitios web comerciales. Estos dos mecanismos son diferentes del proyecto Evercookie en términos de la cantidad de mecanismos de almacenamiento empleados, pero siguen el mismo principio. Entre los sitios que rastreó el equipo de investigación, 10 de los 200 sitios web utilizaron cookies Flash para reconstruir las cookies HTTP. 9 de los sitios observados pertenecían a China (incluidos sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com y tudo.com). El otro sitio web identificado fue yandex.ru, un importante motor de búsqueda en Rusia. [ cita requerida ]

Aplicaciones

Un equipo de investigación de la Universidad Tecnológica Eslovaca propuso un mecanismo para que los motores de búsqueda infieran las palabras de búsqueda previstas por los usuarios de Internet y produzcan resultados de búsqueda personalizados. A menudo, las consultas de los usuarios de Internet contienen múltiples significados y abarcan diferentes campos. Como resultado, los resultados de búsqueda que muestra el motor de búsqueda contienen una gran cantidad de información, mucha de la cual no está relacionada con el buscador. Los autores propusieron que la identidad de los buscadores y las preferencias del usuario tienen una fuerte indicación sobre el significado de las consultas y pueden reducir en gran medida la ambigüedad de la palabra de búsqueda. El equipo de investigación construyó un modelo basado en metadatos para extraer información de los usuarios con evercookie, e integraron este modelo de intereses del usuario en el motor de búsqueda para mejorar la personalización del resultado de la búsqueda. El equipo era consciente de que los sujetos del experimento pueden eliminar fácilmente las cookies tradicionales, lo que da lugar a datos de experimento incompletos. Luego, el equipo de investigación utilizó la persistencia de evercookie. [4]

Aplicaciones controvertidas

Demanda por privacidad de KISSMetrics

El viernes 29 de julio de 2011, un equipo de investigación de la Universidad de California, Berkeley, analizó los 100 sitios web más importantes de Estados Unidos basándose en QuantCast. El equipo descubrió que KISSmetrics, un sitio web de terceros que proporciona herramientas de análisis de marketing, utilizaba cookies HTTP, cookies Flash, ETags y algunos, pero no todos, los mecanismos de almacenamiento empleados en el proyecto Evercookie de Samy Kamkar para regenerar la información eliminada del usuario. [1] Otros sitios web populares, como hulu.com y spotify.com, empleaban KISSmetrics para regenerar las cookies propias de HTML5 y HTTP. El equipo de investigación afirmó que esta era la primera vez que se observaba el uso de Etag en entornos comerciales. [14]

El mismo día de la publicación del informe, Hulu y Spotify anunciaron que habían suspendido el uso de KISSmetrics para una mayor investigación. [25] Dos consumidores demandaron a KISSmetrics por su violación de la privacidad del usuario. [26] KISSMetrics revisó sus políticas de privacidad durante el fin de semana, indicando que la empresa había respetado plenamente la voluntad de los clientes si optaban por no ser rastreados. El 4 de agosto de 2011, el director ejecutivo de KISSmetrics, Hiten Shah, negó la implementación de Evercookie y otros mecanismos de seguimiento mencionados en el informe, y afirmó que la empresa solo utilizaba rastreadores de cookies legítimos de origen. [1] El 19 de octubre de 2012, KISSmetrics acordó pagar más de 500.000 dólares para resolver la acusación y prometió abstenerse de utilizar Evercookie. [27] [28]

Seguimiento de Tor por parte de la NSA

En 2013, Edward Snowden reveló una presentación interna de la Agencia de Seguridad Nacional ( NSA ), sugiriendo el uso de Evercookie en la vigilancia gubernamental para rastrear a los usuarios de Tor. [5] [29] El blog de TOR respondió a este documento filtrado en una publicación, asegurando que los paquetes del navegador TOR y el sistema operativo Tails brindan fuertes protecciones contra evercookie. [30] [31]

Actitudes públicas hacia el rastreo de datos

Evercookie, y muchas otras nuevas tecnologías que han surgido en el ámbito del seguimiento persistente de datos, es una respuesta a la tendencia de los usuarios de Internet de eliminar el almacenamiento de cookies. En este sistema de intercambio de información, algunos consumidores creen que están siendo compensados ​​con una mayor personalización de la información, o a veces incluso con una compensación económica por parte de las empresas relacionadas. [32] Sin embargo, una investigación reciente relacionada muestra una brecha entre las expectativas del consumidor y las de los vendedores. [33] Una encuesta del Wall Street Journal mostró que el 72% se sentía ofendido cuando veía anuncios dirigidos mientras navegaba por Internet. Otra encuesta mostró que el 66% de los estadounidenses se sentía negativo sobre la forma en que los vendedores rastrean sus datos para generar información individualizada. En otra encuesta, el 52% de los encuestados dijo que le gustaría desactivar la publicidad basada en el comportamiento. [34] Sin embargo, el seguimiento de datos persiste. [35] [36]

Véase también

Referencias

  1. ^ abcdef Bujlow, Tomasz; Carela-Espanol, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). "Una encuesta sobre el seguimiento web: mecanismos, implicaciones y defensas". Actas del IEEE . 105 (8): 1476–1510. doi :10.1109/jproc.2016.2637878. hdl : 2117/108437 . ISSN  0018-9219. S2CID  2662250.
  2. ^ ab Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). "La Web nunca olvida". Actas de la Conferencia ACM SIGSAC de 2014 sobre seguridad informática y de las comunicaciones . Nueva York, Nueva York, EE. UU.: ACM Press. págs. 674–689. doi :10.1145/2660267.2660347. ISBN 978-1-4503-2957-6.S2CID8127620  .
  3. ^ ab Bashir, Muhammad Ahmad; Wilson, Christo (1 de octubre de 2018). "Difusión de datos de seguimiento de usuarios en el ecosistema de publicidad en línea". Actas sobre tecnologías que mejoran la privacidad . 2018 (4): 85–103. doi : 10.1515/popets-2018-0033 . ISSN  2299-0984. S2CID  52088002.
  4. ^ abc Kramár, Tomáš; Barla, Míchal; Bieliková, María (1 de febrero de 2013). "Personalizar la búsqueda utilizando un modelo de interés socialmente mejorado, creado a partir del flujo de actividad del usuario". Revista de ingeniería web . 12 (1–2): 65–92. ISSN  1540-9589.
  5. ^ abc Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). "Análisis de información de huellas dactilares de Big Data para la sostenibilidad". Sistemas informáticos de generación futura . 86 : 1321-1337. doi : 10.1016/j.future.2017.12.061. ISSN  0167-739X. S2CID  49646910.
  6. ^ Koop, Martin; Tews, Erik; Katzenbeisser, Stefan (1 de octubre de 2020). "Evaluación en profundidad del seguimiento de redireccionamientos y el uso de enlaces". Actas sobre tecnologías que mejoran la privacidad . 2020 (4): 394–413. doi : 10.2478/popets-2020-0079 . ISSN  2299-0984.
  7. ^ Al-Fannah, Nasser Mohammed; Mitchell, Chris (7 de enero de 2020). "Demasiado poco y demasiado tarde: ¿podemos controlar la identificación de los navegadores?". Journal of Intellectual Capital . 21 (2): 165–180. doi :10.1108/jic-04-2019-0067. ISSN  1469-1930. S2CID  212957853.
  8. ^ Zhiju, Yang; Chuan, Yue (1 de abril de 2020). "Un estudio comparativo de medición del seguimiento web en entornos móviles y de escritorio". Actas sobre tecnologías de mejora de la privacidad . Consultado el 11 de diciembre de 2020 .
  9. ^ abc Yue, Chuan; Xie, Mengjun; Wang, Haining (septiembre de 2010). "Un sistema automático de gestión de cookies HTTP". Redes informáticas . 54 (13): 2182–2198. doi :10.1016/j.comnet.2010.03.006. ISSN  1389-1286.
  10. ^ fouad, Imane; Bielova, Nataliia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (1 de abril de 2020). "Listas de filtros no detectadas: detección de rastreadores de terceros desconocidos con píxeles invisibles". Actas sobre tecnologías de mejora de la privacidad . 2020 (2): 499–518. arXiv : 1812.01514 . doi : 10.2478/popets-2020-0038 . ISSN  2299-0984.
  11. ^ Cook, John; Nithyanand, Rishab; Shafiq, Zubair (1 de enero de 2020). "Inferir relaciones entre rastreadores y anunciantes en el ecosistema de publicidad en línea mediante subastas de encabezado". Actas sobre tecnologías de mejora de la privacidad . 2020 (1): 65–82. arXiv : 1907.07275 . doi : 10.2478/popets-2020-0005 . ISSN  2299-0984.
  12. ^ ab Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). "La Web nunca olvida". Actas de la Conferencia ACM SIGSAC de 2014 sobre seguridad informática y de las comunicaciones . Scottsdale, Arizona, EE. UU.: ACM Press. págs. 674–689. doi :10.1145/2660267.2660347. ISBN 978-1-4503-2957-6.S2CID8127620  .
  13. ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quintín; Thomas, Lauren; Hoofnagle, Chris Jay (10 de agosto de 2009). "Cookies Flash y Privacidad". Rochester, Nueva York. doi :10.2139/ssrn.1446862. S2CID  6414306. SSRN  1446862. {{cite journal}}: Requiere citar revista |journal=( ayuda )
  14. ^ ab Ayenson, Mika D.; Wambach, Dietrich James; Soltani, Ashkan; Bien, Natán; Hoofnagle, Chris Jay (29 de julio de 2011). "Cookies Flash y privacidad II: ahora con HTML5 y reaparición de ETag". Rochester, Nueva York. doi :10.2139/ssrn.1898390. SSRN  1898390. {{cite journal}}: Requiere citar revista |journal=( ayuda )
  15. ^ Andrés, José Ángel González (1 de julio de 2011). "Denegación de identidad en Internet". Inteligencia y Seguridad . 2011 (10): 75-101. doi :10.5211/iys.10.article6. ISSN  1887-293X.
  16. ^ abcd "Samy Kamkar - Evercookie".
  17. ^ "Código fuente de Evercookie". GitHub . 13 de octubre de 2010 . Consultado el 28 de octubre de 2010 .
  18. ^ "Schneier sobre seguridad: Evercookies". 23 de septiembre de 2010. Consultado el 28 de octubre de 2010 .
  19. ^ "Cómo abordar los ataques de secuencias de comandos entre sitios (XSS) en el ciberespacio", Securing Cyber-Physical Systems , CRC Press, págs. 350-367, 6 de octubre de 2015, doi : 10.1201/b19311-18, ISBN 978-0-429-09104-9, consultado el 11 de diciembre de 2020
  20. ^ "Es posible matar a la evercookie". 2010-10-27.
  21. ^ Vega, Tanzina (11 de octubre de 2010). "Nuevo código web genera preocupación por riesgos de privacidad (publicado en 2010)". The New York Times . ISSN  0362-4331 . Consultado el 6 de diciembre de 2020 .
  22. ^ Lennon, Mike (10 de noviembre de 2010). "Nevercookie se come a Evercookie con el nuevo complemento de Firefox" . Consultado el 25 de julio de 2022 .
  23. ^ Nielsen, Janne (2 de octubre de 2019). "Experimentación con métodos computacionales para estudios a gran escala de tecnologías de seguimiento en archivos web". Internet Histories . 3 (3–4): 293–315. doi :10.1080/24701475.2019.1671074. ISSN  2470-1475. S2CID  208121899.
  24. ^ Samarasinghe, Nayanamana; Mannan, Mohammad (noviembre de 2019). "Hacia una perspectiva global sobre el rastreo web". Computers & Security . 87 : 101569. doi :10.1016/j.cose.2019.101569. ISSN  0167-4048. S2CID  199582679.
  25. ^ "Investigadores denuncian a sitios web por rastrear a usuarios mediante tácticas ocultas". Berkeley Law . 10 de agosto de 2011 . Consultado el 6 de diciembre de 2020 .
  26. ^ "KISSmetrics y Hulu demandados por nueva tecnología de seguimiento" www.mediapost.com . Consultado el 6 de diciembre de 2020 .
  27. ^ "KISSmetrics resuelve demanda por supercookies". www.mediapost.com . Consultado el 6 de diciembre de 2020 .
  28. ^ Drury, Alexandra (2012). "Cómo se rastrean y utilizan las identidades de los usuarios de Internet". Tulane Journal of Technology & Intellectual Property . 15 . ISSN  2169-4567.
  29. ^ "Tor apesta" (PDF) . edwardsnowden.com .
  30. ^ "TOR atacado, posiblemente por la NSA". Seguridad en redes . 2013 (8): 1–2. Agosto 2013. doi :10.1016/s1353-4858(13)70086-2. ISSN  1353-4858.
  31. ^ Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (3 de abril de 2018). "Seguimiento del flujo de clics de los usuarios de TOR: puede ser más fácil de lo que cree". Revista de tecnología de ciberseguridad . 2 (2): 92–108. doi :10.1080/23742917.2018.1518060. ISSN  2374-2917. S2CID  169615236.
  32. ^ Martin, Kelly D.; Murphy, Patrick E. (22 de septiembre de 2016). "El papel de la privacidad de los datos en el marketing". Revista de la Academia de Ciencias de Marketing . 45 (2): 135–155. doi :10.1007/s11747-016-0495-4. ISSN  0092-0703. S2CID  168554897.
  33. ^ Chen, G.; Cox, JH; Uluagac, AS; Copeland, JA (tercer trimestre de 2016). "Encuesta exhaustiva sobre tecnologías de publicidad digital". IEEE Communications Surveys and Tutorials . 18 (3): 2124–2148. doi :10.1109/COMST.2016.2519912. ISSN  1553-877X. S2CID  32263374.
  34. ^ Korolova, A. (diciembre de 2010). "Violaciones de la privacidad mediante anuncios microsegmentados: un estudio de caso". Talleres de la Conferencia Internacional IEEE sobre Minería de Datos de 2010. págs. 474–482. doi :10.1109/ICDMW.2010.137. ISBN 978-1-4244-9244-2.S2CID206785467  .
  35. ^ Mellet, Kevin; Beauvisage, Thomas (2 de septiembre de 2019). "Monstruos de galletas. Anatomía de una infraestructura de mercado digital". Mercados de consumo y cultura . 23 (2): 110–129. doi :10.1080/10253866.2019.1661246. ISSN  1025-3866. S2CID  203058303.
  36. ^ Raley, Rita (2013), "Dataveillance and Countervailance", "Raw Data" es un oxímoron , The MIT Press, págs. 121-146, doi :10.7551/mitpress/9302.003.0009, ISBN 978-0-262-31232-5, S2CID  199828237 , consultado el 11 de diciembre de 2020
Obtenido de "https://es.wikipedia.org/w/index.php?title=Evercookie&oldid=1257373161"