08 septiembre, 2015

No me llames Dolores, llámame Supercookie

Supercookies: un nuevo palabro para una nueva forma hacer seguimiento a usuarios de móviles.

Derivado de las ya famosas cookies de seguimiento. Estas han sido y son utilizadas para múltiples propósitos: recordar que un usuario está logeado en una web, personalizar el aspecto de la página visitada por las preferencias de usuario, identificar temas de interes del usuario dentro de la web, etc...

Aunque, ¿a quién le interesa personalizar el aspecto de una web gracias a una cookie pudiendo mejor utilizarla para hacer dinero?

Desde el punto de vista de un anunciante, presentarle a un usuario publicidad orientada a sus gustos, intereses o preocupaciones siempre es más rentable que esparcir publicidad a lo loco a todos los navegantes. Estos gustos e intereses suelen extraerse de multitud de fuentes como redes sociales, encuestas, plataformas de firma por una causa noble (change.org o similares), etc. Pero de donde más suelen sacarse es de las llamadas cookies de terceros o tracking cookies.

La desventaja de estas cookies desde el punto de vista de un anunciante es que se guardan en la parte cliente, es decir, en el ordenador del usuario, teniendo este el control, en mayor o menor medida (véase Evercookie) para eliminarlas y frenar el seguimiento por parte de los anunciantes.

Pero como es normal, hecha la ley, hecha la trampa y ahora entran en juego también los ISP que dan acceso a tu móvil o pincho a Internet. Una investigación realizada por Deji OlukotunGustaf BjörkstenPeter Micek ha demostrado que algunos proveedores de Internet están inyectando cabeceras a las conexiones HTTP (no HTTPS) con un identificador del usuario de la conexión. Esto permitiría al servidor de destino identificar un usuario, independientemente de que este haya borrado previamente las cookies en su ordenador, ya que estas cabeceras son inyectadas por el camino por parte del ISP y en ningún momento están a disposición del usuario móvil.

Un resumen de como funcionan se puede observar en el paper disponible en http://amibeingtracked.com:



Para comprobar si tu ISP está inyectando cabeceras de seguimiento o supercookies en tu conexión móvil, tan solo tienes que visitar su web http://amibeingtracked.com con una conexión 3G, 4G o LTE y darle al boton de "Test Now". Te dirá si estás siendo seguido por tu ISP o no.



<autobombo mode="on">
Si quieres más información a parte de un SÍ o NO estás siendo seguido, puedes visitar http://felmoltor.info/supercookies con tu móvil y te dirá a través de qué cabeceras te está haciendo el seguimiento tu ISP:




No olvides guardar los resultados pulsando el botón "Almacenar Información de Seguimiento". Si guardas esta información nos será útil para analizar qué ISPs españoles están haciendo este seguimiento y solicitarles justificación de esta práctica ilegal (utilizar cookies de seguimiento sin el consentimiento ni conocimiento del usuario). 
</autobombo>

Editado 11/09/2015: Hay indicios de que ayer día 10/09/2015, Telefónica desactivó sus cabeceras de seguimiento "TM_user-id"y "x-up-subno". 


0 comentarios:

Publicar un comentario