482 de los sitios web más populares registran cada pulsación de teclado realizada por sus usuarios

¿Hasta qué punto es Internet confiable en términos de privacidad? Cada vez son más las voces que predican el “si quieres privacidad, no estés en Internet”, y viendo lo que se ha dado a conocer el día de ayer, dichas personas van a tener aparentemente más razón que nunca.

En la actualidad en Internet hay muchos rastreadores con los cuales se pueden hacer fácilmente un perfil bastante preciso sobre el usuario, pudiendo hasta abarcar distintas áreas de su vida. Lo más destacado que apreciarán los usuarios es ver la misma publicidad en muchos sitio web que abarcan temas dispares, lo que a veces puede terminar dando una sensación inquietante. Lejos de ser algo trivial, el rastreo de los usuarios se ha convertido en uno de los puntales de un negocio muy consolidado, por lo que las técnicas en esta área han llegado a desarrollarse hasta extremos insospechados.

Si los canvas (lienzos) de HTML5 resultan impactantes en términos de privacidad, también lo es lo destapado por el Centro de Política de Tecnología de la información de Princenton, que ha descubierto como un tercio de los scripts de terceros ejecutados en muchos de los sitios web más populares del mundo se dedican a registrar cada pulsación de teclado realizada por el usuario. Esto quiere decir que, independientemente de que se termine de tramitar el formulario o la búsqueda, el sitio web registra todo lo que ha escrito el usuario. Facebook fue pillada registrando lo que escribían sus usuarios para cambiar su estado, haciendo esto incluso cuando los mensajes no acababan publicados.

Esta actividad de registrar las pulsaciones de teclado de los usuarios se realiza con códigos JavaScript llamados session replay (repetición de sesión), que son usados por las empresas para saber cómo usan los clientes sus sitios web. Por lo general los datos obtenidos no se suelen agregar a las estadísticas generales y son capaces de reproducir sesiones de navegación. Aunque se tiene cuidado de no colocarlos en todas las páginas web, a veces se pueden encontrar en algunas en las que se introducen datos sensibles como las contraseñas y los bancarios.

Sin embargo, a pesar de que se intenta evitar el registro de datos sensibles, algunos session replay no realizan su actividad de forma anónima, suministrado datos como el nombre del usuario u otros que pueden revelar su identidad real, como el email. Estos scripts son utilizadas por al menos 482 de los 50.000 sitios web más visitados según el ránking Alexa, entre los cuales están Bonobos.com, Wallgreens.com y Fidelity.com. Algunos de sus desarrolladores son FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar y Yandex.

Bonobos y Fidelity, tras la publicación de los expertos de Pinceton, han decidido dejar de utilizar los scripts de session replay para proteger a los clientes, aunque obviamente aquí también hay una maniobra para salvaguardar la imagen corporativa.

Los expertos de Princeton van más allá y se muestran preocupados sobre el hecho de que estos componentes puedan ser usados por hackers y actores maliciosos para obtener datos sensibles. Por ejemplo se podría realizar un ataque man-in-the-middle para alterar los contenidos que llegan al cliente web (el navegador web usado por el usuario) inyectándole scripts de session replay que registrarían toda la actividad realizada en las páginas web. Aquí el no usar HTTPS es un factor importante a favor de los hackers.

Tras destaparse esto, algunas empresas como Yandex y SessionCam han salido al paso para defenderse. La primera ha comentado que intenta potenciar el uso de HTTPS en la medida de lo que puede, mientras que la segunda ha argumentado que la privacidad y la seguridad son importantes para ella y que “mejorar la experiencia de usuario es una tarea crítica para los publicistas.”

Lo descubierto por los expertos de Princeton es algo técnicamente posible desde hace mucho tiempo, pero el hecho de que empresas supuestamente serias hayan decidido implementar mecanismos como session replay termina siendo preocupante. El usuario no solo tendrá que tener cuidado con lo que publica, sino también con lo que escribe sobre las interfaz de un sitio web.

Fuente: Motherboard