Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

El tracking sin cookies, un riesgo para tu privacidad

Todos sabemos lo que es una cookie. O, al menos deberíamos.

La definición de la LSSI (y, por extensión de la AEPD) es “cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación”.

Es una definición un tanto extraña, pues asemeja archivos a dispositivos y no deja demasiado claro lo que realmente es. Obviamente, en el texto de una ley no se pueden poner ejemplos, pero seguramente con uno, lo entendamos bastante mejor:

Supongamos que visitamos una web cualquiera. En el momento que hacemos una petición http (tecleamos una dirección web o hacemos clic en un enlace), la página de destino graba en nuestro navegador (en un alojamiento concreto del navegador) una cookie; es decir, un pequeño archivo que simplemente dice que hemos estado allí (la cookie registra datos que, por sí mismos, no permiten la identificación inequívoca de un usuario). Si más adelante volvemos a esa misma página web, lo primero que sucederá es que consultará si nuestro ordenador tiene la cookie que registra que ya habíamos estado allí.

Ese es el comportamiento de una cookie sencilla utilizada con meros efectos estadísticos (como pueden ser las instaladas desde mi web).

Sin embargo, no todo es tan sencillo ni tan fácil. Las webs cada vez instalan más cookies y estas cada vez recogen más datos, de manera que, de la integración de todos esos datos recopilados pueden obtenerse perfiles que definan, prácticamente de manera inequívoca, quienes somos: patrones de navegación, IP, comportamientos online, hábitos de uso, etc, etc…

Esto no tiene por qué ser necesariamente algo negativo. Al contrario, incluso puede ser beneficioso ya que es la manera de que se nos puedan ofrecer contenidos realmente relevantes para nosotros. Un debate distinto es que por nuestra personalidad nos guste mucho variar, ya que nos será difícil encontrar contenidos diversos a lo que nuestros hábitos dicen sobre nosotros, sobre nuestro perfil online.

Hay que puntualizar que las cookies, en principio (luego veremos) solo pueden ser leídas desde el dominio que las creó.

Sin embargo, dicha información es habitualmente compartida con otros sitios web distintos al que la instaló inicialmente. Al integrar información de gran cantidad de dominios y de fuentes de lo más diversas es cuando se pueden perfilar gustos, afinidades y tendencias de los usuarios, así como -potencialmente- identificarles.

seguimiento y tracking sin cookies privacidadSi esa compartición de datos se hace, además, sin consentimiento expreso e inequívoco por parte del usuario, se estará violando su privacidad, con las consecuencias legales correspondientes.

La cuestión que analizamos hoy es que, aunque la LSSI hable “en genérico” de cualquier tipo de archivo o dispositivo, hoy en día se utilizan diversas formas de rastreo que parecen quedar en un limbo legal de indefinición, con lo que se están utilizando de un modo un tanto oscuro, sin los avisos preceptivos y, por lo tanto, sin nuestro conocimiento y consentimiento explícito e informado.

Veamos alguna de ellas:

Canvas Fingerprinting

Aunque pueda resultar novedoso es una técnica que se presentó hace unos años ya (2012: 6 años en informática son un mundo).

Es un método que aprovecha una instrucción de html5  (canvas) que se utiliza para dibujar gráficos y animaciones en una página web mediante Javascript. Se basa en el hecho de que la misma imagen canvas se renderiza de manera diferente en cada ordenador.

Esto es así porque la imagen generada por la instrucción canvas, aunque pueda parecer consistente e igual en todos los navegadores y pantallas, no es así. Depende de múltiples variables: desde, por supuesto, el navegador utilizado, las fuentes instaladas en el sistema, el brillo de la pantalla, cualquier ajuste que afecte a la visualización, anti-aliasing, … todo ello hace que una mínima variación en cualquiera de esas variables, modifique el resultado de los metadatos obtenidos.

Lo que conseguimos, por tanto, con esa instrucción, es una huella (fingerprint) que identifica de manera única nuestro navegador. Podéis hacer una prueba, si queréis, en https://amiunique.org. Según esta web la huella de mi navegador (y lo demuestra) es única entre 592838 muestras en el momento de escribir el artículo.

Esta es una técnica, además, absolutamente imperceptible para el usuario.

He preparado una pequeña demo para que veáis cómo funciona. Se trata de unas pocas líneas de código que ejecutan una instrucción canvas en tu navegador. En este caso, obvio, lo veréis porque quiero mostrároslo. Pero basta con hacerlo en transparente para que ningún usuario se percate de que se le ha grabado la huella exclusiva de su navegador.

Haz click aquí. No va a pasar nada. Simplemente es para que veas cómo funciona.

Si haces click desde otro navegador, desde el móvil o desde otro ordenador, el resultado será distinto.

Por sí mismo, es un dato que parece no servir para nada, claro. Pero si empresas como AddThis, presente en el 97,2% de las webs de EEUU, utilizan esta técnica… Imaginaos la potencia que tiene!

Y todo ello sin necesidad de instalar nada en tu navegador ni leer ninguna cookie.

Y, ¿qué hacemos?

Pues poco se puede hacer de momento, la verdad. Al menos, poco sin que tenga consecuencias en nuestra navegación.

No hay nada que configurar, ni que borrar, ni nada que aceptar porque no se almacena nada en nuestro navegador. Es una instrucción del lenguaje que utiliza, con lo que lo único que podemos hacer es bloquearlo.

El único modo efectivo es desactivar Javascript, pero tendría resultados catastróficos: la gran mayoría de las webs mundiales utilizan instrucciones en este lenguaje. Desactivarlo entonces no es la opción.

Hay bloqueadores que están trabajando en ello, aunque de momento sin resultados lo suficientemente válidos. Incluso Firefox habla de que en su versión 58 vendrá deshabilitado por defecto. De momento, en la 57, que es la última disponible, sigue pudiéndose ejecutar sin problemas.

Pixel tracking (o web beacon)

Es otro modo de seguimiento que se suele utilizar y del que, habitualmente estamos poco informados. Aunque no es exclusivo suyo, ni mucho menos, Facebook es una de las empresas que más lo utilizan.

Es un sistema que puede utilizarse tanto en web como en correos electrónicos. Se trata de insertar una imagen transparente de 1×1 pixels en la web que se sirve a un usuario en la que se referencia por html o Javascript la web del anunciante de manera que pueda leer las cookies del navegador del usuario u otros datos (puede hacerse por php, aunque es más “rudimentario”).

Técnicamente no instala nada en tu navegador con lo que vuelve a estar un poco en el “limbo legal”. No son, por tanto, cookies en el sentido estricto del término, aunque se sirve de ellas.

Y, ni que decir tiene que, utilizado por Facebook, identifica ya no de manera única a los usuarios, sino incluso con nombre, apellidos, números de teléfono, mail, etc… al cruzar los datos almacenados en las cookies del navegador con los suyos propios.

En el caso de Facebook indica claramente que, y cito textualmente, si utilizas este sistema de seguimiento de conversiones deberás de obtener el consentimiento de tus usuarios tras colocar un enlace claro y visible en cada página web donde se coloquen píxeles generados por Facebook para esas funciones.

¿Habéis visto alguna página web que te avise claramente de que utiliza pixel tracking de Facebook?. Yo, sinceramente, no. Nunca. De hecho incluso informamos hace no demasiado a un cliente específicamente sobre este tema a su requerimiento y ni siquiera en este caso he conseguido ver cumplida la obligatoria información.

Evercookies, o cookies persistentes

Las cookies normales son muy fáciles de bloquear y/o eliminar. Todas las políticas de cookies indican (o deberían) el modo en que puedes hacerlo en función del navegador que estés utilizando.

Sin embargo, hay un nuevo tipo de cookies que son muy difícilmente eliminables. Incluso parece que se regeneran al aparecer nuevamente tras haberlas borrado.

La explicación es muy sencilla: los desarrolladores se las han ingeniado para encontrar alojamientos cada vez más recónditos para almacenar sus cookies de modo que una limpieza normal de cookies no consiga terminar con ellas.

Habitualmente las cookies se guardan en el directorio del navegador dedicado a ello (lo que habitualmente se conoce como el almacén de cookies). Cuando le decimos al navegador que queremos borrar las cookies, lo que hace es borrar ese directorio.

Las cookies persistentes utilizan otras ubicaciones, como pueden ser el almacenamiento local, el de sesión, el espacio websql, la caché del navegador, los textos de searchbox y findbox, el HTTP auth, el estado de SSL, el estado OCSP, las preferencias de contenido específico del sitio (incluido el estado HSTS), las caché de contenido e imágenes, la caché de offline, la clave de navegación segura, el token de geolocalización de Google wifi. . .

Al utilizar múltiples vectores de almacenamiento que son menos transparentes o accesibles para los usuarios, pueden ser mucho más difíciles de eliminar. Las evercookies o cookies persistentes proporcionan un mecanismo de seguimiento extremadamente resistente, y se utilizan por infinidad de webs consiguiendo eludir las acciones explícitas y deliberadas del usuario para conseguir eliminarlas.

Una vez más AddThis utiliza algunas de estas ubicaciones para sus cookies.

Cookie Syncing (sincronización de cookies)

Decía un poco más arriba que una cookie sólo se puede leer desde el dominio que la ha creado. En principio…

Al margen de mediante el Pixel Tracking que ya he comentado que puede leer (y lee) las cookies almacenadas en el navegador (todas), hay mecanismos que permiten que las distintas cookies de distintos dominios puedan ser compartidas por distintas plataformas, toda vez que dichos datos pueden ser transmitidos a terceros.

Esa sincronización, en la que dominios de terceros comparten identificadores de usuario (ID) almacenados en cookies, proporciona el potencial para un seguimiento mucho más eficaz, especialmente cuando se combina con tecnologías como las evercookies.

En primer lugar, los pares de dominios que tienen los mismos ID a través de la sincronización pueden usar estos ID para fusionar su seguimiento. En segundo lugar, las cookies reaparecidas (persistentes) pueden y suelen contener ID que, compartidos ampliamente en esa sincronización, permite a los rastreadores vincular e identificar los historiales de navegación de un usuario antes y después de borrar el estado de navegación.

Si lo representamos como un gráfico, el historial de navegación de un usuario identifica y marca con su ID los sitios visitados. Si el usuario borra sus cookies y reinicia la navegación, los terceros que tengan su mismo ID colocarán y sincronizarán un nuevo conjunto de identificadores y reconstruirán de nuevo su gráfico-historial.

CONCLUSION

Las opciones actuales para los usuarios para mitigar este tipo de seguimiento considerado una potencial amenaza para nuestra privacidad son limitadas, en parte debido a la dificultad de distinguir el seguimiento no deseado del comportamiento normal (por ejemplo en el caso del canvas).

A la larga, un enfoque viable de la privacidad online debe ir más allá de tener que instalar complementos y extensiones de navegador.

La consideración de privacidad desde el diseño deberá innovar. Desde mi punto de vista, será un error si para aceptar o no todo esto nos cargan de avisos en primera capa extensos en los que tengamos que marcar uno o varios checks. Ya tenemos la experiencia con el aviso de primera capa de cookies: molesto y todos lo aceptamos o eliminamos (cuando nos lo permiten) deprisa para finalmente leer lo que queremos. Pocos se han ocupado de acceder a informarse y configurar las cookies.

Deberán diseñarse sistemas de seguimiento novedosos capaces de ser por todos conocidos en base a una clara información desde el diseño, ya que lo contrario supondría que, para querer garantizar un derecho fundamental pongamos puertas a los negocios en internet muy probablemente en contra de lo que la mayor parte de los interesados protegibles desean.

La regulación debería ir encaminada en la línea para tratar de romper esa brecha existente actualmente entre este tipo de prácticas y la norma, que siempre irá por detrás de aquellas.

By | 2018-01-16T11:55:46+00:00 enero 16th, 2018|Blog, Derecho Digital, Internet, LegalWebCompliance|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment