Super Cookies, un problema de privacidad

El 2 pasado de enero un investigador llamado Sam Greenhalg publicaba la demostración de cómo los sitios de Internet pueden saltarse las configuraciones de privacidad de los navegadores para seguir rastreando la actividad del usuario. Para ello utilizan las llamadas Super Cookies.

Ayer mismo publicaba una actualización a su trabajo en la que afirma que Mozilla Firefox en su última versión estable hasta la fecha, la 34.0.5, ha conseguido subsanar el problema y ya no persiste en el modo Privado de navegación.

De igual manera tampoco es vulnerable Internet Explorer por un sencillo motivo: las versiones actuales del navegador no soportan HSTS, que es el causante.

Pero por ahora, no hay noticia de que Chrome haya dejado de ser vulnerable a las Super Cookies, igual que lo es Safari. Los desarrolladores de Chromium están discutiendo cómo solucionar el problema, que no se antoja sencillo.

Las cookies, un eterno problema de privacidad

Las cookies son información que envía un sitio web y almacena el navegador del usuario que lo visita, de forma que el sitio web conoce la actividad privada del usuario con dos fines: llevar un control de usuarios y conocer información sobre los hábitos de navegación.

Como hay quien las considera una intromisión en la privacidad, durante mucho tiempo, navegadores como Chrome y Firefox han ofrecido al usuario la posibilidad de ser configurados para no almacenarlas, así como el historial o los archivos temporales. También ofrecen la navegación en modo Privado o de Incógnito.

A prueba de navegación privada

Y aquí es donde entran las Super Cookies que utilizan flags (bits que se utilizan para almacenar un valor binario, que forma parte de una estructura de datos y cuyo valor se define en relación a esta estructura de la que forma parte) de la especificación HSTS, que se utiliza en navegación para almacenar identificadores que permitan reconocer al usuario que navegue.

Hasta ahora, muchos navegadores como Chrome (y hasta hace nada Firefox) han venido utilizando HSTS con el que una web puede indicar a un navegador que siempre que se acceda a ella debe hacerlo utilizando el protocolo HTTPS en vez de HTTP. Para conseguirlo el servidor web contesta al cliente con flags que pueden hacer recordar al navegador la configuración, y éste siempre utilizará el protocolo HTTPS para esa web.

Esos flags pueden almacenar un identificador único, que puede ser leído desde cualquier pestaña y navegación, así que no importa si se hace en modo Privado.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?