stringtranslate.com

siemprecookie

Presentación de la NSA 'Tor apesta'

Evercookie (también conocida como supercookie [1] ) es una interfaz de programación de aplicaciones (API) JavaScript que identifica y reproduce cookies eliminadas intencionalmente en el almacenamiento del navegador de los clientes. [2] Fue creado por Samy Kamkar en 2010 para demostrar la posible infiltración de los sitios web que utilizan la reaparición. [3] Los sitios web que han adoptado este mecanismo pueden identificar a los usuarios incluso si intentan eliminar las cookies previamente almacenadas. [4]

En 2013, Edward Snowden filtró un documento ultrasecreto de la NSA que mostraba que Evercookie puede rastrear a los usuarios de Tor (redes de anonimato). [5] Muchas empresas populares utilizan una funcionalidad similar a Evercookie para recopilar información del usuario y realizar un seguimiento de los usuarios. [1] [6] Investigaciones adicionales sobre huellas dactilares y motores de búsqueda también se inspiran en la capacidad de Evercookie para rastrear a un usuario de manera persistente. [4] [5] [7]

Fondo

Hay tres tipos de almacenamiento de datos de uso común, incluidas las cookies HTTP, las cookies flash, el almacenamiento HTML5 y otros. [1] [8] Cuando el usuario visita un sitio web por primera vez, el servidor web puede generar un identificador único y almacenarlo en el navegador o espacio local del usuario. [9] El sitio web puede leer e identificar al usuario en sus futuras visitas con el identificador almacenado, y el sitio web puede guardar las preferencias del usuario y mostrar anuncios de marketing. [9] Debido a preocupaciones de privacidad, todos los principales navegadores incluyen mecanismos para eliminar y/o rechazar cookies de sitios web. [9] [10]

En respuesta a la creciente falta de voluntad de los usuarios para aceptar cookies, muchos sitios web emplean métodos para evitar la eliminación de cookies por parte de los usuarios. [11] A partir de 2009, muchos equipos de investigación descubrieron que sitios web populares utilizaban cookies flash, ETags y otros tipos de almacenamiento de datos para reconstruir las cookies eliminadas por los usuarios, incluidos hulu.com, foxnews.com, spotify.com, etc. [12] [13] [14] En 2010, Samy Kamkar , un programador californiano, creó un proyecto Evercookie para ilustrar aún más el mecanismo de seguimiento con reaparición a través de varios mecanismos de almacenamiento en los navegadores. [3]

Descripción

Evercookie permite a los autores de sitios web identificar a los usuarios incluso después de que dichos usuarios hayan intentado eliminar las cookies. [15] Samy Kamkar lanzó la versión 0.4 beta de evercookie el 13 de septiembre de 2010, como un proyecto de código abierto . [16] [17] [18] Evercookie es capaz de reaparecer cookies HTTP eliminadas almacenándolas en múltiples sistemas de almacenamiento diferentes que normalmente exponen los navegadores web. [16] Cuando un navegador visita un sitio web con la API Evercookie en su servidor, el servidor web puede generar un identificador y almacenarlo en varios mecanismos de almacenamiento disponibles en ese navegador. [2] Si el usuario elimina algunos, pero no todos , los identificadores almacenados en el navegador y vuelve a visitar el sitio web, el servidor web recupera el identificador de las áreas de almacenamiento que el usuario no pudo eliminar. [16] Luego, el servidor web copiará y restaurará este identificador en las áreas de almacenamiento previamente borradas. [19]

Al abusar de los diversos mecanismos de almacenamiento disponibles, Evercookie crea identificadores de datos persistentes, porque es poco probable que los usuarios borre todos los mecanismos de almacenamiento. [20] De la lista proporcionada por Samy Kamkar, [16] Se podrían utilizar 17 mecanismos de almacenamiento para Evercookie v0.4 beta cuando estén disponibles en los navegadores:

Samy Kamkar afirma que no tenía la intención de utilizar el proyecto Evercookie para violar la privacidad de los usuarios de Internet ni venderlo a ninguna parte para uso comercial. Sin embargo, ha servido de inspiración para otros sitios web comerciales que luego implementaron mecanismos similares para restaurar las cookies eliminadas por los usuarios. [ cita necesaria ] El proyecto Evercookie es de código abierto, lo que significa que todos pueden acceder y examinar el código, o utilizar el código para cualquier propósito. El proyecto incorpora HTML5 como uno de los mecanismos de almacenamiento, que se lanzó 6 meses antes del proyecto y atrajo la atención del público debido a su mayor persistencia. Kamkar deseaba que su proyecto pudiera demostrar cómo las herramientas de seguimiento contemporáneas pueden infiltrarse en la privacidad de los usuarios. [21] En 2010, una forma de evitar la reaparición de Evercookie era un complemento del navegador Firefox llamado "Anonymizer Nevercookie™". [22]

Los mecanismos de almacenamiento incorporados en el proyecto Evercookie se actualizan constantemente, lo que aumenta la persistencia de Evercookie. Como incorpora muchos métodos de seguimiento existentes, Evercookie proporciona una herramienta avanzada de seguimiento de datos que reduce la redundancia de los métodos de recopilación de datos de muchos sitios web comerciales. [23] [24] Un número cada vez mayor de sitios web comerciales utilizó la idea de Evercookie y la complementó incorporando nuevos vectores de almacenamiento. En 2014, un equipo de investigación de la Universidad de Princeton llevó a cabo un estudio a gran escala de tres herramientas de seguimiento persistente: Evercookie, huellas dactilares de lienzo y sincronización de cookies. El equipo rastreó y analizó los 100.000 sitios web principales de Alexa y detectó un nuevo vector de almacenamiento, IndexedDB, que está incorporado en un mecanismo Evercookie y utilizado por weibo.com. El equipo afirmó que esta es la primera detección de uso comercial de IndexedDB. [12] Además, los investigadores descubrieron que la sincronización de cookies se utiliza junto con Evercookie. La sincronización de cookies permite compartir datos entre diferentes mecanismos de almacenamiento, lo que facilita el proceso de reaparición de Evercookie en diferentes ubicaciones de almacenamiento en los navegadores de los usuarios. El equipo también descubrió casos en los que las cookies Flash reaparecían las cookies HTTP y las cookies HTTP reaparecían las cookies flash en los sitios web comerciales. Estos dos mecanismos se diferencian del proyecto Evercookie en cuanto al número de mecanismos de almacenamiento empleados, pero siguen el mismo principio. Entre los sitios que rastreó el equipo de investigación, 10 de 200 sitios web utilizaron cookies flash para reconstruir cookies HTTP. Nueve de los sitios observados pertenecían a China (incluidos sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com y tudo.com). El otro sitio web identificado fue yandex.ru, uno de los principales motores de búsqueda de Rusia. [ cita necesaria ]

Aplicaciones

Un equipo de investigación de la Universidad Tecnológica de Eslovaquia propuso un mecanismo para que los motores de búsqueda infieran las palabras de búsqueda deseadas por los usuarios de Internet y produzcan resultados de búsqueda personalizados. A menudo, las consultas de los internautas contienen múltiples significados y abarcan diferentes campos. Como resultado, los resultados de búsqueda mostrados por el motor de búsqueda contienen multitud de información, mucha de la cual no está relacionada con el buscador. Los autores propusieron que la identidad de los buscadores y las preferencias del usuario tienen una fuerte indicación sobre el significado de las consultas y pueden reducir en gran medida la ambigüedad de la palabra de búsqueda. El equipo de investigación creó un modelo basado en metadatos para extraer información de los usuarios con evercookie e integraron este modelo de interés del usuario en el motor de búsqueda para mejorar la personalización del resultado de la búsqueda. El equipo era consciente de que los sujetos del experimento pueden eliminar fácilmente las cookies tradicionales, lo que da lugar a datos del experimento incompletos. Luego, el equipo de investigación utilizó la persistencia de evercookie. [4]

Aplicaciones controvertidas

Demanda de privacidad de KISSMetrics

El viernes 29 de julio de 2011, un equipo de investigación de la Universidad de California en Berkeley rastreó los 100 sitios web principales de EE. UU. basándose en QuantCast. El equipo encontró KISSmetrics, un sitio web de terceros que proporciona herramientas analíticas de marketing, utilizó cookies HTTP, cookies Flash, ETags y algunos, pero no todos, mecanismos de almacenamiento empleados en el proyecto Evercookie de Samy Kamkar para reaparecer la información eliminada del usuario. [1] Otros sitios web populares, como hulu.com y spotify.com, emplearon KISSmetrics para reaparecer cookies propias HTML5 y HTTP. El equipo de investigación afirmó que esta era la primera vez que se observaba el uso de Etag en entornos comerciales. [14]

El mismo día de la publicación del informe, Hulu y Spotify anunciaron la suspensión del uso de KISSmetrics para una mayor investigación. [25] Dos consumidores demandaron a KISSmetrics por su violación de la privacidad del usuario. [26] KISSMetrics revisó sus políticas de privacidad durante el fin de semana, indicando que la compañía había respetado plenamente la voluntad de los clientes si decidían no ser rastreados. El 4 de agosto de 2011, el director ejecutivo de KISSmetrics, Hiten Shah, negó la implementación de Evercookie y otros mecanismos de seguimiento mencionados en el informe por parte de KISSmetrics, y afirmó que la empresa solo utilizaba rastreadores de cookies propios legítimos. [1] El 19 de octubre de 2012, KISSmetrics acordó pagar más de 500.000 dólares para resolver la acusación y prometió abstenerse de utilizar Evercookie. [27] [28]

Seguimiento Tor de la NSA

En 2013, Edward Snowden reveló una presentación interna de la Agencia de Seguridad Nacional ( NSA ), sugiriendo el uso de Evercookie en la vigilancia gubernamental para rastrear a los usuarios de Tor. [5] [29] El Blog TOR respondió a este documento filtrado en una publicación, asegurando que el sistema operativo TOR Browser Bundles y Tails proporciona fuertes protecciones contra evercookie. [30] [31]

Actitudes del público hacia el seguimiento de datos.

Evercookie, y muchas otras nuevas tecnologías que han surgido en el seguimiento persistente de datos, es una respuesta a la tendencia de los usuarios de Internet de eliminar el almacenamiento de cookies. En este sistema de intercambio de información, algunos consumidores creen que se les compensa con una mayor información de personalización o, a veces, incluso con una compensación financiera por parte de las empresas relacionadas. [32] Sin embargo, investigaciones recientes relacionadas muestran una brecha entre las expectativas del consumidor y las de los especialistas en marketing. [33] Una encuesta del Wall Street Journal mostró que el 72% se sintió ofendido cuando vio anuncios dirigidos mientras navegaba por Internet. Otra encuesta mostró que el 66% de los estadounidenses se sentían negativos acerca de cómo los especialistas en marketing rastrean sus datos para generar información individualizada. En otra encuesta, el 52% de los encuestados dijeron que les gustaría desactivar la publicidad comportamental. [34] Sin embargo, el seguimiento de datos persiste. [35] [36]

Ver también

Referencias

  1. ^ abcdef Bujlow, Tomasz; Carela-Español, Valentín; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). "Una encuesta sobre seguimiento web: mecanismos, implicaciones y defensas". Actas del IEEE . 105 (8): 1476-1510. doi :10.1109/jproc.2016.2637878. hdl : 2117/108437 . ISSN  0018-9219. S2CID  2662250.
  2. ^ ab Acar, Gunes; Eubank, cristiano; Englehardt, Steven; Juárez, Marc; Narayanan, Arvind; Díaz, Claudia (2014). "La Web nunca olvida". Actas de la Conferencia ACM SIGSAC 2014 sobre seguridad informática y de las comunicaciones . Nueva York, Nueva York, Estados Unidos: ACM Press. págs. 674–689. doi :10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID  8127620.
  3. ^ ab Bashir, Muhammad Ahmad; Wilson, Christo (1 de octubre de 2018). "Difusión de datos de seguimiento de usuarios en el ecosistema de publicidad online". Procedimientos sobre tecnologías de mejora de la privacidad . 2018 (4): 85-103. doi : 10.1515/popets-2018-0033 . ISSN  2299-0984. S2CID  52088002.
  4. ^ abc Kramár, Tomáš; Barla, Míchal; Bieliková, María (1 de febrero de 2013). "Personalizar la búsqueda utilizando un modelo de interés socialmente mejorado, creado a partir del flujo de actividad del usuario". Revista de ingeniería web . 12 (1–2): 65–92. ISSN  1540-9589.
  5. ^ abc Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). "Análisis de información de huellas dactilares de Big Data para la sostenibilidad". Sistemas informáticos de generación futura . 86 : 1321-1337. doi : 10.1016/j.future.2017.12.061. ISSN  0167-739X. S2CID  49646910.
  6. ^ Koop, Martín; Tews, Erik; Katzenbeisser, Stefan (1 de octubre de 2020). "Evaluación en profundidad del seguimiento de redireccionamiento y uso de enlaces". Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (4): 394–413. doi : 10.2478/popets-2020-0079 . ISSN  2299-0984.
  7. ^ Al-Fannah, Nasser Mohammed; Mitchell, Chris (7 de enero de 2020). "Demasiado poco y demasiado tarde: ¿podemos controlar las huellas digitales del navegador?". Revista de Capital Intelectual . 21 (2): 165–180. doi :10.1108/jic-04-2019-0067. ISSN  1469-1930. S2CID  212957853.
  8. ^ Zhiju, Yang; Chuan, Yue (1 de abril de 2020). "Un estudio de medición comparativa del seguimiento web en entornos móviles y de escritorio". Procedimientos sobre tecnologías de mejora de la privacidad . Consultado el 11 de diciembre de 2020 .
  9. ^ a b C Yue, Chuan; Xie, Mengjun; Wang, Haining (septiembre de 2010). "Un sistema automático de gestión de cookies HTTP". Red de computadoras . 54 (13): 2182–2198. doi : 10.1016/j.comnet.2010.03.006. ISSN  1389-1286.
  10. ^ fouad, Imane; Bielova, Nataliia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (1 de abril de 2020). "Perdido en las listas de filtros: detección de rastreadores de terceros desconocidos con píxeles invisibles". Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (2): 499–518. arXiv : 1812.01514 . doi : 10.2478/popets-2020-0038 . ISSN  2299-0984.
  11. ^ Cocinero, Juan; Nithyanand, Rishab; Shafiq, Zubair (1 de enero de 2020). "Inferir las relaciones rastreador-anunciante en el ecosistema de publicidad online mediante ofertas de encabezado". Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (1): 65–82. arXiv : 1907.07275 . doi : 10.2478/popets-2020-0005 . ISSN  2299-0984.
  12. ^ ab Acar, Gunes; Eubank, cristiano; Englehardt, Steven; Juárez, Marc; Narayanan, Arvind; Díaz, Claudia (2014). "La Web nunca olvida". Actas de la Conferencia ACM SIGSAC 2014 sobre seguridad informática y de las comunicaciones . Scottsdale, Arizona, Estados Unidos: ACM Press. págs. 674–689. doi :10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID  8127620.
  13. ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quintín; Thomas, Lauren; Hoofnagle, Chris Jay (10 de agosto de 2009). "Cookies Flash y Privacidad". Rochester, Nueva York. doi :10.2139/ssrn.1446862. S2CID  6414306. SSRN  1446862. {{cite journal}}: Citar diario requiere |journal=( ayuda )
  14. ^ ab Ayenson, Mika D.; Wambach, Dietrich James; Soltani, Ashkan; Bien, Natán; Hoofnagle, Chris Jay (29 de julio de 2011). "Cookies Flash y privacidad II: ahora con HTML5 y reaparición de ETag". Rochester, Nueva York. doi :10.2139/ssrn.1898390. SSRN  1898390. {{cite journal}}: Citar diario requiere |journal=( ayuda )
  15. ^ Andrés, José Ángel González (1 de julio de 2011). "Denegación de identidad en Internet". Inteligencia y Seguridad . 2011 (10): 75-101. doi :10.5211/iys.10.article6. ISSN  1887-293X.
  16. ^ abcd "Samy Kamkar - Evercookie".
  17. ^ "Código fuente de todas las cookies". GitHub . 2010-10-13 . Consultado el 28 de octubre de 2010 .
  18. ^ "Schneier sobre seguridad: Evercookies". 23 de septiembre de 2010 . Consultado el 28 de octubre de 2010 .
  19. ^ "Abordar los ataques de secuencias de comandos entre sitios (XSS) en el ciberespacio", Protección de sistemas ciberfísicos , CRC Press, págs. 350–367, 6 de octubre de 2015, doi :10.1201/b19311-18, ISBN 978-0-429-09104-9, recuperado el 11 de diciembre de 2020
  20. ^ "Es posible matar la evercookie". 2010-10-27.
  21. ^ Vega, Tanzina (11 de octubre de 2010). "El nuevo código web genera preocupación por los riesgos de privacidad (publicado en 2010)". Los New York Times . ISSN  0362-4331 . Consultado el 6 de diciembre de 2020 .
  22. ^ Lennon, Mike (10 de noviembre de 2010). "Nevercookie se come a Evercookie con el nuevo complemento de Firefox" . Consultado el 25 de julio de 2022 .
  23. ^ Nielsen, Janne (2 de octubre de 2019). "Experimentar con métodos computacionales para estudios a gran escala de tecnologías de seguimiento en archivos web". Historias de Internet . 3 (3–4): 293–315. doi :10.1080/24701475.2019.1671074. ISSN  2470-1475. S2CID  208121899.
  24. ^ Samarasinghe, Nayanamana; Mannan, Mohammad (noviembre de 2019). "Hacia una perspectiva global del seguimiento web". Computadoras y seguridad . 87 : 101569. doi : 10.1016/j.cose.2019.101569. ISSN  0167-4048. S2CID  199582679.
  25. ^ "Los investigadores llaman a los sitios web para rastrear a los usuarios mediante tácticas sigilosas". Ley de Berkeley . 10 de agosto de 2011 . Consultado el 6 de diciembre de 2020 .
  26. ^ "KISSmetrics y Hulu demandados por nueva tecnología de seguimiento". www.mediapost.com . Consultado el 6 de diciembre de 2020 .
  27. ^ "KISSmetrics resuelve la demanda sobre supercookies". www.mediapost.com . Consultado el 6 de diciembre de 2020 .
  28. ^ Drury, Alexandra (2012). "Cómo se rastrea y utiliza la identidad de los usuarios de Internet". Revista Tulane de tecnología y propiedad intelectual . 15 . ISSN  2169-4567.
  29. ^ "Tor apesta" (PDF) . edwardsnowden.com .
  30. ^ "TOR atacado, posiblemente por la NSA". Seguridad de la red . 2013 (8): 1–2. Agosto de 2013. doi :10.1016/s1353-4858(13)70086-2. ISSN  1353-4858.
  31. ^ Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (3 de abril de 2018). "Seguimiento del flujo de clics de los usuarios de TOR: puede ser más fácil de lo que cree". Revista de tecnología de seguridad cibernética . 2 (2): 92-108. doi :10.1080/23742917.2018.1518060. ISSN  2374-2917. S2CID  169615236.
  32. ^ Martín, Kelly D.; Murphy, Patrick E. (22 de septiembre de 2016). "El papel de la privacidad de los datos en el marketing". Revista de la Academia de Ciencias del Marketing . 45 (2): 135-155. doi :10.1007/s11747-016-0495-4. ISSN  0092-0703. S2CID  168554897.
  33. ^ Chen, G.; Cox, JH; Uluagac, AS; Copeland, JA (tercer trimestre de 2016). "Encuesta en profundidad sobre tecnologías de publicidad digital". Encuestas y tutoriales sobre comunicaciones del IEEE . 18 (3): 2124–2148. doi :10.1109/COMST.2016.2519912. ISSN  1553-877X. S2CID  32263374.
  34. ^ Korolova, A. (diciembre de 2010). "Violaciones de privacidad mediante anuncios microdirigidos: un estudio de caso". 2010 Conferencia internacional IEEE sobre talleres de minería de datos. págs. 474–482. doi :10.1109/ICDMW.2010.137. ISBN 978-1-4244-9244-2. S2CID  206785467.
  35. ^ Mellet, Kevin; Beauvisage, Thomas (2 de septiembre de 2019). "Monstruos de las galletas. Anatomía de una infraestructura de mercado digital". Mercados de consumo y cultura . 23 (2): 110-129. doi :10.1080/10253866.2019.1661246. ISSN  1025-3866. S2CID  203058303.
  36. ^ Raley, Rita (2013), "Vigilancia de datos y compensación", "Raw Data" es un oxímoron , The MIT Press, págs. 121-146, doi :10.7551/mitpress/9302.003.0009, ISBN 978-0-262-31232-5, S2CID  199828237 , consultado el 11 de diciembre de 2020