Balizas web

Método para rastrear la visualización de una página web

Una baliza web ^{[nota 1]} es una técnica utilizada en páginas web y correo electrónico para permitir de forma discreta (normalmente de forma invisible) comprobar que un usuario ha accedido a algún contenido. ^[1] Las balizas web suelen ser utilizadas por terceros para supervisar la actividad de los usuarios en un sitio web con el fin de realizar análisis web o etiquetar páginas . ^[2] También se pueden utilizar para el seguimiento de correos electrónicos . ^[3] Cuando se implementan utilizando JavaScript, pueden denominarse etiquetas JavaScript . ^[4] Las balizas web son elementos HTML invisibles que rastrean las visitas a una página web. Cuando el usuario vuelve a visitar la página web, estas balizas se conectan a las cookies establecidas por el servidor, lo que facilita el seguimiento no revelado del usuario. ^[5]

Mediante el uso de estas balizas, las empresas y organizaciones pueden rastrear el comportamiento en línea de los usuarios de la web. Al principio, las empresas que realizaban este seguimiento eran principalmente anunciantes o empresas de análisis web ; más tarde, los sitios de redes sociales también comenzaron a utilizar estas técnicas de seguimiento, por ejemplo, mediante el uso de botones que actúan como balizas de seguimiento.

En 2017, el W3C publicó una especificación candidata para una interfaz que los desarrolladores web pueden usar para crear balizas web. ^[6]

Descripción general

Una baliza web inofensiva incrustada en un correo electrónico

Una baliza web es una de las diversas técnicas que se utilizan para rastrear quién visita una página web . También se pueden utilizar para ver si se leyó o reenvió un correo electrónico o si se copió una página web a otro sitio web. ^[7]

Las primeras balizas web eran pequeños archivos de imagen digital que se incrustaban en una página web o un correo electrónico. La imagen podía ser tan pequeña como un solo píxel (un "píxel de seguimiento") y podía tener el mismo color que el fondo, o ser completamente transparente . ^[8] Cuando un usuario abre la página o el correo electrónico donde está incrustada dicha imagen, es posible que no vea la imagen, pero su navegador web o lector de correo electrónico descarga automáticamente la imagen, lo que requiere que la computadora del usuario envíe una solicitud al servidor de la empresa anfitriona , donde se almacena la imagen de origen. Esta solicitud proporciona información de identificación sobre la computadora, lo que permite al anfitrión realizar un seguimiento del usuario.

Esta técnica básica se ha desarrollado aún más para que se puedan utilizar muchos tipos de elementos como balizas. Actualmente, estos pueden incluir elementos visibles como gráficos, banners o botones , pero también elementos HTML no pictóricos como el marco , el estilo, el script, el enlace de entrada, la incrustación, el objeto, etc., de un correo electrónico o una página web.

La información de identificación proporcionada por el ordenador del usuario incluye típicamente su dirección IP , la hora en la que se realizó la solicitud, el tipo de navegador web o lector de correo electrónico que realizó la solicitud y la existencia de cookies enviadas previamente por el servidor anfitrión. El servidor anfitrión puede almacenar toda esta información y asociarla a un identificador de sesión o token de seguimiento que marca de forma única la interacción.

Uso por parte de empresas

Una vez que una empresa puede identificar a un usuario en particular, puede rastrear el comportamiento de ese usuario a través de múltiples interacciones con diferentes sitios web o servidores web. Como ejemplo, considere una empresa que posee una red de sitios web. Esta empresa podría almacenar todas sus imágenes en un servidor particular, pero almacenar el resto de los contenidos de sus páginas web en una variedad de otros servidores. Por ejemplo, cada servidor podría ser específico para un sitio web determinado e incluso podría estar ubicado en una ciudad diferente. Pero la empresa podría usar balizas web que soliciten datos de su servidor de imágenes para contar y reconocer a los usuarios individuales que visitan diferentes sitios web. En lugar de recopilar estadísticas y administrar cookies para cada servidor de forma independiente, la empresa puede analizar todos estos datos juntos y rastrear el comportamiento de los usuarios individuales en todos los diferentes sitios web, armando un perfil de cada usuario a medida que navega por estos diferentes entornos.

Seguimiento de correo electrónico

Las balizas web integradas en los correos electrónicos tienen mayores implicaciones para la privacidad que las balizas integradas en las páginas web. Mediante el uso de una baliza integrada, el remitente de un correo electrónico (o incluso un tercero) puede registrar el mismo tipo de información que un anunciante en un sitio web, es decir, la hora en que se leyó el correo electrónico, la dirección IP del ordenador que se utilizó para leer el correo electrónico (o la dirección IP del servidor proxy por el que pasó el lector), el tipo de software utilizado para leer el correo electrónico y la existencia de cookies enviadas previamente. De esta forma, el remitente (o un tercero) puede recopilar información detallada sobre cuándo y dónde lee su correo electrónico cada destinatario en particular. Cada vez que se muestre el mensaje de correo electrónico, se puede volver a enviar la misma información al remitente o al tercero.

Los encabezados de correo electrónico de tipo "Return-receipt-to" (RRT) también pueden activar el envío de información y pueden considerarse otra forma de baliza web. ^[9]

Los vendedores de correo electrónico, los spammers y los estafadores utilizan balizas web para verificar que se ha leído un correo electrónico. Con este sistema, pueden enviar correos electrónicos similares a una gran cantidad de direcciones y luego verificar cuáles son válidas. Válido en este caso significa que la dirección está realmente en uso, que el correo electrónico ha pasado los filtros de correo no deseado y que el contenido del correo electrónico realmente se ha visto.

Hasta cierto punto, este tipo de seguimiento de correo electrónico se puede evitar configurando el software de lectura de correo electrónico para evitar el acceso a imágenes remotas.

Una forma de neutralizar este tipo de seguimiento de correo electrónico es desconectarse de Internet después de descargar el correo electrónico pero antes de leer los mensajes descargados (tenga en cuenta que esto supone que se utiliza un lector de correo electrónico que reside en la propia computadora y descarga los correos electrónicos del servidor de correo electrónico a la propia computadora). En ese caso, los mensajes que contienen balizas no podrán activar solicitudes a los servidores host de las balizas y se impedirá el seguimiento. Pero entonces habría que eliminar cualquier mensaje sospechoso de contener balizas o correr el riesgo de que las balizas se activen nuevamente una vez que la computadora se vuelva a conectar a Internet.

Las balizas web también se pueden filtrar a nivel de servidor para que nunca lleguen al usuario final.

API de baliza

La API Beacon ( interfaz de programación de aplicaciones ) es una recomendación candidata del World Wide Web Consortium , la organización de estándares para la web. ^[10] Es una API estandarizada que indica al cliente web que envíe silenciosamente datos de seguimiento al servidor, es decir, sin alertar al usuario y perturbar así su experiencia. ^{[ cita requerida ]}

El uso de esta API Beacon permite el seguimiento y la creación de perfiles de los usuarios sin que el usuario final se dé cuenta, ya que es invisible para ellos, y sin retrasar ni interferir de otro modo con la navegación dentro o fuera del sitio. ^[11] La compatibilidad con la API Beacon se introdujo en el navegador Firefox de Mozilla en febrero de 2014 ^[12] y en el navegador Chrome de Google en noviembre de 2014. ^[13]

Notas

1. También llamado error web, error de seguimiento, etiqueta, etiqueta web, etiqueta de página, píxel de seguimiento, etiqueta de píxel, GIF 1×1 o GIF transparente.

Referencias

1. Stefanie Olsen (2 de enero de 2002). «Un dispositivo de rastreo casi indetectable genera preocupación». CNET News . Archivado desde el original el 7 de noviembre de 2014. Consultado el 23 de mayo de 2019 .
2. Richard M. Smith (11 de noviembre de 1999). "The Web Bug FAQ" (Preguntas frecuentes sobre Web Bug). Archivo de privacidad de EFF.org . Archivado desde el original el 29 de junio de 2012. Consultado el 12 de julio de 2012 .
3. Richard Lowe Jr. y Claudia Arevalo-Lowe. "El rastreador invisible de errores web de correo electrónico recopila información sin permiso". mailsbroadcast.com . Archivado desde el original el 3 de diciembre de 2017. Consultado el 22 de agosto de 2016 .
4. "Negrino, Tom; Smith, Dori. JavaScript para World Wide Web. Pearson Education, 2001. Consultado el 1 de octubre de 2015". Archivado desde el original el 12 de mayo de 2016 . Consultado el 1 de octubre de 2015 .
5. Payton, Anne M. (22 de septiembre de 2006). "Una revisión de las campañas de software espía y estrategias para combatirlas". Actas de la 3.ª conferencia anual sobre desarrollo de planes de estudio de seguridad de la información . InfoSecCD '06. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 136–141. doi :10.1145/1231047.1231077. ISBN 978-1-59593-437-6.
6. Jatinder Mann; Alois Reitbauer (13 de abril de 2017). "Beacon". Recomendación de candidatos del W3C . W3C . Archivado desde el original el 27 de octubre de 2019 . Consultado el 7 de noviembre de 2019 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
7. Bouguettaya, ARA; Eltoweissy, MY (2003). «Privacidad en la Web: hechos, desafíos y soluciones». IEEE Security Privacy . 1 (6): 40–49. doi :10.1109/MSECP.2003.1253567. ISSN  1558-4046. Archivado desde el original el 25 de agosto de 2021 . Consultado el 29 de marzo de 2021 .
8. Nielsen, Janne (27 de abril de 2021). «Uso de métodos mixtos para estudiar el uso histórico de balizas web en el seguimiento web». Revista internacional de humanidades digitales . 2 (1–3): 65–88. doi :10.1007/s42803-021-00033-4. ISSN  2524-7832. S2CID  233416836.
9. Véase el memorando RFC 4021 del Grupo de trabajo de ingeniería de Internet .
10. "Recomendación candidata de Beacon W3C del 13 de abril de 2017". Archivado desde el original el 3 de marzo de 2021 . Consultado el 26 de julio de 2017 .
11. Cómo aprovechar al máximo la nueva API Beacon del W3C Archivado el 3 de octubre de 2017 en Wayback Machine - NikCodes, 16 de diciembre de 2014
12. Navigator.sendBeacon Archivado el 30 de abril de 2021 en Wayback Machine - Red de desarrolladores de Mozilla
13. Enviar datos de baliza en Chrome 39 Archivado el 13 de abril de 2021 en Wayback Machine - developer.google.com, septiembre de 2015

Enlaces externos

• Preguntas frecuentes sobre Web Bugs de la EFF
• "¿Lo leyeron?", del Linux Weekly News
• Marketing troyano
• Slashdot sobre errores web: hilo del foro de Slashdot.org sobre el bloqueo de errores web