Así es como las páginas web pueden rastrear tu actividad en Internet

Escrito por Roberto Adeva
Actualidad

La seguridad en Internet es uno de los términos que más respeto les produce a muchos usuarios que temen ser engañados o estafados por su falta de conocimiento o inexperiencia cuando navegan por la red. Algo que por otra parte no resulta extraño dado que hoy en día hay muchos medios para que los webmasters puedan hacer un seguimiento de nuestra actividad en Internet incluso aunque hayamos limpiado el historial de navegación y las cookies guardadas.

Un investigador ha indicado dos técnicas que pueden ser explotadas por los administradores de web con intenciones maliciosas para rastrear la actividad de millones de usuarios en Internet. Una de ellas es la creación de listas con los sitios visitados por los usuarios a pesar de limpiar el historial de navegación y la otra es el seguimiento de cookies, etiquetando a los usuarios con una cookie de seguimiento que persiste incluso después de haberlas eliminado.

apertura-super-cookies

Dos técnicas que abusan del contenido de la política de seguridad del sitio y de HTTP Strict Transport Security o Seguridad de transporte HTTP estricta (HSTS), un mecanismo de política de seguridad web según el cual un servidor web declara sus agentes de usuario compatibles que deben interactuar con ellos únicamente mediante conexiones HTTP seguras, es decir, en capas HTTP sobre TLS/SSL.

El propio investigador, ha demostrado como los sitios web pueden aprovecharse de estos dos aspectos para rastrear incluso a los usuarios más preocupados por su seguridad en la red gracias a Sniffly, un ataque sobre estos abusos que permite que determinados sitios web puedan rastrear el historial de navegación de usuarios que utilizan los navegadores Firefox o Chrome, que es donde se han probado.

Como demostración el investigador Yan Zhu, ha dejado este enlace http://zyan.scripts.mit.edu/sniffly/ en donde puedes ver cómo te mostrará una lista exacta de los sitios web visitados. Además de rastrear el historial del navegador, Zhu también demostró cómo un sitio web puede rastrear a los usuarios de Google Chrome a pesar de que borren todas las cookies después de cada visita aprovechándose de las debilidades del HTTP Public Key Pinning (HPKP) para dar por bueno un certificado digital de conexión segura cuando realmente no lo es.

Por lo tanto, a diferencia de las cookies de los navegadores, este pasador de certificado se mantendrá intacto incluso después de que el usuario haya borrado todas sus cookies. Unas técnicas que demuestran que podemos ser rastreados por sitios web maliciosos en este sentido si se lo proponen, conociendo los dominios y subdominios, en este caso no se guardan las URL completas, de los sitios HSTS que visitamos.

Quizás te interese…

Una vulnerabilidad permite escuchar tus llamadas y rastrear tu ubicación con el móvil

Ahora pueden rastrear tu ubicación incluso sin acceder al GPS del móvil

Hacienda rastreará tus redes sociales en busca de fraudes

Fuente > The hacker news