¡Ojo! 400 webs de entre las más populares registran lo que escribes en ellas
Muchas de las páginas web que visitamos registran la actividad que realizamos en ellas: dónde hacemos click, qué enlaces hemos visitado en ellas, cuánto tiempo ha durado la visita, y un largo etcétera. Esto sirve para ver qué contenido prefieren los usuarios, así como también en webs como Amazon para publicitar a los usuarios productos que han visto en la web. Sin embargo, hay webs que usan scripts que pueden saber qué escribimos.
Las páginas web conocen más de lo que crees cuando las visitas
En concreto, hablamos de lo que han descubierto unos investigadores de la Universidad de Princeton, que afirman que este seguimiento que hacen las webs es aún más exhaustivo de lo que creen. Los scripts de terceros presentes en estas webs son los culpables, y están registrando todo lo que escribimos y enviando esta información a un servidor de terceros. En 2013 se descubrió que la propia Facebook registraba lo que sus usuarios escribían en los estados, incluso aunque después no los publicaran.
Estos “session replay scripts”, o scripts de repetición de sesión pueden repetir la navegación que un usuario ha tenido en la web paso a paso al milímetro. Estos datos pueden no ser anónimos, ya que se pueden diseñar scripts que permiten asociar grabaciones con la identidad real de los usuarios a través de su nombre completo o email. En el siguiente vídeo podemos ver cómo funciona.
Para ello, los investigadores crearon páginas de prueba y usaron seis de los siete scripts de repetición más populares: FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar y Yandex. Así, descubrieron que uno de esos scripts estaba presente en 482 de las 50.000 páginas más populares del ranking de Alexa.
482 páginas de entre las 50.000 más visitadas de Alexa hacen uso de estos scripts
El listado completo de webs está disponible en este enlace, y hay algunas tan populares como Windows.com, Intel.com, Autodesk.com o Sky.com. Al publicarse esta investigación, algunas webs que tenían estos scripts han anunciado que iban a tomar medidas para proteger a sus clientes y que iban a dejar de usar este tipo de scripts.
A pesar de que los scripts están diseñados para excluir las contraseñas, éstas muchas veces se incluyen junto a otros datos sensibles como nombre, dirección, email o número de tarjeta de crédito. Además del contenido que se introduce, el que aparece en las páginas web también puede ser sensible.
Además de que una página web pueda acceder a esta información, las propias empresas de scripts pueden ser objeto de hackeos. De hecho, muchas de ellas usan paneles de control que van por HTTP. Así, una web que use HTTPS puede estar enviando información en texto plano sin cifrar, dando pie a ataques man-in-the-middle. Una posible solución puede ser utilizar bloqueadores de scripts.