Muchas de las webs más populares y visitadas del mundo confían en sistemas de tercero para su publicidad y otros menesteres. Dependiendo de la configuración exacta de cada una de ellas, el email de los usuarios que se registran en estas podría acabar en manos de un tercero sin este saberlo. Un completo estudio realizado en los últimos meses pone de manifiesto que se están filtrando a terceras empresas millones de direcciones de correo electrónico desde algunas de las webs más populares del mundo.
Reglamentos como la RGPD buscan asegurar la privacidad de los usuarios en Internet y penalizan gravemente los casos de filtraciones masivas o negligencias a la hora de tratar los datos personales. Sin embargo, esto no evita que sistemáticamente conozcamos fallos de seguridad, ya sean accidentales o no, que terminan con nuestros datos en manos de terceros.
Filtración masiva de correos electrónicos
Quibi.com, JetBlue.com, KongHQ.com, NGPVan.com, Mandrill.com, WashingtonPost.com, Wish.com… son varios los dominios bastante conocidos que habrían filtrado correos electrónicos. Además, el informe concluye que sólo tres de los afectados solucionaron sus problemas de seguridad cuando fueron alertados de su existencia, mientras que el resto lo ha ignorado.
De hecho, existe un número indeterminado de páginas webs que estarían incluyendo en estas prácticas, según explica Zach Edwards de Victory Medium. Según explica, “cuando el código javascript de un tercero se carga en una web, metadatos del usuario y la página en cuestión pueden ser transmitidos al dominio de ese tercero”. A través de esto se puede pasar cualquier tipo de dato.
En algunos casos, se pasa la dirección de correo electrónico en texto plano sin codificar. Como ejemplo, os habla de Quibi, plataforma en la que, cuando pulsamos en el enlace incluido en el habitual email de confirmación, la URL incluye esta dirección de correo y se envía a plataformas de análisis o publicidad independientes.
Esto ocurre en muchas otras páginas web que incluyen la dirección de correo directamente en la URL, lo que termina haciendo que esa información acabe en un tercero. Además, no ocurre únicamente cuando nos damos de alta. Zach Edwards también ha desvelado que cuando pinchamos en el enlace de darnos de baja de una newsletter, también se pasa nuestra dirección de correo sin codificar.
Por el momento, se desconoce lo que ocurre con las direcciones de correo filtradas, pero es posible que se utilicen en campañas comerciales o incluso para realizar SPAM. Sea como fuere, esto es algo que no debería suceder ya que nosotros no estamos autorizando que esa información sea “pasada” a un tercero diferente a la web en la que nos registramos.