Descubren una nueva manera de espiarte mientras navegas por Internet

Las técnicas de rastreo a través de Internet son cada vez más sofisticadas. Aunque usemos un navegador como Tor o una VPN, un sistema de rastreo puede saber nuestra identidad en función del contenido que visitamos, cómo movemos el ratón, el idioma de la web visitada, la IP pública, el sistema operativo y versión del navegador, y un largo etcétera de variables. Ahora, han creado un nuevo sistema para espiarnos.

Este tipo de técnicas de rastreo en busca de identificar a personas a través de sus hábitos y patrones de navegación es conocido como fingerprinting, que son tan valiosas que incluso se venden en la Dark Web. Ahora, un grupo de investigadores de Estados Unidos ha desarrollado una nueva técnica llamada Gummy Browsers, con el cual buscan alertar de lo fácil que es de llevar a cabo, y de las graves consecuencias que puede tener.

Pueden suplantar tu identidad al navegar webs

Este ataque consiste en capturar la huella de una persona haciéndole visitar una web controlada por el atacante, y usar esa huella en una plataforma objetivo para suplantar la identidad de la persona. Para suplantar la identidad en esas otras webs, los investigadores desarrollaron tres técnicas.

gummy browsers

La primera es Script injection, mediante la cual suplantan la identidad del usuario ejecutando scripts con Selenium, ejecutando los valores extraídos cuando el usuario visitó la web.

La segunda es Browser setting y debugging tool, donde ambos pueden ser usados para cambiar atributos del navegador a cualquier valor personalizado.

La tercera y última es Script modification, donde se cambian los valores del navegador con los valores falsificados mediante la modificación de los scripts incrustados en la web antes de que se envíen al servidor web.

Pueden usarlo para todo tipo de fines maliciosos

Al tener la huella de los usuarios, los investigadores afirman que pueden llevar a cabo suplantaciones de identidad pasadas semanas o meses, con una tasa de éxito de casi el 100%. Con ello, pueden por ejemplo hacer pasar a un bot por un humano, a la vez de que pueden llevar a cabo visitas malintencionadas a sitios web y hacer que el usuario final reciba anuncios que contengan malware o busquen robar datos personales mediante phishing.

Además, también pueden saltarse mecanismos de protección de Google (reCAPTCHA entre ellos) Oracle, Inauth, y SecureAuth IdP, que utilizan la navegación previa del usuario para determinar si la web está siendo visitada por un bot o por un humano. Los bancos también utilizan técnicas de fingerprinting para intentar frenar posibles ataques contra sus servicios.

El impacto de Gummy Browsers puede ser devastador en la privacidad de los usuarios si tenemos en cuenta que hay navegadores que van a incluir sistemas que de fingerprinting como FLoC. Por ello, con este trabajo plantean que no es seguro que este sistema se lance a escala global, y de los riesgos que entrañan estos sistemas.