Consiguen espiarnos en Chrome con supercookies que no se borran

Consiguen espiarnos en Chrome con supercookies que no se borran

Alberto García

Las cookies de los navegadores web son la clave para el negocio de grandes empresas como Google o Facebook. Con nuestros datos de navegación, las empresas pueden conocer nuestros intereses y luego lanzarnos publicidad segmentada. Si queremos eliminar todo rastro, tan sólo tenemos que eliminar el historial de navegación desde el navegador u otros programas. Sin embargo, han descubierto que es posible usar otros elementos para rastrear la navegación.

Hablamos de los favicon, o los pequeños iconos que se usan en todo tipo de webs. Este tipo de iconos los vemos, por ejemplo, a la izquierda en cada pestaña en Chrome, ayudándonos a identificar qué páginas web estamos visitando, así como también los vemos en la barra de marcadores. Twitter usa un pájaro azul, mientras que Gmail lo cambió recientemente a una colorida M.

Supercookies: un favicon que espía y no se puede borrar

Sin embargo, estos iconos pueden usarse también con fines maliciosos según ha revelado un investigador de seguridad, pudiendo rastrearnos entre páginas webs y saltarse incluso VPN o el modo incógnito de los navegadores. El investigador alemán que lo ha descubierto, Jonas Strehle, ha bautizado el método como «supercookies».

web pestaña favicon

Estas supercookies usan los favicons para asignarles un identificador único a los visitantes de una web. Este identificador puede ser almacenado de manera persistente y no es fácil de eliminar para el usuario. El método funciona incluso en modo incógnito en todos los navegadores web, y no sirve de nada borrar las cookies, la caché, cerrar el navegador, reiniciar el sistema, usar una VPN o instalar un bloqueador.

El principal inconveniente que tienen estos favicons es que son fácilmente accesibles por el navegador, y muy importantes para la navegación en general. Por ello, se almacenan en una base de datos temporal apartada al resto de la navegación, llamada F-Cache. En ella se encuentra una gran cantidad de información de las webs que el usuario ha visitado con el objetivo de cargar el icono lo más rápido posible cuando se accede a una web previamente visitada.

Los desarrolladores de navegadores ya están al tanto

Así, si la web no se ha visitado con anterioridad, entonces se contactará con el servidor de la web para descargar el nuevo icono. Esta solicitud de descargar por parte del usuario le da mucha información al servidor, pudiendo crear un identificador único asociado a la solicitud de red que hizo el usuario cuando entró. Así, en cuanto éste vuelve a entrar, la web puede reconstruir el número de identificación mediante las solicitudes de red hechas por el usuario, e identificar el navegador concreto.

El creador del sistema obtuvo la idea de una investigación de la Universidad de Illinois (Chicago). El sistema ha sido diseñado por él mismo, y no se han encontrado evidencias de que haya alguien utilizándolo en la red. Para demostrar su funcionamiento, ha colgado una prueba de concepto en su web. Tanto él como la investigación en la que se basó para crear el sistema concluyen lo mismo: que los navegadores tienen que cambiar el comportamiento de los favicons para evitar esta forma de rastreo online. De momento han comunicado sus resultados a los desarrolladores de navegadores web, por lo que en el futuro podríamos ver cambios al respecto.