El análisis del tráfico web cifrado podría revelar información altamente sensible, como el estado de salud de una persona o su orientación sexual, de acuerdo a los resultados de una investigación que pronostica el posible erosionamiento de la privacidad en Internet.

En una investigación llamada I Know Why You Went to the Clinic (Sé porqué fuiste a la clínica), un grupo de especialistas afirman que es posible saber qué tipo de páginas visita una persona al identificar patrones en el tráfico web cifrado, páginas que podrían dar pistas sobre la vida personal de las personas. La investigación será presentada el 16 de julio en el marco del Simposio de Tecnología para el Mejoramiento de la Privacidad, en Ámsterdam este año.

La mayoría de los sitios que realizan intercambio de datos sensibles utilizan SSL/TLS para cifrar la comunicación entre un cliente y el servidor. La información que viaja por ese canal seguro es ilegible para un tercero, sin embargo, los investigadores diseñaron un ataque que hace posible identificar las páginas web que visitan los usuarios.

El ataque se basa en el análisis de tráfico y ofrece un 80% de precisión para identificar la página con la que el usuario se comunica usando un canal cifrado. Una investigación anterior demostró que esta identificación era posible, sin embargo ese trabajo sólo ofrecía un 60% de precisión.

Se evaluó la efectividad del ataque al visitar 6 mil páginas web en 10 sitios diferentes, entre los que se encuentran los de instituciones de salud en norteamérica y sitios de instituciones financieras como Bank of America, Vanguard, el sitio web de la Unión Estadounidense por las Libertades Civiles, Legal Zoom, Netflix y YouTube.

Al estudiar las visitas a las páginas cifradas

"Tenemos el potencial de revelar si algún procedimiento médico pendiente es una apendicetomía o un aborto; o si la medicina que necesita una persona es para la diabetes o para el VIH/SIDA".

"Este tipo de distinciones y otras pueden formar las bases de la discriminación o persecución de personas y presentan una oportunidad para la publicidad dirigida, ofreciendo productos que la gente estaría altamente motivada a comprar."

Para ejecutar el ataque de análisis de tráfico, es necesario que el atacante sea capaz de identificar patrones de tráfico cifrado de un sitio en particular, así como ser capaces de observar el tráfico web del usuario. De acuerdo a los investigadores, los ISP y sus empleados tendrían esa visibilidad sobre los flujos de datos de sus usuarios.

Una forma de impedir este ataque es modificar el tamaño de los paquetes en un intento de hacer más difícil el reconocimiento de patrones en el tráfico web de un usuario.

La investigación fue realizada por Brad Miller, A.D. Joseph y J.D. Tygar de la Universidad de California en Berkely y Ling Huang de Intel Labs.