Si hay algo que los sitios web aman es dar seguimiento a sus usuarios. Parece que algunos navegadores pueden dar seguimiento cuando estás navegando en modo privado o incógnito.

Sam Greenhalgh de RadicalResearch de Reino Unido recientemente publicó en una entrada de blog una prueba de concepto llamada "HSTS Super Cookies". Greenhalgh muestra como un sitio puede seguir a los usuarios en línea incluso si ellos habilitaron el modo privado.  

La clave del exploit es usar HTTP Strict Transport Security (HSTS) en algo para lo que no está destinado. HSTS es una característica moderna que permite a un sitio web decirle al navegador que sólo conecte con el sitio sobre una conexión cifrada.

Por ejemplo, John indica Securesite.com en su navegador con HSTS habilitado. Los servidores de SecureSite le responden al navegador de John que debe conectarse a SecureSite sólo sobre HTTPS. Desde este punto, todas las conexiones hacia SecureSite desde el navegador de John emplearán HTTPS por defecto.

El problema, según Greenhalgh, es que para que HSTS funcione, tu navegador tiene que almacenar los datos sobre los sitios a los que se ha conectado con HTTPS. Pero este dato puede ser manipulado para obtener datos específicos de un navegador. Debido a que HSTS es una característica de seguridad que muchos navegadores mantienen si estás en modo normal o privado, significa que después de que tu navegador ha sido detectado, puedes ser atacado incluso si estás navegando en modo incognito.

Cando se navega en modo privado o incognito tu navegador no almacena datos como las cookies y el historial de navegación después de terminar las sesiones, a menos que sea engañado de hacerlo por una Super Cookie.

La historia detrás de la historia: aunque la entrada de blog de Greenhalgh está ganando tracción, la gente ha estado hablando sobre privacidad, seguridad, ventajas y desventajas de HSTS desde hace cierto tiempo. El equipo de Chromium, que generaron el navegador open source en el cual se basa Chrome, discutieron este fallo en 2011. En 2012 la firma de seguridad Leviathan publicó una entrada de blog levantando preocupaciones similares, y Robert "RSnake" Hansen mencionó el problema en su blog ha.ckers.org en 2010.

Aunque el fallo se conoce desde hace algún tiempo, no está claro si algún sitio lo está usando actualmente para dar seguimiento a los usuarios. Independientemente de esto, es posible protegerse en Chrome al borrar las cookies antes de iniciar el modo incognito. Chrome automáticamente vacía la base de datos de HSTS cuando se borran las cookies. Firefox hace algo similar, pero Greenhalgh dice que la última versión de Firefox resolvió este problema al prevenir llevar la configuración HSTS a los modos de navegación privada.

Safari es un gran problema, sin embargo, ya que aparentemente no hay un camino obvio para borrar la base de datos HSTS en los dispositivos Apple como el iPad o el iPhone, dijo Greenhalgh. Las banderas HSTS también se sincronizan con iCloud, haciendo el seguimiento de la Super Cookie HSTS aún más persistente (al menos en teoría) cuando se usa hardware Apple.

Las Super Cookies HSTS sólo parecen funcionar si primero se visita un sitio en un modo no privado. Nadie que visite un sitio por primera vez en modo privado se llevará la Super Cookie HSTS a la navegación regular.

Para los usuarios de Internet Explorer, la buena noticia es que están completamente protegidos de este tipo de seguimiento. Ahora, la mala noticia: es porque IE no soporta para nada HSTS.