• Tweet

Revelan la nueva y mejorada 'reaparición' de cookies.

Un investigador de privacidad en línea reveló al genio maquiavélico detrás de un servicio de análisis web con ánimo de lucro capaz de seguir a los usuarios a través de más de 500 sitios, incluso cuando todo el almacenamiento de cookies se ha desactivado y los sitios fueron visitados usando el modo privado de navegación.

La técnica, que funcionó en sitios como Hulu, Spotify y GigaOm, es polémica, ya que permite el inicio del análisis KISSmetrics para la construcción de historiales de navegación detallados, incluso cuando los usuarios experimentaron problemas considerables para impedir el seguimiento de los sitios web que veían. Tiene la capacidad de resucitar las cookies que se han eliminado, y también podría recopilar el historial de navegación de un usuario a través de dos o más navegadores diferentes. La técnica salió a la luz sólo después de que los investigadores académicos publicaran un artículo el mes pasado.

El director ejecutivo de KISSmetrics respondió con un mensaje en su página web diciendo que la investigación "distorsiona significativamente nuestra tecnología y las prácticas empresariales". La compañía también respondió mediante la adición de una "exclusión a nivel de consumidor para aquellos que desean ser eliminados totalmente de todos los seguimientos de KISSmetrics, la cual va mucho más allá de las opciones que otras compañías de análisis ofrecen".

Ashkan Soltani, uno de los investigadores, sostiene los resultados y dijo que la recientemente actualizada política de privacidad de KISSmetrics no deja en claro cómo se encuentran los usuarios sobre la exclusión voluntaria de seguimiento.

En el corazón de la técnica está la práctica de almacenar un identificador único, conocido como valor ETag, en la caché del navegador y las carpetas de metadatos. Un fragmento de código JavaScript alojado en kissmetrics.com accesa al número de serie cada vez que se ve uno de los sitios web de KISSmetrics.

"Está actuando efectivamente como una cookie, porque con cada conexión a KISSmetrics, enviará una cabecera referencial y el valor del ETag", dijo Soltani a The Register. "El ETag está actuando efectivamente como una cookie. Tiene también el mismo valor exacto de la cookie".

El análisis de KISSmetrics combina la técnica de la ETag con varias otras tecnologías controvertidas que utilizan cookies basadas en Adobe Flash y HTML 5 para reproducir las cookies de seguimiento, incluso después de que un usuario en concreto las haya eliminado. Soltani y sus colegas documentaron por primera vez el movimiento furtivo en 2009 y lo apodaron "reaparición" de la cookie.

Adobe respondió con la construcción de una interfaz de aplicación que hace que sea fácil para los usuarios borrar las cookies de Flash con características estándar en el menú del navegador. El advenimiento de scripts basados en el servidor que obtiene datos ETag significa que una vez más es trivial para los servicios de análisis desafiar los deseos de los visitantes que no quieren ser rastreados.

"Entre mayor es la precisión con la que se puede representar el número de visitantes únicos que han entrado a sus sitios, más valor se puede proporcionar para el análisis de sus clientes”, explicó Soltani. "Eso podría significar que una persona que no quiere ser rastreada únicamente trate de no participar. Son incentivos para evitar que participe".

Soltani dijo que la única manera de bloquear el rastreo mediante esta técnica consiste en bloquear todas las cookies y después borrar la caché del navegador de cada sitio visitado. Hasta el momento se ha publicado una descripción técnica detallada de la nueva técnica.