Aunque parezca sacado de un cómic de culto, las supercookies son en realidad muy reales y tienen mucho más poder de lo normal. HTTP cookies con las que todos estamos al menos algo familiarizados.
A finales de enero, las supercookies aparecieron en las noticias cuando contrataron a Mozilla «Evitar» en ellos con el lanzamiento de Firefox 85. Sin embargo, esto se vio ensombrecido por el anuncio de que el soporte para Adobe Flash Player – el complemento del navegador que jugó un papel importante en la configuración de los primeros años de Internet.
Si bien los problemas de seguridad relacionados con Flash eran bien conocidos y bastante simples, las supercookies son sin duda más insidiosas. Por lo tanto, vale la pena tomarse el tiempo para comprender el impacto que pueden tener en nuestra seguridad y intimidad.
¿En qué se diferencian las supercookies de las cookies normales?
Estándar galletas son pequeños archivos instalados en su navegador que contienen datos sobre sus hábitos de búsqueda, los tipos de anuncios en los que desea hacer clic y el tiempo que pasa en un sitio web en particular.
Según Kevin Curran, miembro senior del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) y profesor de ciberseguridad en la Universidad de Ulster, las cookies se pueden usar para una variedad de propósitos, desde identificar a los usuarios y almacenar sus preferencias hasta ayudarlos a realizar tareas más fácilmente, como completar formularios en línea sin tener que volver a ingresar información.
El problema con las cookies es que son un poco como un gran amigo, aunque son increíblemente útiles, después de un tiempo es posible que lamente la cantidad de información personal que ha compartido.
Afortunadamente, las cookies también son fáciles de eliminar. Como explica Curran, «Existen diferentes tipos de cookies, que van desde las cookies de sesión que se eliminan una vez que finaliza la sesión, hasta las cookies persistentes que persisten durante un período posterior». Independientemente de la duración de su vida, la premisa es que no son completamente permanentes.
Aquí está la principal diferencia entre las cookies normales y las supercookies.
André Thompson, responsable de la protección de datos y el consejo de privacidad del proveedor de análisis de datos Truata, dice que «a diferencia de las cookies normales, las supercookies no se almacenan en los dispositivos del usuario».
«Estas supercookies pueden recrear el comportamiento en línea de un usuario a partir de los datos de sus dispositivos conectados a Internet, incluso cuando navegador Las cookies se eliminan, porque el seguimiento se realiza a través de encabezados HTTP y no a través del almacenamiento local. Por lo tanto, estos rastreadores pueden abusar de las cachés de Internet locales y los identificadores de conexión para crear perfiles de personas objetivo que los comportamientos de privacidad de los usuarios aceptados (como la eliminación de cookies) no pueden combatir ”, explica.
Bogdan Botezatu, director de Investigación e Informes de Amenazas Bitdefender, enfatiza que las supercookies no son realmente cookies, al menos en el sentido técnico del término.
«Una supercookie es un término general para una amplia gama de tecnologías que se utilizan para rastrear permanentemente a un usuario colocando ‘banderas’ en el navegador o dispositivo», explica, y agrega que son las más utilizadas por empresas adtech o proveedores de servicios de Internet (ISP).
«Las supercookies son mucho más difíciles de bloquear o eliminar porque no utilizan el mismo enfoque que las cookies. Utilizo partes oscuras y atípicas del navegador para almacenar datos, como cachés HSTS, almacenamiento flash, etc. «
Seguridad y privacidad
Debido a la combinación del seguimiento de los datos del usuario, así como al hecho de que son difíciles de eliminar, las supercookies crean Seguridad y desafíos de privacidad.
El ingeniero jefe de Trend Micro, Simon Walsh, identifica la integridad de los datos del usuario como una de las principales preocupaciones.
«Los actores malintencionados pueden extraer información privada de las supercookies y utilizarla para identificar o manipular las solicitudes de los usuarios a otro sitio web que comparte el mismo dominio de nivel superior o sufijo público, como .com o .net», advierte.
Un incidente de seguridad significativo que involucró a las supercookies tuvo lugar en noviembre de 2015, cuando los piratas informáticos respaldados por el estado lograron comprometer más de 100 sitios web para rastrear a sus víctimas. De acuerdo a una reporte por la empresa de ciberseguridad FireEye, los actores de amenazas implementaron supercookies en sus dispositivos de destino y también recopilaron configuraciones de computadoras y navegadores.
Para proteger sus datos de la vigilancia no deseada de supercookies y amenazas que los actores dispuestos a explotar, Thompson recomienda que actualice su navegador a la última versión. Esto, dice, «puede aislar los datos en el sitio web específico del que provienen, lo que dificulta el cruce de sitios y mantiene la confidencialidad del usuario».
Desafíos legales
Walsh dice que la legislación tiene un papel que desempeñar en el destino de las súper cookies, citando un caso de 2016 entre Comisión Federal de Comunicaciones de EE. UU. (FCC) y Verizon Wireless, que fue acusada de violar la privacidad de sus clientes al no informarles sobre el uso de supercookies.
Finalmente, Verizon resolvió la demanda fuera de los tribunales por $ 1.35 millones (alrededor de £ 970,000), que Walsh describe como «una pequeña multa para ellos, pero que llamó la atención sobre [the] creciente uso de tecnología”.
«Estás cerca de casa, GDPR estipula que no puede rastrear a los usuarios sin su consentimiento. Sería muy bienvenido extender esto a las supercookies y, lo que es más importante, obligar a los proveedores de servicios de Internet a implementar cualquier medida que se tomen de manera transparente ”, agrega.
«Si bien las supercookies siguen siendo legales por el momento, es alentador ver que los navegadores más nuevos, como la versión de enero de 2021 de Firefox, impiden su uso».
A su vez, dice Mozilla Profesional de TI este es solo el comienzo de la lucha contra las supercookies.
«También tenemos planes para más protecciones contra el rastreo entre sitios, que anunciaremos en las próximas semanas».