Defcon: La navegación privada no es demasiado privada

Los plug-ins permiten al navegador revelar los hábitos de navegación a pesar del modo privado. Dos expertos en seguridad en la conferencia de seguridad Defcon han analizado de cerca la navegación privada. El modo privado se puede activar en casi todos los navegadores. Promete navegar anónimamente sin seguimiento de actividad.

El periodista alemán Svea Eckert y el científico de datos Andreas Dewes demostraron que esta promesa no es del todo cierta con su conferencia Defcon.

Usuarios anónimos

El modo privado está destinado a hacer que los usuarios del navegador sean anónimos y a hacer irreconocibles sus rastros en Internet. Sin embargo, esta función es destruida por los llamados “clics”. Click-Streams son datos de usuario recopilados por varios plug-ins del navegador. Estos datos se utilizan, por ejemplo, para publicidad dirigida.

No deben contener ninguna información personal y, por lo tanto, no pueden ser cedidos a ningún usuario. Sin embargo, Dewes y Eckert demostraron lo contrario con sus investigaciones.

Los flujos de clics se podían asignar fácilmente a usuarios individuales y ver así qué sitios web habían visitado o qué productos habían comprado. Los expertos en seguridad compilaron una base de datos de nueve millones de sitios web visitados por tres millones de usuarios alemanes. El 95 por ciento de los datos recolectados provenían de diez extensiones populares del navegador. El peor recopilador de datos fue la herramienta de navegación “Web of Trust”.

Web of Trust

Web of Trust está diseñado para mostrar a los usuarios si los sitios web que visitan son seguros y respetan su privacidad. Irónicamente, Web of Trust recopila datos sobre el comportamiento de navegación de los usuarios y los vende a los anunciantes.

Eckert dijo que esta práctica comercial era ilegal en Europa, pero eso no importaría para los proveedores. Después de las búsquedas, Eckert y Dewes borraron su base de datos inmediatamente. Temían que cayera en manos de hackers.

Los datos recogidos por los plug-ins del navegador son anonimizados antes de la reventa y se les proporciona un número de identificación del cliente en lugar del nombre claro.

Eckert y Dewes

Según Eckert y Dewes, sin embargo, estos datos son muy fáciles de asignar a una persona específica. Para ello, los dos expertos utilizaron datos accesibles al público sobre el comportamiento de navegación de los usuarios -por ejemplo, fotos de Facebook o historias de navegación en YouTube-. Si compara estos datos públicos con los datos anónimos de la secuencia de clics, puede establecer una conexión.

Esta conexión a los datos anónimos del navegador recopilados a pesar del modo privado revela muchos detalles íntimos sobre los usuarios. Según Dewes y Eckert, sin embargo, no se encontraron actividades ilegales en los hábitos de navegación. Pero los términos de búsqueda o las preferencias pornográficas podrían proporcionar una base para chantajistas o criminales cibernéticos, especialmente para las personas en la vida pública.

Responder