Una nueva técnica de rastreo puede seguir tu huella online aunque uses distintos navegadores


Distintos especialistas en seguridad informática han desarrollado la primera técnica confiable para que las webs puedan rastrear a sus visitantes aunque usen navegadores distintos, según se puede leer en Ars Technica. Los hallazgos que han realizado se han publicado en un documento llamado (Cross-)Browser Fingerprinting via OS and Hardware Level Features.

Entre otras cosas, han descubierto que las últimas técnicas de fingerprinting digital son altamente efectivas para identificar usuarios cuando usan navegadores con características comunes. Estas huellas digitales son el resultado de ajustes y personalizaciones específicas encontradas en una instalación específica. Entre ellas encontramos la lista de plugins, la zona temporal, si la opción de evitar el rastreo está activada o si usa un bloqueador de publicidad.

La principal novedad hasta ahora es que el rastreo se limitaba a un único navegador. Esta restricción hacía imposible que se pudiesen conectar las huellas digitales de Firefox o Chrome, aunque se ejecuten en una misma máquina por un mismo usuario. La nueva técnica se apoya en código que "ordena" a los navegadores a realizar una serie de tareas. Esas tareas consumen recursos del hardware de la máquina y del sistema operativo, que varían en cada ordenador.

Lo que los investigadores proponen es lo siguiente:

Proponemos una técnica de fingerprinting multinavegador basadas en varias características a nivel de sistema operativo y hardware, por ejemplo la tarjeta gráfica, el procesador, la tarjeta de sonido y los scripts de escritura instalados. Específicamente, debido a que varios de dichas funciones están expuestas a JavaScript a través de las APIs de los navegadores, podemos extraer características pidiéndole al navegador que realice diversas tareas a través de estas APIs. Lo que se extrae se puede usar para realizar firgerprinting en uno o más navegadores.

Pero, ¿qué es eso de "figerprinting"? Básicamente es una técnica de recolección de datos directamente de una máquina para aprender más sobre su configuración y su comportamiento. En sí no es algo malo, ya que puede ofrecer beneficios potenciales a los usuarios (por ejemplo en asuntos de banca online).

Ahora bien, mirándolo desde una perspeciva negativa se puede usar para violar la privacidad de los usuarios, por ejemplo ofreciendo publicidad basada en sus hábitos de navegación. Yinzhi Chao, el investigador a cargo del equipo que ha publicado el documento, y profesor de Ciencias de la Computación en la Universidad Lehigh, es consciente de que su trabajo puede empeorar el escenario:

Nuestro trabajo hace que las cosas puedan ser aún peores, porque después de que el usuario cambia de navegador, los anuncios de la empresa que se muestran al usuario pueden "reconocerlo" y vovler a mostrarse. Para derrotar a la violación de la privacidad, creemos que necesitamos conocer bien a nuestro enemigo.

Una tasa de éxito del 99%


La nueva técnica se apoya en código JavaScript lo bastante compacto como para ejecutarse en segundo plano de forma opaca al usuario, mientras se centra en una tarea específica (como ver un vídeo o leer algo). Los investigadores han lanzado esta web para demostrar que las técnicas funcionan y han liberado el código fuente, que se puede encontrar en este enlace.

En una prueba que recogió 3.615 huellas de 1.903 usuarios durante tres meses, la técnica pudo identificar con éxito al 99,2% de los mismos. A modo de contraste, una técnica de fingerprinting para un único navegador conocida como AmIUnique cuenta con una tasa de éxito del 90,8%.

Una buena noticia: la técnica (conocida como "cross-browser tracking") no funciona con el navegador Tor en su instalación por defecto. Ahora bien, según el medio, si se personaliza la instalación del navegador para hacerlo compatible con ciertas capacidades gráficas de WebGL, se pierde inmunidad frente a estas técnicas de rastreo.

Este método es sólo el último truco que se les ha ocurrido a los desarrolladores para rastrear a los usuarios que visitan sus webs. Además del tracking tradicional, otros métodos son monitorizar la forma en que los visitantes teclean contraseñas y otros textos, junto con embeber sonido inaudible en distintas webs. Sea como fuere, una forma efectiva de impedir que te rastreen pasa por usar extensiones como Privacy Badger.

Fuente: Genbeta