ESPÍAS DIGITALES

Las páginas digitales vigilan todos nuestros movimientos

Yijun Yu*

Según los resultados de un estudio llevado a cabo por investigadores de la Universidad de Princeton, centenares de las principales páginas digitales del mundo hacen por sistema un seguimiento de cada pulsación de tecla, cada movimiento de ratón y cada dato introducido por el usuario, incluso antes de que lo envíe o si luego sale del formulario.

Y hay un desagradable efecto secundario: los usuarios podrían revelar datos personales identificables, como información médica, contraseñas, detalles de tarjetas de pago, cuando navegan por la red sin saber que las empresas están controlando su comportamiento de navegación. Es una situación que debería alarmar a cualquiera preocupado por su privacidad.

Los investigadores de Princeton descubrieron que era difícil eliminar información personalmente identificable de los registros de conducta de navegación, incluso, en algunos casos, cuando los usuarios han activado características de privacidad como Do Not Track (no rastrear).

La investigación concluyó que centenares de empresas emplean servicios de rastreo proporcionados por terceras empresas para controlar cómo navegan los usuarios por sus páginas de Internet. Dicho rastreo se va complicando, porque cada vez más empresas aumentan la seguridad y cambian sus sitios a páginas HTTPS codificadas.

Para sortear esa complicación, se despliegan guiones de reproducción de sesión que monitorizan la conducta de interfaz del usuario en las páginas en forma de secuencia de eventos con marca temporal como los movimientos del teclado y del ratón. Cada uno de estos eventos registra parámetros adicionales –que indican pulsaciones (en el caso de los eventos de teclado) y coordenadas de pantalla (en el caso de los movimientos del ratón)– en el momento de la interacción. Cuando se asocian con el contenido de una página digital y una dirección digital, esta secuencia de eventos registrada puede ser reproducida con exactitud por otro navegador que desencadena las funciones definidas por la página digital.

Lo que esto significa es que, por ejemplo, una persona puede ver si un usuario introduce una contraseña en un formulario digital, lo cual es un claro incumplimiento de las normas sobre privacidad. Las páginas digitales que emplean terceras empresas analíticas para registrar y reproducir dicha conducta sostienen que lo hacen para “mejorar la experiencia del usuario”. Cuanto más sepan qué buscan sus usuarios, más fácil les será proporcionarles información específica.

El que las empresas controlen nuestra conducta mientras navegamos por Internet no tiene nada de nuevo, pero el hecho de que se estén desplegando discretamente guiones que registran de este modo nuestras sesiones de navegación individuales ha preocupado al coautor del estudio, Steven Englehardt, estudiante de doctorado en Princeton.

“La recopilación de contenido de la página digital por guiones de reproducción de empresas ajenas a dicha página puede hacer que información sensible, como afecciones médicas, detalles de tarjetas de pago y otra información personal mostrada en ella, se filtre a la otra empresa como parte de la grabación”, escribía. “Esto puede exponer a los usuarios a usurpación de identidad, estafas por Internet u otra conducta no deseada. Lo mismo puede decirse de la recopilación de datos aportados por el usuario durante los procesos de compra y registro de usuario”.

Que las páginas electrónicas anotan las pulsaciones de teclas es una cuestión conocida desde hace tiempo por los expertos en ciberseguridad. Y el estudio empírico de Princeton hace temer que los usuarios tengan poco o ningún control sobre este tipo de grabación de su conducta de navegación.

Es importante, en consecuencia, ayudar a los usuarios a controlar cómo comparten su información en Internet. Pero cada vez hay más señales de que la facilidad de uso se salta las medidas de seguridad diseñadas para mantener nuestros datos seguros en Internet.

Facilidad de uso frente a seguridad

Millones de personas utilizan gestores de contraseñas que les ayudan a mantener un registro de diferentes contraseñas para diferentes sitios. El usuario de dicho servicio solo tiene que memorizar una contraseña clave.

Recientemente, un grupo de investigadores de la Universidad de Derby y de Open University descubrieron que los clientes sin conexión de servicios de gestión de contraseñas corrían el riesgo de mostrar su contraseña clave principal cuando esta se almacena como texto normal en memoria que podría ser detectada o volcada en casos de ciberataques.

La experiencia de usuario no es una excusa para tolerar fallos de seguridad.

*Yijun Yu  es profesor asociado del Departamento de Informática y Comunicaciones, Open University

Este artículo fue publicado originalmente en inglés en la web The Conversation.