482 webs de las 50.000 más importantes del mundo graban lo que haces en ellas, aseguran investigadores de Princeton

482 webs de las 50.000 más importantes del mundo graban lo que haces en ellas, aseguran investigadores de Princeton

Publicidad

El usuario medio de internet es consciente de lo que implica acceder a casi cualquier página web: un seguimiento. Nuestras visitas son registradas, se nos ubica sobre un mapa, se anota qué navegador hemos utilizado e incluso se identifica el dispositivo empleado. Se trata de datos estadísticos que, a priori, pueden ayudar a los administradores de un portal a conocer mejor a sus usuarios.

Sin embargo, las suspicacias aparecen y por eso los usuarios avanzados que más valoran su privacidad emplean herramientas para no ser vistos en la red. Para mantenerse a salvo de seguimientos, rastreadores y herramientas de grabación de sesiones como las que han detectado investigadores de la Universidad de Princeton en 482 de los 50.000 sitios más importantes del mundo según Alexa.

Rastreos más invasivos de lo que cree el usuario medio

"Es posible que sepas que la mayoría de los sitios web tienen scripts de análisis de terceros que registran qué páginas visitas y las búsquedas que realizas", afirman los responsables de la investigación. "Pero últimamente, cada vez más sitios usan scripts de 'repetición de sesión'. Estos scripts registran tus pulsaciones de teclas, movimientos del ratón y comportamiento de desplazamiento, junto con todo el contenido de las páginas que visitas, y los envían a servidores de terceros".

En resumidas cuentas, estos archivos graban prácticamente todo aquello que un usuario hace en una web. Desde desplazarse buscando determinada sección hasta registrar lo que pueda escribir en una caja de texto. Aunque no es ninguna noticia, muchos usuarios son ajenos a estas prácticas y a su dimensión.

Sirva como ejemplo ilustrativo este vídeo, donde se observa cómo la actividad de un usuario puede quedar registrada incluso en tiempo real. Aunque datos como los del número de la tarjeta de crédito se anonimizan.

Como dicen los investigadores del Princeton’s Center for Information Technology Policy, que han publicado este hallazgo como la primera parte de una serie sobre extracciones de información personal cada vez más intrusivas, es "como si alguien estuviera mirando por encima de tu hombro".

La finalidad declarada de este registro de datos incluye la recopilación de ideas sobre cómo interactúan los usuarios con los sitios web y la detección de páginas rotas o confusas.

Sin embargo, el alcance de los datos recopilados por estos servicios excede con mucho las expectativas del usuario; el texto escrito en los formularios se recoge antes de que el usuario envíe el formulario, y se guardan movimientos precisos del ratón, todo ello sin ninguna indicación visual para el usuario. No es razonable esperar que estos datos se mantengan anónimos. De hecho, algunas empresas permiten a los editores vincular explícitamente las grabaciones con la identidad real del usuario.

Steve Englehardt, Gunes Acar y Arvind Narayanan, los tres responsables del estudio, analizaron siete compañías de las más populares dedicadas a esta clase de analíticas, incluyendo FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar y Yandex, el que es el buscador más popular de Rusia.

Sus averiguaciones constataron que 482 de los 50.000 sitios más importantes del top de Alexa emplean alguno de estos scripts. Aunque podrían ser más, ya que no suelen utilizarse en todas las páginas de un portal.

La lista con los sitios detectados del top 10.000 de Alexa es pública. Destacan entre todos ellos webs mundialmente conocidas como las de microsoft.com, rt.com, wordpress.com, adobe.com, godaddy.com, spotify.com, reuters.com, avg.com, o ryanair.com, entre otras.

¿Son grabaciones inofensivas?

Estas prácticas no son ninguna novedad y, en principio, deberían ser inofensivas. Únicamente tendrían que servir para mostrar cómo los usuarios se comportan en una web, revelando patrones, errores en el diseño del portal y un sinfín de pormenores adicionales.

No obstante, los investigadores se preguntan qué puede ir mal y contestan: "En resumen, mucho". No demuestran demasiada confianza.

La recopilación de contenido de la página por parte de scripts de reproducción de terceros puede hacer que la información sensible, como las condiciones médicas, los detalles de la tarjeta de crédito y otra información personal que se muestra en una página se filtre a terceros como parte de la grabación. Esto puede exponer a los usuarios al robo de identidad, estafas en línea y otros comportamientos no deseados. Lo mismo ocurre con la recopilación de datos de entrada de los usuarios durante los procesos de pago y registro.

Muchos de estos servicios ofrecen la posibilidad de excluir la recopilación de determinados datos, algunos de ellos incluso lo exigen a la hora de emplearlos, pero pueden surgir problemas quedando registrados y puede que expuestos ciertas informaciones sensibles.

Desde la publicación de estas conclusiones la semana pasada, según Motherboard, dos grandes sitios webs han anunciado que dejarán de usar los scripts de repetición de sesión. Han sido la parafarmacia walgreens.com y la tienda de moda bonobos.com, ambas compañías situadas en Estados Unidos.

En Genbeta | Siete webs y extensiones para proteger tu privacidad y tu seguridad online

Temas
Publicidad
Publicidad
Inicio

Ver más artículos

Inicio