privacidad
En abril, el lanzamiento de la versión 136 de Google Chrome al fin abordó un problema de privacidad del navegador que es extensamente conocido desde 2002 (cuyo problema, por cierto, también está presente en todos los demás navegadores principales). Esto ha significado una verdadera mala noticia para los especialistas en marketing sin escrúpulos, que lo habían estado explotando sistemáticamente durante 15 años. A juzgar por esta descripción intimidatoria, puede que te sorprenda saber que la amenaza es una práctica habitual y aparentemente inofensiva: enlaces que tu navegador resalta en un color diferente tras visitarlos.
Los peligros ocultos del cambio de color en los enlaces visitados
El cambio de color de los enlaces a los sitios visitados (de manera predeterminada, de azul a púrpura) se introdujo por primera vez hace 32 años en el navegador NCSA Mosaic. Después de eso, casi todos los navegadores en la década de los 90 adoptaron esta práctica fácil de usar. Y más tarde se convirtió en el estándar para Cascading Style Sheets (CSS), un lenguaje que añade estilo a las páginas web. Este cambio de color se produce de manera predeterminada en todos los navegadores populares de la actualidad.
Sin embargo, ya en 2002, los investigadores notaron que se podía abusar de esta función si se colocaban cientos o miles de enlaces invisibles en una página y se usaba JavaScript para detectar cuál de ellos el navegador interpretaba como visitado. De esta manera, un sitio no autorizado podría revelar parcialmente el historial de navegación de un usuario.
En 2010, los investigadores descubrieron que algunos sitios importantes estaban utilizando esta técnica para espiar a los visitantes, entre los que se encontraban YouPorn, TwinCities y otros 480 sitios entonces populares. También se descubrió que plataformas como Tealium y Beencounter estaban ofreciendo servicios de rastreo de historial, mientras que la firma de publicidad Interclick estaba implementando esta tecnología para realizar análisis y que incluso se había enfrentado a acciones legales. Si bien esa demanda se ganó, los principales navegadores han modificado desde entonces su código para procesar enlaces a fin de que sea imposible saber si se ha visitado un enlace o no.
Sin embargo, los avances en las tecnologías web crearon nuevas soluciones para espiar el historial de navegación. Un estudio de 2018 describió cuatro nuevas formas de verificar el estado de los enlaces, dos de las cuales afectaron a todos los navegadores probados, excepto al navegador Tor. Una de las vulnerabilidades, CVE-2018-6137, permitía verificar los sitios visitados a una velocidad de hasta 3000 enlaces por segundo. Mientras tanto, continúan apareciendo ataques nuevos y cada vez más sofisticados para extraer el historial de navegación.
Por qué el robo del historial es peligroso
Exponer el historial de navegación, incluso parcialmente, plantea varias amenazas para los usuarios.
Vida no tan privada. Si saben qué sitios visitas (especialmente si se relaciona con tratamientos médicos, partidos políticos, sitios de citas/juegos de azar/pornografía y temas confidenciales similares), los atacantes pueden usar esta información como arma en tu contra. Luego, pueden adaptar una estafa o un cebo a tu caso en particular, ya sea en forma de extorsión, organización benéfica falsa, promesa de un nuevo medicamento o algo por el estilo.
Controles específicos. Un sitio de rastreo de historial podría, por ejemplo, recorrer todos los sitios web de los principales bancos para determinar cuál utilizas. Dicha información puede ser útil tanto para los ciberdelincuentes (por ejemplo, para crear una forma de pago falsa y engañarte) como para las empresas legítimas (por ejemplo, para ver a qué competidores tienes en cuenta).
Creación de perfiles y desanonimización. Hemos escrito muchas veces sobre cómo las empresas de publicidad y análisis utilizan cookies y huellas digitales para rastrear los movimientos y los clics de los usuarios en la web. Tu historial de navegación sirve como una huella digital eficaz, en especial cuando se combina con otras tecnologías de seguimiento. Si el sitio de una empresa de análisis puede ver qué otros sitios visitaste y cuándo, entonces funciona esencialmente como una supercookie.
Protección contra el robo del historial del navegador
La protección básica apareció en 2010 casi al mismo tiempo en los motores de los navegadores Gecko (Firefox) y WebKit (Chrome y Safari). Esta protección evitaba el uso de código básico para leer el estado de los enlaces.
Casi al mismo tiempo, Firefox 3.5 introdujo la opción para desactivar por completo el cambio de color de los enlaces visitados. En el navegador Tor basado en Firefox, esta opción está activada de manera predeterminada, pero la opción para guardar el historial de navegación está desactivada. Esto proporciona una defensa sólida contra toda clase de ataques, pero afecta considerablemente a la comodidad.
Sin embargo, a menos que sacrifiques un elemento de comodidad, los ataques sofisticados aún podrán rastrear tu historial de navegación.
Google está realizando intentos para cambiar significativamente el status quo: a partir de la versión 136, Chrome tiene la partición de enlaces visitados activada de manera predeterminada. En resumen, funciona así: el color de los enlaces solo se cambia si se hizo clic en ellos desde el sitio actual; y cuando se intenta una verificación, un sitio solo puede “ver” los clics que se originan en él mismo.
La base de datos de visitas a sitios web (y enlaces en los que se hace clic) se mantiene por separado para cada dominio. Por ejemplo, supongamos que bank.com incrusta un widget que muestra información de banksupport.com y este widget contiene un enlace a centralbank.com. Si haces clic en el enlace centralbank.com, se marcará como visitado, pero solo dentro del widget de banksupport.com que se muestra en bank.com. Si el mismo widget de banksupport.com aparece en otro sitio, el enlace de centralbank.com aparecerá como no visitado. Los desarrolladores de Chrome están tan seguros de que la partición es la solución tan esperada que están alimentando planes provisionales para desactivar las mitigaciones de 2010.
¿Qué sucede con los usuarios?
Si no usas Chrome, que, por cierto, tiene muchos otros problemas de privacidad, puedes tomar algunas precauciones sencillas para protegerte de la amenaza púrpura.
- Actualiza tu navegador con regularidad para mantener tu protección contra vulnerabilidades recién descubiertas.
- Utiliza la navegación de incógnito o privada si no deseas que otros sepan qué sitios visitas. Pero lee esta publicación primero, porque los modos privados no son la panacea.
- Borra periódicamente las cookies y el historial de navegación de tu navegador.
- Desactiva el cambio de color de los enlaces visitados en la configuración.
- Utiliza herramientas para bloquear rastreadores y spyware, como la navegación privada en Kaspersky Premium o una extensión de navegador especializada.
Para saber de qué otra forma los navegadores pueden espiarte, consulta estas publicaciones del blog:
Consejos