Blog

Que datos pueden recopilar los sitios web sobre nosotros

Que datos pueden recopilar los sitios web sobre nosotros

Cuando en 1994 se permitió el acceso de particulares y empresas a Internet, una de sus características era que podíamos disfrutar de cierta privacidad.Con la tecnología de aquellos tiempos era prácticamente imposible recopilar toda la información que ahora puede obtenerse facilmente sobre un usuario.

La web de hoy en dia es muy diferente.Las compañías de marketing valoran mucho el seguimiento de las preferencias de sus futuros consumidores, de ahí su deseo de desarrollar mejores y más sofisticadas formas de rastrear nuestras actividades en Internet.

La dirección IP

Una dirección IP (IP address) sirve para identificar y localizar a un dispositivo en una red interna o externa. Por ello, supone la base de la transmisión de información desde el emisor hasta el destinatario.

Este es el tipo de información más común que acostumbra a registra un sitio web, incluido el nuestro.

dirección IP

Mediante la dirección IP de un usuario, es relativamente fácil averiguar cuál es su proveedor de internet. En función de la cifra con que comience una direcciónIP se puede saber si pertenece a Orange, Movistar, Jazztel  etc.

También, basta con una búsqueda en algun servicio online como IP Whois Lookup, para averiguarlo.

La dirección IP no debe confundirse con la dirección MAC. Un identificador de 48 bits expresado en código hexadecimal, para identificar de forma única la tarjeta de red y no depende del protocolo de conexión utilizado en la red.

En internet existen varias bases de datos, algunas gratis y otras de pago, que ofrecen a sus clientes poder obtener la geolocalización de las IP de sus visitantes, mediante códigos y API que pueden insertar muy facilmente en sus páginas web.

Ip2location, MaxMind, Tamo Soft o IPligence son algunas de ellas, y dependiendo de la base de datos la precisión con la que se te geolocaliza puede variar entre un 50% o un 98%.

En zonas rurales normalmente solo se puede identificar una región, o provincia aproximada, mientras que, en las ciudades, la geolocalización es mucho más precisa, dado que hay nodos de conmutación casi cada cien metros.

El uso de una VPN confiable, un servidor proxy o Tor Browser, es una buena manera de evitar este tipo localización.

Detalles de hardware y software

Los navegadores web facilitan todo tipo de información al sitio web que lo solicita. Esto incluye una gran variedad de parámetros  del ordenador que estamos utilizando.

Esto puede parecer inocente, pero junto a otra información podría usarse para rastrear o identificar una máquina específica.

El sitio conocerá tu sistema operativo, procesador, GPU y más.

Una forma de evitar esto seria navegar desde una máquina virtual como Oracle VM VirtualBox que proporcionara información genérica del sistema al sitio web, pero es más factible y menos complicado usar algún complemento para el navegador centrado en la privacidad como NoScript.

Rastreadores invisibles

Los principales sitios de noticias y otras páginas web, a menudo tienen contenido publicitario incrustado en la parte inferior de un artículo que incluye alguna forma de seguimiento.

Por ejemplo, cuando buscas un producto específico en Google verás anuncios emergentes en todos los demás sitios que cuenten con Google Adsense o Google AdWords.

Afortunadamente, hay motores de búsqueda centrados en la privacidad como DuckDuckGo que evitan en gran medida el rastreo.

También podemos usar un navegador como Epic Privacy Browser, que con la excepción de Tor Browser, es posiblemente el navegador más privado que existe en Internet, con un servidor proxy incluido para enmascarar nuestra dirección IP.

Los navegadores modernos ahora también admiten una característica conocida como no rastrear, que le dice a un sitio que debe desactivar su tecnología de rastreo cuando lo visitamos.

Sin embargo, este es un acuerdo voluntario, por lo que el sitio puede ignorarlo si lo desea. La herramienta más efectiva en la lucha contra los rastreadores invisibles es el Privacy Badger del EFF.

Privacy Badger

Una extensión para Chrome, Firefox y Opera que bloquea de forma automática todo tipo de rastreadores de terceros que de otra forma estarían siguiéndote mientras navegas por Internet y espiando tus hábitos de navegación.

Datos de autocompletar

Probablemente habrás notado que cuando tienes que completar un formulario en un sitio web, tu navegador rellena automáticamente detalles como tu nombre o dirección.

Esto es debido a que los navegadores acumulan distintos perfiles, direcciones y números de teléfono en sus servidores.

Es una función cómoda que puede ahorrarnos mucho tiempo con solo seleccionar el nombre de un listado evitando, de este modo, escribir el resto de información.

Pero la comodidad a veces puede convertirse en una pesadilla para la privacidad, y no es cuestión de tomarselo a la ligera.

Los sitios web sin escrúpulos pueden instalar un script para capturar esa información a medida que la escribimos.

Mediante estos scripts ocultos, engañan al navegador para que este les revele las direcciones de correo, contraseñas etc, por lo tanto ni se te ocurra poner los detalles de tu tarjeta de credito con esta opción habilitada.

Para evitar disgustos, es una buena idea deshabilitar el autocompletado en la configuración de tu navegador.e.

También puede ser peligroso tener esta opción habilitada cuando compartrimos nuestra máquina con terceros.

Otras cuentas en las que ha iniciado sesión

Cuando visitas un sitio web malicioso, podría detectar a que cuentas online estás conectado (Google, Flickr, Twitch, etc.) por los rastros que dejan en tu máquina.

Por ejemplo,las opciones de Compartir en Facebook que tienen muchas páginas web ayudan a esta compañía a rastrear a los usuarios sin que haga falta que hagan clic en el botón.
Afortunadamente existen extensiones del navegador como Facebook Container que ayudan a que esto no suceda.

Esta información es muy valiosa porque, combinada con una dirección de correo electrónico, podría indicarle a los piratas informáticos las cuentas a las que acostumbras a conectarte.

Si una de esas cuentas ha formado parte de una violación de datos y tu contraseña se ha visto comprometida, podrías tener problemas.

Muchas personas, por comodidad usan contraseñas iguales o similares en todas sus cuentas, por lo que es mucho más fácil para los ciberdelincuentes adivinar sus credenciales de inicio de sesión.

Lo mejor que puedes hacer es usar contraseñas seguras y únicas para cada cuenta. Se recomienda encarecidamente un buen administrador de contraseñas o utilizar la autenticación en multiples factores.

Para comprobar si la cuenta de alguna de las páginas en las que estás registrado ha sido filtrada sólo tienes que entrar en haveibeenpwned.com e introducir en un formulario el correo electrónico con el que te registraste.

Registros del teclado

Muchos administradores de sitios web están utilizando herramientas de terceros llamadas secuencias de comandos de reproducción de sesión (session replay) para rastrear las sesiones de navegación de sus visitantes, incluidas las pulsaciones que realizan en el teclado y los movimientos del ratón.

A diferencia de los típicos servicios de análisis como Google Analytics que proporcionan estadísticas a los dueños de los sitios web, estos scripts están destinados a la grabación y reproducción de sesiones de navegación individuales.

Es casi como si alguien estuviera mirando por encima de nuestro hombro.

Aunque el propósito de estas herramientas es recopilar información sobre cómo los usuarios interactúan con los sitios web y descubrir páginas con errores de acceso y enlaces rotos, estos scripts  pueden representar serios problemas de seguridad y privacidad.

session replay

Utizados de forma incorrecta, o mal intencionada, pueden recopilar datos personales y confidenciales como por ejemplo los credenciales de acceso a distintos servicios en línea, números de tarjetas de crédito, información sanitaria etc.

Seguro que no nos sorprendería, que una página web cuyo servidor está alojado en Rusia o China, ocultase alguna sorpresa de este tipo o algo peor.

Sin embargo, estos keylogger se activan al visitar webs de prestigio contrastado como las páginas de HP, Norton, Intel y Opera, entre otras.

Yandex, Microsoft, Adobe, GoDaddy, Spotify y WordPress son otras de las páginas web, que cargan este tipo de scripts.

La solución pasa por bloquear los scripts de inicio de sesión mediante extensiones del navegador como NoScript, uBlock o uMatrix, para evitar que estas secuencias de comando se carguen en los sitios que visitamos.

Huella digital del navegador

La huella digital del navegador es la combinación única de varios parámetros de configuración que pueden identificar a un usuario en concreto al visitar un sitio web.

Por ejemplo qué complementos están instalados, que versión de navegador web utiliza, el tamaño y la resolución de la pantalla, o los plugins instalados

Incluso si usas una VPN para cambiar o ocultar tu IP, o te conectas a Internet desde una red diferente, al acceder a un sitio, este puede conocer tu huella digital, si utilizas siempre el mismo navegador

El uso de un navegador orientado a la privacidad, como Tor Browser, es la mejor manera de preservar tu anonimato en la red.

A través de la librería de código abierto fingerprintjs2, se puede obtener la huella digital  de un navegador, haciendo un cálculo sobre estos parámetros:

  • Las cabeceras HTTP ACCEPT que proporciona el navegador.
  • La zona horaria.
  • Las extensiones que tenga instaladas el navegador y sus versiones.
  • Las fuentes instaladas en tu ordenador y que se reportan a Flash o a Java.
  • Donde se ejecutan los programas de JavaScript.
  • Información sobre si tu navegador acepta o no cookies.
  • Donde envía tu navegador las cabeceras Do Not Track.
  • Qué sistema operativo utilizas (e.g. Win32, Linux x86)
  • Qué idioma tienes configurado (ej. es-ES)
  • Si tu navegador soporta pantallas táctiles.
  • Un cálculo hash sobre una imagen generada en el Canvas.
  • Un cálculo hash sobre una imagen generada por WebGL.

Instalar bloqueadores como Decentraleyes, que permiten eludir el rastreo, deshabilitar el uso de Javascript y alternar entre distintos navegadores son medidas que podemos tomar para minimizar la huella digital que dejamos al navegar por la web.

Los más paranoicos pueden realizar el acceso a Internet mediante máquinas virtuales como Oracle VM VirtualBox.

Cómo verificar la fuga de datos

Existen varios sitios web que nos ayudarán a descubrir dónde y cómo estamos filtrando información, para ayudarnos a tomar las contramedidas oportunas.

Panopticlick es una gran herramienta de la Electronic Frontier Foundation que hace exactamente eso. Simplemente haz clic en el  botón Test Me y todas tus paranoias se verán confirmadas. Afortunadamente, nunca es un mal momento para reforzar tu privacidad en internet.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.