Cuando en 1994 se permitió el acceso de particulares y empresas a Internet, una de sus características era que podíamos disfrutar de cierta privacidad.Con la tecnología «primaria» de aquellos tiempos era muy difícil o prácticamente imposible recopilar toda la información que ahora puede obtenerse facilmente sobre un usuario.
La web de hoy en dia es muy diferente.
Las compañías de marketing valoran mucho el seguimiento de las preferencias de sus futuros consumidores, de ahí su insaciabilidad de mejores y más sofisticadas formas de rastrear nuestras actividades en Internet.
La dirección IP
Una dirección IP (IP address) sirve para identificar y localizar a un dispositivo en una red interna o externa.
Por ello, supone la base de la transmisión de información desde el emisor hasta el destinatario.
Este es el tipo de información más común que acostumbra a registrar cualquier sitio web, incluido el nuestro.
Mediante la dirección IP de un usuario, es relativamente fácil saber su ubicación geográfica.
Con una búsqueda más «afinada» se puede saber si una dirección IP pertenece a Orange, Movistar, Jazztel etc.
También, basta con utilizar algun servicio online como IP Whois Lookup, para averiguarlo.
La dirección IP no debe confundirse con la dirección MAC. Un identificador de 48 bits expresado en código hexadecimal, para identificar de forma única la tarjeta de red y no depende del protocolo de conexión utilizado.
El uso de una VPN confiable, un servidor proxy o Tor Browser, es una buena manera de evitar este tipo localización.
Detalles de hardware y software
Los navegadores web facilitan todo tipo de información al sitio web que lo solicita.
Esto incluye una gran variedad de parámetros del ordenador que estamos utilizando.
Esto puede parecer inocente, pero junto a otra información podría usarse para rastrear o identificar una máquina específica.
El sitio conocerá tu sistema operativo, procesador, GPU y más.
Una forma de evitar esto seria navegar desde una máquina virtual como Oracle VM VirtualBox que proporcionará información genérica del sistema al sitio web.
Pero utilizar una máquina virtual para las actividades cotidianas puede ser bastante engorroso.
Es más factible y menos complicado usar algún complemento para el navegador centrado en la privacidad como NoScript.
Rastreadores invisibles
Los principales sitios de noticias y otras páginas web, a menudo tienen contenido publicitario incrustado en la parte inferior de un artículo que incluye alguna forma de seguimiento.
Por ejemplo, cuando buscas un producto específico en Google verás anuncios emergentes en todos los demás sitios que cuenten con Google Adsense o Google AdWords.
Afortunadamente, hay motores de búsqueda centrados en la privacidad como DuckDuckGo que evitan en gran medida el rastreo.
También podemos usar un navegador como Epic Privacy Browser, que con el permiso de Tor Browser, es posiblemente el navegador más privado que existe en Internet.
Incluso viene con un servidor proxy incluido para enmascarar nuestra dirección IP.
Casi todos los navegadores modernos ahora también admiten una característica conocida como no rastrear, que le dice a un sitio que debe desactivar su tecnología de rastreo cuando lo visitamos.
Sin embargo, este es un «acuerdo voluntario», por lo que el sitio puede ignorarlo si lo desea.
La herramienta más efectiva en la lucha contra los rastreadores invisibles es el Privacy Badger del EFF.
Una extensión para Chrome, Firefox y Opera que bloquea de forma automática todo tipo de rastreadores de terceros que de otra forma estarían siguiéndote mientras navegas por Internet y espiando tus hábitos de navegación.
Datos de autocompletar
Probablemente habrás notado que cuando tienes que completar un formulario en un sitio web, tu navegador rellena automáticamente detalles como tu nombre o dirección.
Esto es debido a que los navegadores acumulan distintos perfiles, direcciones y números de teléfono en sus servidores.
Es una función cómoda que puede ahorrarnos mucho tiempo, ya que basta con seleccionar alguna de las sugerencias del listado y nos evita tener que teclear el resto de información.
Pero la comodidad a veces puede convertirse en una pesadilla para la privacidad, y no es cuestión de tomárselo a la ligera.
Los sitios web sin escrúpulos pueden instalar un script para capturar esa información a medida que la escribimos.
Mediante estos scripts ocultos, engañan al navegador para que este les revele las direcciones de correo, contraseñas etc, por lo tanto ni se te ocurra poner los detalles de tu tarjeta de credito con esta opción habilitada.
Para evitar disgustos, es una buena idea deshabilitar la función de autocompletar en la configuración de todos los navegadores.
También puede ser peligroso tener esta opción habilitada cuando compartrimos nuestra máquina con terceros.
Otras cuentas en las que ha iniciado sesión
Cuando visitas un sitio web podría detectar a que cuentas online estás conectado (Google, Flickr, Twitch, etc.) por los rastros que dejan en tu máquina.
Por ejemplo, los inevitables botones de «Compartir en Facebook » que tienen muchas páginas web ayudan a esta compañía a rastrear a los usuarios sin necesidad de que los visitantes de la página hagan clic en el botón.
Afortunadamente existen extensiones del navegador como Facebook Container que ayudan a que esto no suceda.
Registros del teclado
Muchos administradores de sitios web están utilizando herramientas de terceros llamadas secuencias de comandos de reproducción de sesión (session replay) para rastrear las sesiones de navegación de sus visitantes.
Incluidas las pulsaciones que realizan en el teclado y los movimientos del ratón.
Session replay es una forma eufemística de denominar a un infame keylogger.
A diferencia de los típicos servicios de análisis como Google Analytics que proporcionan estadísticas a los dueños de los sitios web, estos scripts están destinados a la grabación y reproducción de sesiones de navegación individuales.
Es casi como si alguien estuviera mirando por encima de nuestro hombro.
Aunque el propósito de estas herramientas es recopilar información sobre cómo los usuarios interactúan con los sitios web y descubrir páginas con errores de acceso y enlaces rotos, la verdad es que estos scripts representan serios problemas de privacidad.
Seguro que no nos sorprendería, que una página web cuyo servidor está alojado en Rusia o China, ocultase alguna sorpresa de este tipo o algo peor.
Pero la verdad es que más de 100.000 sitios web que visitamos a diario (algunos de ellos muy populares.) recogen todo lo que escribimos.
Meta Pixel y TikTok Pixel, rastreadores de marketing invisibles que algunos servicios incrustan en sus sitios web para rastrear a los usuarios y mostrarles anuncios, captaban las direcciones de correo electrónico, con su hash incluido.
La función hash «corta» los datos y les da una longitud uniforme sin importar el valor inicial.
Esta función también recibe el nombre de función de resumen y se utiliza en muchas áreas de la seguridad informática, como por ejemplo la protección de datos confidenciales.
Algo bastante inquietante.
La solución pasa por bloquear los scripts de inicio de sesión mediante extensiones del navegador como NoScript, uBlock o uMatrix, para evitar que estas secuencias de comando se carguen en los sitios que visitamos.
Huella digital del navegador
La huella digital del navegador es la combinación única de varios parámetros de configuración que pueden identificar a un usuario en concreto al visitar un sitio web.
Por ejemplo qué complementos están instalados, que versión de navegador web utiliza, el tamaño y la resolución de la pantalla, o los plugins instalados
Incluso si usas una VPN para cambiar o ocultar tu IP, o te conectas a Internet desde una red diferente, al acceder a un sitio, este puede conocer tu huella digital, si utilizas siempre el mismo navegador
Como se obtiene esa huella
A través de la librería de código abierto fingerprintjs2, se puede obtener la huella digital de un navegador, haciendo un cálculo sobre estos parámetros:
- Las cabeceras HTTP ACCEPT que proporciona el navegador.
- La zona horaria.
- Las extensiones que tenga instaladas el navegador y sus versiones.
- Las fuentes instaladas en el ordenador y que se reportan a Java.
- Donde se ejecutan los programas de JavaScript.
- Información sobre si el navegador acepta o no cookies.
- Donde envía el navegador las cabeceras Do Not Track.
- El sistema operativo utilizado (e.g. Win32, Linux x86)
- EL idioma del sistema (ej. es-ES)
- Si un navegador soporta pantallas táctiles.
- Un cálculo hash sobre una imagen generada en el Canvas.
- Un cálculo hash sobre una imagen generada por WebGL.
Instalar bloqueadores como Decentraleyes, que permiten eludir el rastreo, deshabilitar el uso de Javascript y alternar entre distintos navegadores son medidas que podemos tomar para minimizar la huella digital que dejamos al navegar por la web.
Los más paranoicos pueden realizar el acceso a Internet mediante máquinas virtuales como Oracle VM VirtualBox.
Cómo verificar la fuga de datos
No todos los sitios web recopilan de forma desenfrenada e infame los datos mencionados anteriormente.
Algunos recopilan solo los datos imprescindibles para su correcto funcionamiento, otros simplemente viven pegados a Google Analytics para mejorar su posicionamiento, y también los hay que no recopilan ningún dato en absoluto.
En síntesis, eso dependerá de los objetivos fijados por el perpetrador del portal.
También vale la pena recordar que los sitios web no son la única forma en que las sanguijuelas recopilan datos sobre los usuarios.
Los teléfonos móviles, los asistentes de voz, algunos programas informáticos descargados de Internet, y los servidores de correo electrónico, son otra fuente de información.
En cualquier caso, existen varios sitios web que nos ayudarán a descubrir dónde, cuando y cómo estamos filtrando información, para ayudarnos a tomar las contramedidas oportunas.
Panopticlick es una gran herramienta de la Electronic Frontier Foundation que hace exactamente eso.
Simplemente haz clic en el botón «Test Me» y todas tus paranoias se verán confirmadas.
Afortunadamente, nunca es un mal momento para reforzar tu privacidad en internet.
