Créditos de imagen: Getty Images
Mozilla ha reforzado aún más las medidas anti-rastreo en su navegador Firefox. En una publicación de blog de ayer, anunció que Firefox 86 tiene una capa adicional de seguimiento anti-cookie incorporada en el modo estricto de protección de seguimiento mejorada (ETP), al que llama «Protección Total de cookies» (TCP).
Este «avance importante de privacidad», a medida que lo factura, evita el seguimiento entre sitios al silenciar las cookies de terceros por sitio web.
Mozilla compara esto con tener un tarro de galletas separado para cada sitio, por lo que, por ejemplo, las cookies de Facebook no se almacenan en la misma bañera que las cookies de ese sitio web de zapatillas donde compraste tus últimas zapatillas, etc.
La nueva capa de envoltura de privacidad «proporciona una partición completa de cookies y otros datos de sitios entre sitios web en Firefox», explica Mozilla.
Junto con otra función anti-tracking, anunció el mes pasado, dirigida a los llamados «supercookies», también conocidos como rastreadores furtivos que almacenan ID de usuario en partes «cada vez más oscuras» del navegador (como almacenamiento Flash, ETags y banderas HSTS), es decir, donde es difícil para los usuarios eliminarlos o bloquearlos, las funciones se combinan para «evitar que los sitios web puedan ‘etiquetar’ su navegador, eliminando así la técnica de seguimiento más generalizada entre sitios», según Mozilla.
Hay una «excepción limitada» para las cookies entre sitios cuando se necesitan para fines que no sean de seguimiento: Mozilla da el ejemplo de proveedores de inicio de sesión de terceros populares.
» Solo cuando Total Cookie Protection detecte que tiene la intención de usar un proveedor, le dará permiso a ese proveedor para usar una cookie de varios sitios específicamente para el sitio que está visitando actualmente. Tales excepciones momentáneas permiten una fuerte protección de la privacidad sin afectar su experiencia de navegación», agrega.
El bloqueo de rastreadores ha sido durante mucho tiempo una carrera armamentista contra la determinación de la industria adtech de seguir vigilando a los usuarios de la web, y burlándose de la noción de consentimiento para espiar los negocios en línea de las personas, vertiendo recursos en la elaboración de nuevas técnicas diabólicas para tratar de seguir observando lo que están haciendo los usuarios de Internet. Pero esta batalla se ha intensificado en los últimos años, ya que los fabricantes de navegadores han adoptado una postura más dura a favor de la privacidad/anti-rastreador.
Mozilla, por ejemplo, comenzó a hacer que el bloqueo de rastreadores fuera el predeterminado en 2018 — pasando a hacer que ETP fuera el predeterminado en Firefox en 2019, bloqueando las cookies de empresas identificadas como rastreadores por su socio, Disconnect.
Mientras que el navegador Safari de Apple agregó una función de» Prevención de seguimiento inteligente » (ITP) en 2017, aplicando aprendizaje automático para identificar rastreadores y separar los datos de scripting entre sitios para proteger el historial de navegación de los usuarios de ojos de terceros.
Google también ha puesto al gato entre las palomas adtech al anunciar una eliminación gradual planificada del soporte para cookies de terceros en Chrome, que dijo que llegaría dentro de dos años en enero de 2020, aunque todavía está trabajando en este proyecto de «privacidad sandbox», como lo llama (ahora bajo la atenta mirada de los reguladores antimonopolio del Reino Unido).
Google ha estado haciendo ruidos de fortalecimiento de la privacidad desde 2019, en respuesta al resto del mercado de navegadores que responde a la preocupación sobre la privacidad en línea.
En abril del año pasado, revirtió un cambio que había dificultado el acceso de los sitios a las cookies de terceros, citando preocupaciones de que los sitios pudieran realizar funciones esenciales durante la pandemia, aunque esto se reanudó en julio. Pero es justo decir que el gigante de adtech sigue siendo el rezagado cuando se trata de ejecutar su plan reclamado para reforzar la privacidad.
Dada la cuota de mercado de Chrome, eso deja a la mayoría de los usuarios web del mundo expuestos a más seguimiento de lo que de otra manera estarían utilizando un navegador diferente y más proactivo para la privacidad.
Y como muestra la última función de seguimiento anti-cookie de Mozilla, la carrera por burlar la alergia de adtech a la privacidad (y el consentimiento) tampoco es la que tiene una línea de meta. Por lo tanto, podría decirse que ser lento para proteger la privacidad no es muy diferente a no ofrecer mucha protección de la privacidad en absoluto.
A saber: Un desarrollo preocupante, en el frente de seguimiento basado en cookies que no son de terceros, se detalla en este nuevo documento por un grupo de investigadores de privacidad que realizaron un análisis del seguimiento CNAME (también conocido como una técnica de evasión de rastreo basada en DNS) y encontraron que el uso del método de evasión de rastreo sigiloso había crecido en alrededor de una quinta parte en poco menos de dos años.
La técnica ha estado generando preocupaciones generales sobre el seguimiento web «desbloqueable» desde alrededor de 2019, cuando los desarrolladores lo vieron siendo utilizado en la naturaleza por un sitio web de periódicos franceses. Desde entonces, el uso ha ido en aumento, según la investigación.
En pocas palabras, la técnica de seguimiento CNAME oculta el rastreador inyectándolo en el contexto de primera parte del sitio web visitado, a través del contenido incrustado a través de un subdominio del sitio que en realidad es un alias para el dominio del rastreador.
» Este esquema funciona gracias a una delegación DNS. La mayoría de las veces es un registro CNAME de DNS», escribe Lukasz Olejnik, uno de los autores del artículo, investigador de privacidad y seguridad, en una publicación de blog sobre la investigación. «Técnicamente, el rastreador está alojado en un subdominio del sitio web visitado.
» El empleo de un régimen de este tipo tiene ciertas consecuencias. En cierto modo, engaña a las protecciones fundamentales de seguridad y privacidad de la web pensar que el usuario está navegando voluntariamente por el sitio web del rastreador. Cuando un navegador web ve un esquema de este tipo, algunas protecciones de seguridad y privacidad se relajan.»
No se deje engañar por el uso de la palabra ‘relajado—, ya que Olejnik continúa enfatizando que la técnica de seguimiento CNAME tiene «implicaciones sustanciales para la seguridad y la privacidad web». Como los navegadores engañados para que traten a un rastreador como contenido legítimo de primera parte del sitio web visitado (lo que, a su vez, desbloquea «muchos beneficios», como el acceso a cookies de primera parte, que luego se pueden enviar a servidores remotos de terceros controlados por los rastreadores para que la entidad de vigilancia pueda salirse con la suya con los datos personales).
Por lo tanto, el riesgo es que una parte del trabajo de ingeniería inteligente que se está realizando para proteger la privacidad mediante el bloqueo de rastreadores se pueda dejar de lado al pasar por debajo del radar de los anti-rastreadores.
Los investigadores encontraron un proveedor de rastreadores (infame), Criteo, que revirtió sus scripts de seguimiento al esquema de camuflaje CNAME personalizado cuando detectó el navegador web Safari en uso, como, presumiblemente, una forma de eludir el ITP de Apple.
También hay más preocupaciones sobre el seguimiento de CNAME: El documento detalla cómo, como consecuencia de la arquitectura web actual, el esquema «desbloquea una forma para fugas amplias de cookies», como dice Olejnik, explicando cómo el resultado de la técnica que se implementa puede ser «muchas cookies legítimas y no relacionadas» que se envían al subdominio del rastreador.
Olejnik documentó esta preocupación en un estudio en 2014, pero escribe que el problema ahora ha explotado: «Como la punta del iceberg, encontramos amplias fugas de datos en 7,377 sitios web. Algunas fugas de datos ocurren en casi todos los sitios web que utilizan el esquema CNAME (las cookies de análisis comúnmente se filtran). Esto sugiere que este esquema es activamente peligroso. Es perjudicial para la seguridad y la privacidad de la web.»
Los investigadores encontraron cookies que se filtraban en el 95% de los sitios web de los estudios.
También informan de la búsqueda de fugas de cookies establecidas por otros scripts de terceros, lo que sugiere que las cookies filtradas en esos casos permitirían al rastreador CNAME rastrear a los usuarios en los sitios web.
En algunos casos, encontraron que la información filtrada contenía información privada o confidencial — como el nombre completo, la ubicación, la dirección de correo electrónico y (en un problema de seguridad adicional) una cookie de autenticación.
El documento continúa planteando una serie de problemas de seguridad web, como cuando los rastreadores CNAME se sirven a través de HTTP y no HTTPS, lo que encontraron que ocurría a menudo y que podría facilitar los ataques de intermediario.
La defensa contra el esquema de camuflaje CNAME requerirá que algunos de los principales navegadores adopten nuevos trucos, según los investigadores, que señalan que mientras Firefox (cuota de mercado global alrededor del 4%) ofrece una defensa contra la técnica que Chrome no.
Los ingenieros del motor WebKit que sustenta el navegador Safari de Apple también han estado trabajando para realizar mejoras en ITP destinadas a contrarrestar el seguimiento de CNAME.
En una publicación de blog el pasado mes de noviembre, el ingeniero de IPT John Wilander escribió que como defensa contra la técnica furtiva » ITP ahora detecta solicitudes de camuflaje CNAME de terceros y limita la caducidad de cualquier cookie establecida en la respuesta HTTP a 7 días. Este límite está alineado con el límite de caducidad de ITP en todas las cookies creadas a través de JavaScript.»
El navegador Brave también anunció cambios el otoño pasado dirigidos a combatir el camuflaje de CNAME.
» En la versión 1.25.0, uBlock Origin obtuvo la capacidad de detectar y bloquear solicitudes con capa de CNAME utilizando el excelente navegador de Mozilla.API de dns. Sin embargo, esta solución solo funciona en Firefox, ya que Chromium no proporciona el navegador.API de dns. Hasta cierto punto, estas solicitudes se pueden bloquear utilizando servidores DNS personalizados. Sin embargo, ningún navegador se ha enviado con capacidades de protección de bloqueo de anuncios basadas en CNAME disponibles y activadas de forma predeterminada», escribió.
» En Brave 1.17, Brave Shields ahora comprobará recursivamente los registros de nombres canónicos para cualquier solicitud de red que no esté bloqueada de otro modo mediante un solucionador de DNS incrustado. Si la solicitud tiene un registro CNAME, y la misma solicitud bajo el dominio canónico se bloquearía, entonces la solicitud se bloquea. Esta solución está activada de forma predeterminada, lo que brinda protección de privacidad mejorada a millones de usuarios.»
Pero el navegador con mayor cuota de mercado, Chrome, tiene trabajo que hacer, según los investigadores, que escriben:
Debido a que Chrome no admite una API de resolución DNS para extensiones, la defensa no se pudo aplicar a este navegador. En consecuencia, encontramos que cuatro de los rastreadores basados en CNAME (Oracle Eloqua, Eulerian, Criteo y Keyade) están bloqueados por uBlock Origin en Firefox, pero no en la versión de Chrome.
Hablando de los hallazgos de la investigación, Tom Van Goethem, otro de los autores del artículo, dijo que los datos del equipo muestran que los editores web que usan el seguimiento CNAME lo están utilizando para complementar otros métodos de seguimiento de terceros más «típicos».
» Nuestros datos muestran que los editores que adoptan la base CNAME ya tienen un número considerable de rastreadores (más de 20 por sitio en promedio), y descubren que este número de rastreadores se mantiene estable a lo largo del tiempo. Esto indica que el seguimiento basado en CNAME no se utiliza como un reemplazo del típico seguimiento de terceros, sino más bien para aumentar sus capacidades de seguimiento, por ejemplo, dirigirse a los usuarios con un mecanismo anti-seguimiento», dijo a TechCrunch.
Los investigadores no se centraron en encontrar una explicación causal para el aumento en el uso de camuflaje CNAME. Pero Van Goethem dijo que encontraron algunos rastreadores que lo usaban solo contra el navegador Safari («que se sabe que incluye protecciones estrictas contra el rastreo»), lo que sugiere (al menos) una explicación parcial para el creciente uso de la técnica.
Preguntó qué tipo de respuesta de la comunidad les gustaría ver para combatir el esquema CNAME, dijo: «Idealmente, más defensas anti-rastreo deberían adoptar medidas sólidas contra el rastreo basado en CNAME, de modo que los usuarios estén protegidos independientemente del navegador que estén utilizando.»
Los navegadores necesitan desplegar múltiples defensas para combatir una variedad de técnicas con el fin de defender eficazmente la privacidad del usuario. Por lo tanto, en el caso de la nueva función TCP de Firefox, Van Goethem señaló que, si bien no afecta el seguimiento basado en CNAME (de primera parte) «en esencia», protege contra la sincronización de cookies entre sitios que emplean el seguimiento de primera parte.
«Con el seguimiento basado en CNAME, el rastreador puede seguir las actividades del usuario en un sitio específico (que incluye el rastreador), pero necesita sincronizar las cookies con otros sitios para vincular las actividades rastreadas de un usuario específico en el sitio A a las actividades de ese mismo usuario en el sitio B. La protección total de cookies evitaría esto», explicó.
Otras técnicas de seguimiento no basadas en cookies la toma de huellas dactilares de dispositivos l– ike y la toma de huellas dactilares efímeras también se pueden utilizar para eludir las defensas basadas en el navegador contra el seguimiento basado en cookies. «Esto significa que las defensas deben ser completas y proporcionar protecciones contra todo tipo de seguimiento para proteger a los usuarios», según Van Goethem.
«Esperamos que nuestro análisis a gran escala, que muestra que el seguimiento basado en CNAME está en aumento, aumente la conciencia e incentive a los usuarios y proveedores de navegadores para avanzar en las defensas contra este mecanismo de seguimiento», agregó.
» Además, esperamos que nuestro estudio destaque el impacto potencial en la seguridad al que se enfrentan los editores al incluir rastreadores basados en CNAME. A lo largo de nuestro estudio, descubrimos dos problemas de seguridad que afectan a todos los visitantes de los sitios de los editores; en un caso, el problema aún no se ha solucionado (a pesar de los múltiples intentos de comunicarse con el rastreador para informar de la vulnerabilidad), poniendo en riesgo a los visitantes de cientos de sitios web.»
Las medidas reglamentarias y de aplicación también podrían ser útiles para frenar el uso de la técnica CNAME, también sugirió.
Este informe se actualizó con comentarios adicionales.
{{{título}}}
{{{autor}}}
{{{fecha}}}