{"id":747,"date":"2015-12-21T13:59:12","date_gmt":"2015-12-21T16:59:12","guid":{"rendered":"https:\/\/www.nachodelatorre.com.ar\/mosconi\/?p=747"},"modified":"2015-12-21T13:59:12","modified_gmt":"2015-12-21T16:59:12","slug":"web-tracking-e-identificacion-de-usuarios-de-internet","status":"publish","type":"post","link":"https:\/\/www.fie.undef.edu.ar\/ceptm\/?p=747","title":{"rendered":"Web tracking e identificaci\u00f3n de usuarios de Internet"},"content":{"rendered":"<div class=\"detailArticle\">\n<p>El valor de la recolecci\u00f3n de datos y su an\u00e1lisis, popularmente referido bajo t\u00e9rminos como Big Data o Smart Data se ha convertido, sin lugar a dudas, en una poderosa herramienta que empieza a cobrar importancia en m\u00faltiples aspectos de la sociedad moderna. As\u00ed, sectores tan diversos como medios de comunicaci\u00f3n, entornos de negocio y econ\u00f3micos, sectores pol\u00edticos e incluso de inteligencia militar se han visto involucrados, cuando no necesitados de contemplar en su operativa de trabajo esta importante estrategia de an\u00e1lisis de datos.<\/p>\n<p><!--more--><\/p>\n<h3>Distintas motivaciones, mismo objetivo<\/h3>\n<p>La obtenci\u00f3n y explotaci\u00f3n de datos, tanto de <a href=\"https:\/\/www.incibe.es\/blogs\/post\/Seguridad\/BlogSeguridad\/Articulo_y_comentarios\/osint_la_informacion_es_poder\"> fuentes p\u00fablicas OSINT<\/a> como los obtenidos por otros m\u00e9todos de rastreo e identificaci\u00f3n conocido como &#8220;tracking, son de gran utilidad para recopilar informaci\u00f3n de usuarios de internet. Las motivaciones para hacerlo son m\u00faltiples: la creaci\u00f3n de perfiles de clientes y an\u00e1lisis de comportamientos para mejorar estrategias ventas y mercado, la manipulaci\u00f3n a medida de precios y publicidad seg\u00fan el origen del objetivo, la monetizaci\u00f3n de la informaci\u00f3n recopilada mediante su venta a terceros, el seguimiento de individuos o colectivos, estad\u00edsticas, etc.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 5\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image002.png\" alt=\"\" width=\"511\" height=\"371\" name=\"Imagen 5\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Algunas motivaciones para el seguimiento e identificaci\u00f3n de usuarios &#8211;<\/em><\/p>\n<p>Estas t\u00e9cnicas son muy comunes de modo que ya a nadie sorprende por ejemplo, la precisi\u00f3n de anuncios de publicidad en nuestra navegaci\u00f3n por internet o la <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/conferences.sigcomm.org\/hotnets\/2012\/papers\/hotnets12-final94.pdf\" rel=\"external\"> variaci\u00f3n de precios en compras online<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> cuyo comportamiento ser\u00e1 distinto dependiendo del p\u00fablico objetivo al que se dirige.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 13\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image003.jpg\" alt=\"\" width=\"630\" height=\"809\" name=\"Imagen 13\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Manipulaci\u00f3n de precios dependiendo de la ubicaci\u00f3n y\/o sistema operativo. Plugin $sheriff-<\/em><\/p>\n<p>&nbsp;<\/p>\n<p>Para conseguir identificar, clasificar y recopilar la informaci\u00f3n de los usuarios de internet se emplean diversos m\u00e9todos y tecnolog\u00edas web que permiten recoger la suficiente informaci\u00f3n como para tener perfectamente perfilado a un usuario y sus patrones de comportamiento.<\/p>\n<p>Estos mecanismos son de uso generalizado e impactan de forma directa sobre la privacidad del usuario el cual, como veremos a continuaci\u00f3n, no tiene una forma sencilla de evitar esta exposici\u00f3n y proteger su anonimato.<\/p>\n<p>En este art\u00edculo nos centraremos en &#8220;web tracking&#8221; en referencia a mecanismos de rastreo dirigidos a la identificaci\u00f3n de dispositivos, navegadores y herramientas que utilizamos com\u00fanmente los usuarios de internet.<\/p>\n<h3>Web tracking e identificadores<\/h3>\n<p>Aunque no sean las \u00fanicas, podemos citar las t\u00e9cnicas m\u00e1s empleadas para perfilar usuarios o dispositivos y que podr\u00edamos agrupar como sigue:<\/p>\n<ul>\n<li>Identificadores de parte cliente (sesi\u00f3n, cach\u00e9, almacenamiento local)<\/li>\n<li>Huella digital hardware\/software<\/li>\n<li>Otros m\u00e9todos: patrones espec\u00edficos de comportamiento, preferencias locales, inyecci\u00f3n de cabeceras HTTP.&nbsp;\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 10\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image004.jpg\" alt=\"\" width=\"567\" height=\"329\" name=\"Imagen 10\" border=\"0\" \/><\/p>\n<\/li>\n<\/ul>\n<p class=\"centrado\"><em>&#8211; Agrupaci\u00f3n de elementos de tracking seg\u00fan su operativa &#8211;<\/em><\/p>\n<h3>Identificadores en parte cliente<\/h3>\n<p>Dentro de esta categor\u00eda de identificadores encontramos ciertos elementos (datos, ficheros) que son almacenados localmente por los navegadores en diversas ubicaciones de la m\u00e1quina cliente. Estos datos, ser\u00e1n transmitidos a servidores web y utilizados para identificar al usuario y realizar las operaciones deseadas seg\u00fan su perfil.<\/p>\n<p>La eliminaci\u00f3n de los datos almacenados no siempre cuenta con un mecanismo autom\u00e1tico o preconfigurado lo cual, dificulta su eliminaci\u00f3n y favorece su persistencia. El almacenamiento de los datos puede ser: almacenamiento local, de sesi\u00f3n, o cach\u00e9. Estos datos, en principio, contar\u00e1n con una persistencia claramente definida:<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 15\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image005.png\" alt=\"\" width=\"483\" height=\"263\" name=\"Imagen 15\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>-Tipos de almacenamiento local y supuesto m\u00e9todo de eliminaci\u00f3n &#8211;<\/em><\/p>\n<p>Como veremos a continuaci\u00f3n, los mecanismos de borrado de los datos de navegaci\u00f3n no siempre son tan eficaces como podr\u00eda esperarse.<\/p>\n<p><strong>Identificadores de sesi\u00f3n<\/strong><\/p>\n<p>Este tipo de identificadores se almacena de forma temporal mientras el usuario hace uso de navegador y persiste mientras dure la sesi\u00f3n. Suele tratarse de elementos contenidos en la p\u00e1gina como campos ocultos, propiedades DOM de la p\u00e1gina o formularios web de autenticaci\u00f3n expl\u00edcitos que validan al usuario \u00fanicamente durante una sesi\u00f3n activa. A diferencia de las cookies, y otros m\u00e9todos, estos identificadores no se almacenan y desaparecen al salir de la sesi\u00f3n o p\u00e1gina visitada. Este m\u00e9todo es obsoleto y generalmente no es muy utilizado, sobre todo cuando existe la posibilidad de emplear cookies u otro tipo de almacenamiento con mayor persistencia.<\/p>\n<p><strong>Almacenamiento Cach\u00e9<\/strong><\/p>\n<p>La cach\u00e9 constituye un elemento muy a tener en cuenta desde el punto de la privacidad. Los navegadores web implementan una cach\u00e9 que les permite obtener un mejor rendimiento a la hora de visualizar sitios previamente visitados, almacenando parte de su contenido como im\u00e1genes o scripts. Es un tipo de almacenamiento muy com\u00fan y la persistencia de los datos almacenados depende directamente de la configuraci\u00f3n empleada en el navegador y\/o del borrado manual.<\/p>\n<p>La persistencia de los elementos cacheados generalmente est\u00e1 determinada mediante valores que son establecidos mediante cabeceras HTTP al visitar una web. Entre estas cabeceras encontramos:<\/p>\n<p><em>Expires\/max-age.<\/em> Determina una fecha de caducidad de los datos los cuales se mantendr\u00e1n hasta que se alcance esa fecha o se realice un purgado manual de la cach\u00e9.<\/p>\n<p><em>ETag.<\/em> Esta cabecera etiqueta un contenido variable del sitio web y su valor indicar\u00e1 al navegador cuando un recurso ha sido cambiado.<\/p>\n<p><em>Last-Modified.<\/em> Se emplea para notificar la fecha de la \u00faltima vez que el contenido web ha sufrido alguna modificaci\u00f3n.<\/p>\n<p>Estas cabeceras pueden ser aprovechadas para conseguir almacenar en el navegador cliente elementos diferenciadores con la persistencia deseada y as\u00ed tener un perfil asociado al usuario. Una prueba de concepto de esta idea la encontramos en <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/www.google.es\/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;cad=rja&amp;uact=8&amp;ved=0CCQQFjAAahUKEwj-3vmFlODIAhUFtRQKHc7nBu4&amp;url=http%3A%2F%2Fwww.elladodelmal.com%2F2011%2F10%2Fjapi-tracing-una-demo-en-video.html&amp;usg=AFQjCNEBDOs2YxYwq1bQgjt8VmIBR9SUWA&amp;sig2=UVfyF_F6Icdua3R9g_-JZw\" rel=\"external\"> Japitracing<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>, un trabajo de M\u00e1ster en Seguridad realizado en 2011 en la Universidad Europea de Madrid. En ese estudio se saca partido a las cabeceras HTTP para almacenar en la cach\u00e9 del navegador c\u00f3digo JavaScript y utilizarlo para rastrear geogr\u00e1ficamente al usuario.<\/p>\n<p><strong>Datos y ficheros locales<\/strong><\/p>\n<ul>\n<ul>\n<li>Cookies HTTP<\/li>\n<\/ul>\n<\/ul>\n<p>Las cookies han sido y siguen siendo un mecanismo ampliamente utilizado para identificar y perfilar usuarios y as\u00ed poder mantener un hist\u00f3rico de su navegaci\u00f3n, preferencias y sesiones. Pueden almacenar hasta 4 KB de informaci\u00f3n y su eliminaci\u00f3n es sencilla, pero este borrado no siempre evita que el seguimiento de la informaci\u00f3n persista o se reconstruya, como se describe a continuaci\u00f3n.<\/p>\n<ul>\n<ul>\n<li>Flash (cookies Flash)<\/li>\n<\/ul>\n<\/ul>\n<p>Las aplicaciones de Adobe Flash almacenan datos en la parte cliente con un mecanismo hom\u00f3logo a las cookies HTTP, y que se conoce como Local Shared Objects (LSO), los cuales cuentan con una capacidad de almacenamiento de hasta 100 KB. Este contenido puede ser accedido por todos los navegadores instalados ya que Adobe Flash comparte la misma ruta de localizaci\u00f3n de archivos.<\/p>\n<p>La tendencia es que los navegadores integren en la gesti\u00f3n de cookies los elementos LSO Flash de modo que su eliminaci\u00f3n suponga tambi\u00e9n la eliminaci\u00f3n de ficheros Flash. Sin embargo existen t\u00e9cnicas que utilizando c\u00f3digo JavaScript son capaces de regenerar cookies HTTP borradas a partir del almacenamiento Flash (<a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/en.wikipedia.org\/wiki\/Evercookie\" rel=\"external\">Evercookies<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>).<\/p>\n<ul>\n<ul>\n<li>Silverlight<\/li>\n<\/ul>\n<\/ul>\n<p>An\u00e1logamente los applets de Microsoft Silverlight, mantienen un almacenamiento de datos local conocido como <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/msdn.microsoft.com\/en-us\/library\/bdts8hk0%28v=vs.95%29.aspx\" rel=\"external\">Isolated Storage<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>. Esta tecnolog\u00eda no depende de la gesti\u00f3n de datos de navegaci\u00f3n ni de la cach\u00e9 del navegador siendo necesario un borrado manual de los ficheros. Esta caracter\u00edstica le confiere un alto grado de persistencia que puede ser aprovechada para la identificaci\u00f3n del cliente web. Por otra parte, este almacenamiento puede ser compartido entre distintas instancias o ventanas del navegador.<\/p>\n<ul>\n<ul>\n<li>HTML5<\/li>\n<\/ul>\n<\/ul>\n<p>HTML5 vino acompa\u00f1ado de importantes funcionalidades, entre ellas una API (<a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/www.w3.org\/TR\/webstorage\/#dom-localstorage\" rel=\"external\">WebStorage<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>) que incluye m\u00f3dulos para gestionar el almacenamiento de datos con distintos grados de persistencia como Local storage (cach\u00e9) o Session Storage (sesi\u00f3n). Similarmente <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/API\/IndexedDB_API\" rel=\"external\">IndexedDB<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> o <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/API\/File\" rel=\"external\">File<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> son otros ejemplos de API para almacenar ficheros y manejar bases de datos en el cliente, cuyo borrado requerir\u00e1 intervenci\u00f3n manual en la mayor\u00eda de las ocasiones<\/p>\n<ul>\n<li>Java<\/li>\n<\/ul>\n<p>Java asimismo tambi\u00e9n dispone API la espec\u00edfica <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/docs.oracle.com\/javase\/7\/docs\/jre\/api\/javaws\/jnlp\/javax\/jnlp\/PersistenceService.html\" rel=\"external\"> PersistenceService<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> que proporciona m\u00e9todos para almacenar datos locales en el cliente incluso para aplicaciones externas al entorno del navegador.<\/p>\n<p><strong>Otros m\u00e9todos<\/strong><\/p>\n<ul>\n<li>HSTS<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.incibe.es\/blogs\/post\/Seguridad\/BlogSeguridad\/Articulo_y_comentarios\/HSTS\"> HSTS<\/a> es un mecanismo de seguridad cuyo objetivo es forzar que la conexi\u00f3n a un dominio concreto se realice \u00fanicamente bajo HTTPS. Para ello el navegador almacena un listado de sitios registrados inicialmente y posteriormente, va a\u00f1adiendo nuevos bajo demanda a trav\u00e9s de cabeceras HTTP. Una vez se almacena un registro HSTS, \u00e9ste ser\u00e1 permanente hasta que caduque y no servir\u00e1 para nada borrar cookies, cach\u00e9 o ficheros temporales. \u00danicamente podr\u00e1 ser borrado desde opciones avanzadas del navegador de forma no trivial.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 4\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image006.png\" alt=\"\" width=\"567\" height=\"643\" name=\"Imagen 4\" border=\"0\" \/><\/p>\n<p class=\"centrado\">l<em>&#8211; Configuraci\u00f3n y registros HSTS en Chrome &#8211;<\/em><\/p>\n<p>Sacando partido de este mecanismo es posible generar registros HSTS en el navegador del usuario y as\u00ed crear un conjunto identificador al que se ha dado en denominar, de modo quiz\u00e1s inapropiado, <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/nakedsecurity.sophos.com\/2015\/02\/02\/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security\/\" rel=\"external\"> supercookies HSTS<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>. Puede realizarse un test de prueba en el siguiente enlace: <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/www.radicalresearch.co.uk\/lab\/hstssupercookies\" rel=\"external\">http:\/\/www.radicalresearch.co.uk\/lab\/hstssupercookies<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a><\/p>\n<p>Como podemos ver HSTS, independientemente de su misi\u00f3n original, ha pasado a convertirse en una herramienta que puede utilizarse para obtener informaci\u00f3n que compromete la privacidad del usuario. De este modo, podr\u00eda obtenerse incluso el hist\u00f3rico de navegaci\u00f3n, tal y como se ha demostrado en <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/zyan.scripts.mit.edu\/presentations\/toorcon2015.pdf\" rel=\"external\">un trabajo presentado en la conferencia de seguridad ToorCon de San Diego de 2015<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>. En una prueba de concepto denominada <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/zyan.scripts.mit.edu\/sniffly\/\" rel=\"external\">Sniffly<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> se demuestra c\u00f3mo, a trav\u00e9s de solicitudes HSTS y analizando el tiempo de respuesta del navegador (que depender\u00e1 de si tiene o no el registro almacenado) es posible inferir los sitios visitados por el usuario.<\/p>\n<h3>Huella digital software\/hardware<\/h3>\n<p>Las t\u00e9cnicas basadas en huella digital utilizan elementos diferenciadores en el hardware o el software empleado por el usuario. Para ello y mediante JavaScript, Flash, Java y otras tecnolog\u00edas web se recopilar\u00e1 informaci\u00f3n que har\u00e1 posible crear una &#8220;huella digital&#8221; que lo identifique con bastante precisi\u00f3n.<\/p>\n<p><strong>Huella digital de navegador<\/strong><\/p>\n<p>La iniciativa <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/panopticlick.eff.org\/\" rel=\"external\">Panopticlick<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> de la fundaci\u00f3n Electronic Frontier Foundation (<a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/www.eff.org\/es\" rel=\"external\">EFF<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>), implement\u00f3 una prueba de concepto para demostrar c\u00f3mo de particular era un cliente web en el momento de acceder a la web. A trav\u00e9s de un algoritmo que recoge informaci\u00f3n trav\u00e9s de peticiones HTTP y AJAX sobre los plugins instalados, la resoluci\u00f3n de pantalla, fuentes, zona horaria, cookies y objetos flash, determina una huella digital que permite diferenciar a un cliente web entre millones. Para navegadores que tengan java y flash activado afirman que el grado de fiabilidad a la hora de la identificaci\u00f3n se sit\u00faa en torno al 95%. Esta informaci\u00f3n demuestra el grado de precisi\u00f3n con que se puede construir una huella que determine la identidad de un navegador\/dispositivo concreto.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 2\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image007.jpg\" alt=\"\" width=\"567\" height=\"280\" name=\"Imagen 2\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Ejemplo de an\u00e1lisis de Panopticlick-<\/em><\/p>\n<p><strong>Huella digital HTML5 canvas<\/strong><\/p>\n<p>La huella canvas es una de los m\u00e9todos m\u00e1s recientes que se est\u00e1n utilizando para la identificaci\u00f3n de dispositivos seg\u00fan las caracter\u00edsticas de su hardware. Se hacer uso de la tecnolog\u00eda WebGL de generaci\u00f3n de gr\u00e1ficos para generar una imagen en un elemento HTML &lt;canvas&gt; en el cliente. Esta imagen, seg\u00fan se deduce del estudio <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/cseweb.ucsd.edu\/%7Ehovav\/dist\/canvas.pdf\" rel=\"external\">&#8220;Pixel Perfect: Fingerprinting Canvas in HMTL5&#8221;<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> depende directamente del hardware y tiene un grado de entrop\u00eda suficientemente alto como para crear una huella digital del equipo del usuario. Analizando las caracter\u00edsticas de los pixeles que conforman la imagen generada en el cliente web es posible obtener una huella identificativa con alto grado de precisi\u00f3n.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 8\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image008.png\" alt=\"\" width=\"549\" height=\"559\" name=\"Imagen 8\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Plugin CanvasFingerprintBlock para la detecci\u00f3n y bloqueo de im\u00e1genes de seguimiento canvas &#8211;<\/em><\/p>\n<p><strong>Huellas de red y geolocalizaci\u00f3n<\/strong><\/p>\n<p>La direcci\u00f3n IP del dispositivo o de la red en la que se encuentra es otro de los datos habituales que se utilizan para tratar de identificar usuarios a trav\u00e9s de diversas t\u00e9cnicas, entre ellas el an\u00e1lisis de tr\u00e1fico, cabeceras HTTP o el empleo de Java, Flash, JavaScript o HTML5. Datos de proxy intermedios tambi\u00e9n pueden aportar informaci\u00f3n o incluso puede ser posible obtener la direcci\u00f3n IP de la red privada del cliente, por ejemplo empleando API JavaScript proporcionada por <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/www.webrtc.org\/home\" rel=\"external\">WebRTC<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>, un proyecto libre para dotar facilidades de comunicaciones en tiempo real a los navegadores.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 3\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image009.png\" alt=\"\" width=\"327\" height=\"252\" name=\"Imagen 3\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Obtenci\u00f3n de la IP privada usando WebRTC (Chrome, Firefox) -. http:\/\/net.ipcalf.com<\/em><\/p>\n<p>La geolocalizaci\u00f3n tambi\u00e9n es otro de los datos extra\u00eddos y utilizados para el perfilado e identificaci\u00f3n. Para ello, se consulta la direcci\u00f3n en <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/dev.maxmind.com\/geoip\/legacy\/geolite\/\" rel=\"external\">bases de datos p\u00fablicas<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> o bien se emplea la API <em>Geolocation,<\/em> de HTML5. No obstante, la geolocalizaci\u00f3n es un dato que no cuenta con la suficiente precisi\u00f3n y que se ve afectado por circunstancias como la utilizaci\u00f3n de VPN o el uso de red Tor, que falsear\u00edan el origen real.<\/p>\n<h3>Otros mecanismos de identificaci\u00f3n<\/h3>\n<p><strong>Marcadores dependientes de las preferencias y comportamiento<\/strong><\/p>\n<p>Existen caracter\u00edsticas que van unidas al comportamiento habitual del usuario y que por tanto no est\u00e1n atadas a un dispositivo concreto. Estos datos son \u00fatiles para identificar un perfil de usuario que est\u00e9 haciendo uso del dispositivo. Entre esta informaci\u00f3n se encuentra:<\/p>\n<ul>\n<li>Lenguaje preferido, codificaci\u00f3n de caracteres, y zona horaria.<\/li>\n<li>Datos en cach\u00e9 y en el hist\u00f3rico de navegaci\u00f3n.<\/li>\n<\/ul>\n<p>Es interesante destacar que la informaci\u00f3n de cach\u00e9 e hist\u00f3rico de navegaci\u00f3n puede obtenerse con cierta colaboraci\u00f3n del usuario, como se describe en el estudio llevado a cabo en colaboraci\u00f3n con Microsoft: <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/www.ieee-security.org\/TC\/SP2011\/PAPERS\/2011\/paper010.pdf\" rel=\"external\"><em> I Still Know What You Visited Last Summer<\/em><span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a><em>.<\/em> En este estudio se describen varias t\u00e9cnicas, destacando la utilizaci\u00f3n de los distintos colores que utiliza un navegador para diferenciar enlaces visitados o no visitados y as\u00ed, camuflarlos en im\u00e1genes, captchas u otros elementos interactivos de la p\u00e1gina para determinar si el usuario los ha visitado o no.<\/p>\n<p>Otra aproximaci\u00f3n m\u00e1s sencilla para acceder al hist\u00f3rico del navegador y que no necesita interacci\u00f3n con el usuario es la ya referenciada <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/zyan.scripts.mit.edu\/sniffly\/\" rel=\"external\">Sniffy<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>, donde se saca partido a la tecnolog\u00eda HSTS.<\/p>\n<p><strong>Inyecci\u00f3n de cabeceras HTTP<\/strong><\/p>\n<p>El asunto de la inyecci\u00f3n de cabeceras HTTP ya tuvo su repercusi\u00f3n en 2014 cuando se public\u00f3 que Verizon, una operadora de telecomunicaciones americana estaba <a title=\"  (se abre en nueva ventana)\" href=\"http:\/\/webpolicy.org\/2014\/10\/24\/how-verizons-advertising-header-works\/\" rel=\"external\"> a\u00f1adiendo cabeceras con marcadores al tr\u00e1fico HTTP<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> de sus clientes, con objeto de crear un identificador para cada uno de ellos. Esta circunstancia se bautiz\u00f3 como &#8220;permacookies&#8221;.<\/p>\n<p>Por otro lado y m\u00e1s recientemente, se public\u00f3 por parte de la iniciativa acessnow.org el estudio: <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/www.accessnow.org\/page\/-\/AIBT-Report.pdf\" rel=\"external\">The Rise of Mobile TrackingHeaders: How Telcos Around the World Are Threatening Your Privacy<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> donde se detalla esta misma estrategia de identificaci\u00f3n en dispositivos m\u00f3viles empleada por operadoras de telefon\u00eda. Ante este tipo de acciones poco se puede hacer, puesto que es imposible controlar el tr\u00e1fico una vez ha abandonado nuestro terminal m\u00f3vil y est\u00e1 en mano del operador.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 11\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image010.png\" alt=\"\" width=\"541\" height=\"172\" name=\"Imagen 11\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>-Estad\u00edsticas extra\u00eddas en an\u00e1lisis de cabeceras- Fuente: accessnow.org-<\/em><\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 12\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image011.jpg\" alt=\"\" width=\"567\" height=\"378\" name=\"Imagen 12\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Algunas de las cabeceras HTTP utilizadas por distintas operadoras -Fuente: accessnow.org<\/em><\/p>\n<h3>Persistencia de elementos identificadores<\/h3>\n<p>Podr\u00eda pensarse que utilizando navegaci\u00f3n privada, y limpiando frecuentemente los datos de navegaci\u00f3n, cach\u00e9 y cookies se eliminar\u00eda cualquier elemento de identificaci\u00f3n o rastreo. \u00bfEs esto as\u00ed?: no siempre, de hecho, casi nunca. Tenemos desde elementos que se borran \u00fanicamente con cerrar el navegador hasta elementos sobre los que no podemos actuar, como las huellas digitales o la inyecci\u00f3n de cabeceras, pasando por elementos que persisten y\/o se regeneran tras eliminar completamente los datos de navegaci\u00f3n.<\/p>\n<p>En la siguiente tabla se recogen las principales tecnolog\u00edas empleadas para identificar usuarios y su persistencia al borrado.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 14\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image012.png\" alt=\"\" width=\"472\" height=\"558\" name=\"Imagen 14\" border=\"0\" \/><\/p>\n<h3>Defensa contra la identificaci\u00f3n y rastreo<\/h3>\n<p>\u00bfPodemos hacer algo para evitar ser clasificados en nuestro uso cotidiano de internet? Como decimos no demasiado. Las tecnolog\u00edas web actuales utilizan JavaScript, Flash, Java y cookies casi en cualquier sitio, y cuentan con capacidades de persistencia que suelen superar los mecanismos b\u00e1sicos de limpieza de los navegadores. La navegaci\u00f3n privada no supone una gran mejora, al igual que otras opciones como <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/es.wikipedia.org\/wiki\/Mozilla_Firefox_4#Do_Not_Track\" rel=\"external\">Do not track<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> que incorporan algunos navegadores. A pesar de todo siempre es recomendable como primer paso para proteger nuestra privacidad, realizar un vaciado completo de ficheros y contenidos de navegaci\u00f3n tras cada uso del navegador.<\/p>\n<p>Para ir m\u00e1s lejos en la protecci\u00f3n de nuestra privacidad podemos desactivar todas las tecnolog\u00edas ya mencionadas (Java, Flash, JavaScript, etc.) e impedir la ejecuci\u00f3n de plugins y scripts en el navegador pero esto, generalmente, hace que la experiencia de uso de internet se degrade de forma considerable. Como medida alternativa pueden utilizarse herramientas como <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/ublock-origin\/cjpalhdlnbpafiamejdnhcphjbkeiagm?hl=es\" rel=\"external\"> uBlock Origin<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> (Chrome, Firefox) para bloquear dominios y\/o p\u00e1ginas de anuncios, bloqueadores de JavaScript como <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/addons.mozilla.org\/es\/firefox\/addon\/noscript\/\" rel=\"external\">NoScript<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> (Firefox) o <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/scriptsafe\/oiigbmnaadbkfbmpbfijlflahbdbdgdf\" rel=\"external\"> ScriptSafe<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> (Chrome), plugins para detectar canvas fingerprinting como <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/canvasfingerprintblock\/ipmjngkmngdcdpmgmiebdmfbkcecdndc?hl=es\" rel=\"external\"> CanvasFingerprintBLock<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>, e incluso si solemos comprar por internet, utilizar alguna de las herramientas dise\u00f1adas para detectar manipulaci\u00f3n de precios como la ya mencionada, <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/heriffv2\/emobhicogmenmngifjhjbfliohhjijjl\" rel=\"external\"> $heriff<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a>.<\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 9\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image013.png\" alt=\"\" width=\"447\" height=\"516\" name=\"Imagen 9\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Plugin uBLock. Obs\u00e9rvese el alto n\u00famerode bloqueo de peticiones y elementos de seguimiento &#8211;<\/em><\/p>\n<p>Finalmente y adoptando una posici\u00f3n m\u00e1s estricta en busca de una mayor privacidad, se podr\u00eda hacer uso de navegadores especialmente dise\u00f1ados para este objetivo, como por ejemplo, <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/www.torproject.org\/\" rel=\"external\">Tor browser<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a><\/p>\n<p class=\"centrado\"><img loading=\"lazy\" id=\"Imagen 7\" src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/Image\/BLOG\/2015Diciembre\/webtracking\/image014.jpg\" alt=\"\" width=\"567\" height=\"318\" name=\"Imagen 7\" border=\"0\" \/><\/p>\n<p class=\"centrado\"><em>&#8211; Navegador Tor browser &#8211;<\/em><\/p>\n<p>La disminuci\u00f3n involuntaria de privacidad al utilizar internet poco a poco va calando en la conciencia social y, en general, empieza a despertar claro inter\u00e9s. Un ejemplo de ello es el reciente caso sucedido en B\u00e9lgica con la <a title=\"  (se abre en nueva ventana)\" href=\"https:\/\/www.rt.com\/news\/321373-facebook-belgium-court-tracking\/\" rel=\"external\">solicitud judicial a Facebook<span class=\"new-window-icon\"> <img src=\"https:\/\/www.incibe.es\/extfrontinteco\/img\/new_window.png\" alt=\" (se abre en nueva ventana)\" border=\"0\" hspace=\"5\" \/><\/span><\/a> para detener el rastreo de usuarios que visitan su p\u00e1gina.<\/p>\n<\/div>\n<p><strong>Fuente:<\/strong> <em><a href=\"https:\/\/www.incibe.es\/blogs\/post\/Seguridad\/BlogSeguridad\/Articulo_y_comentarios\/web_tracking\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.incibe.es<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El valor de la recolecci\u00f3n de datos y su an\u00e1lisis, popularmente referido bajo t\u00e9rminos como Big Data o Smart Data se ha convertido, sin lugar&hellip; <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[23,29],"tags":[],"_links":{"self":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts\/747"}],"collection":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=747"}],"version-history":[{"count":0,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts\/747\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}