Centenares de webs rastrean a sus usuarios sin su consentimiento

Miguel Ãngel Criado El viernes, 11 de octubre de 2013

La única web que nombran los investigadores es la de Anonymizer. Y lo hacen porque, vendiendo su servicio de privacidad, usan técnicas de rastreo invisible. / Captura de anonymizer.com

Algunas de las páginas web más visitadas rastrean a sus usuarios sin que ellos lo sepan y menos aún haber obtenido su consentimiento. Un grupo de investigadores, entre ellos un científico español exiliado por culpa de los recortes, ha comprobado que estos sitios usan sofisticadas técnicas para identificar al usuario sin necesidad de conseguir ningún dato personal suyo. Por ahora, no hay manera técnica ni legal para impedir el rastreo.

Como habrán podido comprobar millones de internautas españoles, estas últimas semanas, cada vez que se visita una web, se despliega un aviso solicitándoles aceptar que instalen en su ordenador una serie de cookies. Estos pequeños archivos recogen información del equipo, como su sistema operativo o su navegador, graban cuando se entró en la web dueña de la cookie o desde donde viene el internauta, entre otras muchas posibilidades, tantas como quiera el que la creó. Pensadas para facilitar la descarga de la página y personalizar la experiencia del usuario, algunas están especializadas en usar esos datos para ofrecer publicidad personalizada. Por eso son un pequeño gran tesoro y, por eso, la ley exige el consentimiento expreso del internauta para instalarlas.

Pero ya hay quienes no las necesitan. Han encontrado la forma de identificar al usuario apenas entra en la web y sin tener que instalar nada en su ordenador. Lo más sorprendente es que lo consiguen con una serie de datos, en apariencia inocentes, que coniguen nada más visitar la página. Con la información de las dimensiones de la pantalla del dispositivo, el navegador con el que se visita la web o las fuentes de texto que se tienen en su ordenador, tableta o móvil, consiguen una huella única de cada internauta.

"Lo que les da más información son las fuentes, cada uno tiene unas determinadas", dice Marc Juárez, coautor del estudio que revela como muchas webs rastrean a sus usuarios sin saberlo. Antiguo investigador del Instituto de Investigación en Inteligencia Artificial de la Universitat Autonòma de Barcelona y el CSIC, Juárez ha creado junto a sus actuales colegas de la universidad KU Leuven de Bélgica la herramienta FPDetective para detectar este rastreo, denominado huella de dispositivo (o device fingerprint, FP) hasta ahora invisible.

Y lo que han encontrado es que más de 500 páginas de entre las más populares usan mecanismos para obtener esa huella única que identifica al usuario. Como toda tecnología, el fingerprinting se inclina hacia el mal o el bien según para que se use. En principio, grandes bancos y empresas de comercio electrónico recurren a las empresas que diseñan estos sistemas para instalarlos en sus páginas. Así, cuando un usuario entra en ellas, pueden cotejar la información que obtienen de él con una base de datos con millones de huellas digitales únicas y detectar posibles usuarios falsos o fraudulentos.

"Pero, además de que es extraño recurrir a este sistema con tus usuarios, también se usa para crear anuncios personalizados", explica Juárez. Cada nueva entrada a un sitio, va creando un historial del usuario. Las empresas no necesitan saber ni su nombre ni donde viven. Con esta huella, pueden saber de que pagina viene, a cual va, que sitios le gustan más o cuales son sus preferencias. Una información muy valiosa para las empresas o anunciantes.

Para detectar a las webs que usan estas táticas, FPDetective ha rastreado el comportamiento de dos tipos de archivos muy comunes en las web, archivos Flash o algún JavaScript. Ambos son los responsables del colorido, dinamismo y buena parte de la interactividad de las páginas actuales, pero también son la puerta de entrada al ordenador del usuario. Para poder usarlos con eficacia, estos archivos piden información aparentemente inocente al ordenador, como las dimensiones de su pantalla para adaptar la página o las fuentes con las que cuenta para deplegar el texto. Como hay tantas combinaciones posibles, es raro encontrar dos configuraciones iguales, eso hace que estos datos se conviertan en la huella digital de un dispositivo y, tras él, de un usuario.

"No esperábamos que estas prácticas estuvieran tan extendidas", asegura el investigador español. En estudios previos se habían detectado un par de empresas que se dedican a este negocio, pero ellos han localizado hasta 16 sistemas pertenecientes a otras tantas compañías que dicen trabajar por el bien del usuario. Y han comprobado que 145 webs de las 10.000 más populares esconden alguna herramienta de huella de dispositivo en sus archivos Flash. FPDetective también localizó otras 404 páginas que usaban la vía de JavaScript para rastrear a sus visitantes.

Google y Facebook no están en la lista, "pero hay otras igual de conocidas", sostiene un Juárez que reconoce no poder revelar todavía los nombres que componen esta lista negra. Están buscando asesoramiento legal para protegerse ante alguna posible demanda antes de hacerlo. Pero lo que sí añade es que también varias páginas españolas usan estos sistemas de espionaje.

"El mayor problema es que el usuario no tiene ninguna posibilidad de evitarlo", explica el investigador. Técnicamente, existen mecanismos para bloquear la instalación de cookies y siempre queda la opción de borrarlas manualmente del ordenador. Pero aquí, el rastreo viene de fuera y la única protección eficaz sería no entrar en ninguna web. Legalmente tampoco se puede hacer nada. La legislación española y otras dejan claro que hay que conseguir el consentimiento expreso del usuario para instalar algún mecanismo de rastreo tipo cookie en su ordenador. Pero, aquí no se instala nada y ¿cómo prohibir a una web que averigüe si uno usa la Times New Roman, Arial o incluso la Comic Sans?