Si ya de por sí las cookies son bastante molestas para cualquiera que se preocupe por su privacidad, el descubrimiento que acaban de hacer unos investigadores del Social Sciences Research Network les va a resultar una pesadilla: cookies imborrables.
Este tipo de cookies las genera el servicio de analítica KISSmetrics, ampliamente usado en sitios como Hulu o Spotify. Estas cookies identifican al usuario entre varios sitios web, y son muy difíciles de borrar.
¿Cómo funcionan las cookies imborrables?
Os preguntaréis: ¿cómo se puede crear una cookie que no se pueda borrar, si las cookies las gestiona el navegador? En realidad, las cookies sí se pueden borrar. La cuestión es que reaparecen.
El código de seguimiento está preparado de tal forma que almacena las cookies no sólo en el navegador, como es normal, sino que también usa el almacenamiento de Flash, el de HTML5 y la caché a través de las ETags.
El identificador de seguimiento en la caché de la página
Como es muy difícil borrar todas las cookies a la vez, cuando visitamos el sitio de nuevo la cookie se regenera y vuelve a aparecer en todos los sitios que mencionaba arriba. Así, la cookie es prácticamente permanente y sobrevive a borrados de cookie, de caché e incluso a modos incógnito.
La única solución para borrar este tipo de cookies sería borrar las cookies HTTP normales, la caché y los datos almacenados de Flash y HTML5. Desde luego, una tarea bastante compleja y más aún para un usuario normal.
¿Qué consecuencias tiene esta cookie para nuestra privacidad?
Este tipo de métodos permiten a los sitios web seguir a un usuario no sólo en su página, sino también en la de otras webs que usen el mismo servicio de analíticas. Además, el código de seguimiento es el mismo aunque el usuario utilice distintos navegadores (eso sí, en el mismo ordenador).
Esto no es malo per se: dar o no la información de tu navegación a servicios es cosa tuya. El verdadero problema es que este tipo de trampas quitan al usuario la opción de elegir si quiere o no ser seguido. Y esto sí que es, sin ninguna duda, un ataque a nuestra privacidad: que nos quiten la opción de elegir.
Además, este tipo de actitudes te hacen desconfiar de las iniciativas del estilo de “Do Not Track”: si estos servicios rebuscan tanto para que no escapes a su seguimiento, ¿de verdad van a hacer caso a una petición del navegador que diga “No me sigas, porfa”? Creo que no.
De hecho, los investigadores hicieron una prueba con Firefox y Do Not Track activado, y a pesar de ello el seguimiento persistía. Aun así, esto se puede atribuir más a que este estándar todavía no está implementado del todo que a que lo ignoren deliberadamente.
De momento, tanto Hulu como Spotify han retirado KISSmetrics de su web hasta que no se aclare lo que hace este servicio realmente. Por lo que parece, estos dos sitios no serían los únicos que emplean este tipo de métodos, aunque no sabemos cuáles son.
Como digo, este tipo de tretas me parecen un ataque muy grave a nuestra privacidad. No ya porque nos sigan o no (al fin y al cabo, las estadísticas no afectan especialmente a nuestra privacidad), eso es una decisión totalmente personal. Lo que es realmente peligroso es esta actitud de “me da igual el usuario y voy a hacer lo que yo quiero, aunque tenga que pasar por encima de sus preferencias”.
Por suerte, este tipo de conductas son denunciables y, al igual que pasó en 2009 cuando se descubrió el amplio uso de las cookies Flash, seguramente se tomen pronto medidas para evitar este tipo de seguimiento y permitir al usuario no ser seguido.
La explicación que da KISSmetrics es que ellos no están haciendo nada ilegal, y que no tienen fines maliciosos. Sin embargo, yo creo que en el momento en que no se deja elegir al usuario ya se está incurriendo en conductas problemáticas, maliciosas y posiblemente ilegales. ¿Vosotros qué opináis?
Vía | Wired
Más información | Informe SSRN
Sitio oficial | KISSmetrics