Cientos de los sitios web más importantes del mundo rastrean de forma rutinaria cada pulsación de tecla, el movimiento del mouse y la entrada en un formulario web, incluso antes de enviarlo o abandonarlo más tarde, de acuerdo con el resultados de un estudio de investigadores de la Universidad de Princeton.
Y hay un desagradable efecto secundario: los datos de identificación personal, como información médica, contraseñas y detalles de la tarjeta de crédito, pueden revelarse cuando los usuarios navegan por la web, sin que ellos se den cuenta de que las empresas están monitoreando su comportamiento de navegación. Es una situación que debería alarmar a cualquier persona que se preocupe por su privacidad.
Los investigadores de Princeton descubrieron que era difícil eliminar la información de identificación personal de los registros de comportamiento de navegación, incluso, en algunos casos, cuando los usuarios activaban la configuración de privacidad, como No Rastrear.
El investigación encontrada los servicios de seguimiento de terceros son utilizados por cientos de empresas para supervisar cómo los usuarios navegan en sus sitios web. Esto está demostrando ser cada vez más desafiante a medida que más y más compañías refuerzan la seguridad y cambian sus sitios a páginas HTTPS encriptadas.
Para evitar esto, los scripts de reproducción de sesión se implementan para supervisar el comportamiento de la interfaz de usuario en los sitios web como una secuencia de eventos con marca de tiempo, como los movimientos del teclado y el mouse. Cada uno de estos eventos registra parámetros adicionales, que indican las pulsaciones de teclas (para eventos de teclado) y las coordenadas de pantalla (para eventos de movimiento del mouse) en el momento de la interacción. Cuando se asocia con el contenido de un sitio web y una dirección web, esta secuencia de eventos grabados puede ser reproducida exactamente por otro navegador que active las funciones definidas por el sitio web.
Lo que esto significa es que una tercera persona puede ver, por ejemplo, que un usuario ingrese una contraseña en un formulario en línea, lo que constituye una clara violación de la privacidad. Los sitios web que emplean firmas analíticas de terceros para registrar y reproducir dicho comportamiento argumentan, en nombre de "mejorar la experiencia del usuario". Cuanto más saben lo que buscan sus usuarios, más fácil les resulta proporcionarles información específica.
Si bien no es una novedad que las compañías monitoreen nuestro comportamiento mientras navegamos por la web, el hecho de que las secuencias de comandos sigan siendo utilizadas silenciosamente para registrar sesiones individuales de este tipo ha preocupado al coautor del estudio, Steven Englehardt, que es candidato a doctorado en Princeton. .
Un usuario del sitio web reproduce la demostración en acción.
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
"La recopilación de contenido de la página por parte de scripts de reproducción de terceros puede provocar que información delicada, como condiciones médicas, detalles de tarjetas de crédito y otra información personal mostrada en una página, se filtre a terceros como parte de la grabación". escribió. "Esto puede exponer a los usuarios al robo de identidad, estafas en línea y otros comportamientos no deseados. Lo mismo es cierto para la recopilación de las entradas del usuario durante el proceso de pago y registro ".
El uso de las teclas para registrar sitios web ha sido un problema conocido por los expertos en ciberseguridad. Y el estudio empírico de Princeton plantea preocupaciones válidas sobre los usuarios que tienen poco o ningún control sobre su comportamiento de navegación que se registra de esta manera.
Por lo tanto, es importante ayudar a los usuarios a controlar cómo se comparte su información en línea. Pero hay cada vez más signos de facilidad de uso que superan las medidas de seguridad diseñadas para mantener nuestros datos seguros en línea.
Usabilidad vs seguridad
Los administradores de contraseñas son utilizados por millones de personas para ayudarles a mantener fácilmente un registro de contraseñas diferentes para diferentes sitios. El usuario de dicho servicio solo necesita memorizar una contraseña clave.
Recientemente, una grupo de investigadores en la Universidad de Derby y la Open University descubrieron que los clientes fuera de línea de los servicios del administrador de contraseñas corrían el riesgo de exponer la contraseña de la clave principal cuando se almacenan como texto sin formato en la memoria que los ataques de todo el sistema podrían detectar.
La experiencia del usuario no es una excusa para tolerar fallas de seguridad.
La experiencia del usuario no es una excusa para tolerar fallas de seguridad.Sobre el Autor
Yijun Yu, profesor titular, Departamento de Computación y Comunicaciones, La universidad abierta
Este artículo se publicó originalmente el La conversación. Leer el articulo original.
Libros relacionados:
at InnerSelf Market y Amazon
