30.5.12

Las 'cookies' secretas que espían ordenadores

Originalmente publicado por  Luis Enrique Corredera en elreservado.es, 30 de abril de 2010


Son pequeños ficheros de texto que almacenan los ordenadores. Tienen una demostrada utilidad, pero conllevan problemas de seguridad. Así pueden espiarnos con ellos. La privacidad en la navegación por Internet es un tema que ha preocupado a muchos desde los primeros momentos de la “explosión” de Internet, en torno al año 2000.

Los  que vivimos aquella época como internautas activos recordaremos la psicosis de las cookies, y cómo había una gran preocupación en torno a estas cookies. Incluso los primeros programas anti-espías y antivirus empezaban a detectar cookies potencialmente peligrosas en nuestros ordenadores y aún hoy muchos antivirus permiten hacer estos borrados.

Tal vez te estés preguntando, ¿qué  diantres son las cookies, que ya han aparecido veces en los dos primeros párrafos?  Las cookies son pequeños ficheros de texto que almacena nuestro navegador Web (Internet Explorer, Firefox, Opera, Safari, Chrome, etc.) para mantener cierta información del visitante de una página Web durante la visita. El protocolo que usamos para la navegación Web (Hyper Text Transfer Protocol) no está orientado a sesión como ocurre con otros protocolos (como los de correo electrónico POP3, IMAP4, SMTP, etc.): es decir, una página Web no puede, apoyándose en el protocolo HTTP mantener información entre las diferentes opciones que va navegando un usuario.

Por tanto, y para poder compartir esa información de sesión, se idearon las cookies, que permitían almacenar determinada información en el navegador Web, y que esta información estaría disponible siempre que un usuario accediera al sitio Web que estableció la cookie.

Muy bien pero, ¿para qué tanta complicación y para qué compartir información de sesión, y todo ese rollo? El primer proyecto en el que fueron usados fue un carrito de la compra para una tienda Web en Internet, desarrollado por Netscape.

No obstante, y a fin de ilustrar la utilidad, pongamos un ejemplo sencillo. Los puristas de la seguridad, pasad al párrafo siguiente, por favor ;-)  Imaginaros que hacéis login en vuestra página Web favorita (por ejemplo, http://www.elreservado.es, con vuestro correo electrónico y vuestra clave). Para que podáis hacer el comentario cuando veáis una noticia que comentar (por ejemplo, para criticar este ejemplo). Si no queréis tener que poner vuestro usuario y vuestra clave cada vez que queráis hacer un comentario, los programadores habrán tenido que establecer una cookie con algún valor que te identifique tras haberte identificado y autentificado: por ejemplo, vuestro correo electrónico (purista de la seguridad, te lo advertí: debiste haber pasado al párrafo siguiente). Con ello, el sitio Web ya sabe qué usuario eres y no tendrás que meter tus datos cada vez que desees comentar algún texto.

Problemas inherentes de seguridad

Es necesario citar que, este enfoque conlleva problemas inherentes de seguridad, pues yo podría manipular la dirección de correo electrónico en la cookie, y así hacerme pasar por otra persona para  poner el comentario en su nombre, simplemente conociendo su dirección de correo. En las aplicaciones Web bien programadas y diseñadas con la seguridad en mente, las cookies se usan, si acaso, para almacenar un número muy grande que ha sido generado con cierta aleatoriedad y ex proceso para identificar la sesión del usuario (el login y password, en este momento concreto), y toda la información que deba ser mantenida por “sesión” es gestionada por la aplicación Web, identificada por el número que generalmente recibe el nombre de “identificador de sesión”.

Ahora que ya hemos establecido qué  son las cookies, ¿cómo pueden espiarnos con las cookies? Bien, si tenemos débilmente configurada la privacidad de nuestro navegador Web, cualquier página web podrá poner una cookie en nuestro ordenador, con un dominio de aplicación diferente al que hemos visitado. Imagina este hipotético escenario: el reservado te pone una cookie de “tercera parte” (es decir, no tiene origen en el contenido que tú has solicitado, sino en el contenido que elreservado.es te incluye sin que tú puedas decidir sobre él) con dominio “casadellibro.es”, y como autor preferido “Fernando Rueda”, porque has visitado el sitio en el que Fernando escribe periódicamente. En este escenario, cuando entres en la página Web “casadellibro.es”, no debería extrañarte que te ofrezcan como destacado el libro de Fernando Rueda, puesto que la tienda online ya dispone de esa información, y ha conseguido pasar de nivel en el embudo del marketing online al ofrecerte algo en lo que positivamente sabe que estás interesado como consumidor.

La privacidad en peligro

¿Por qué afecta a la seguridad? Concretamente las cookies afectan a la privacidad, y una de las dimensiones que la seguridad vigila es la confidencialidad de la información y uso de los recursos. Si las cookies sirven para que terceras partes sepan lo que yo visito, entonces violan la confidencialidad. Desde un plano estrictamente técnico, no existe ningún riesgo directo desde el punto de vista de los protocolos (para los puristas de la seguridad, de nuevo, existe el riesgo de que un navegador Web o algún servidor tenga algún bug que podría provocar problemas con los buffers al leer información arbitrariamente dispuesta en una cookie, provocando denegación de servicio, o incluso la ejecución de código remoto, tanto en navegadores como en servidores Web).

¿Cómo puedo defenderme de las cookies de terceros? El primer paso es configurar nuestros navegadores para no admitir las cookies de terceros. En los navegadores Web, puedes hacerlo en la configuración de privacidad. Además, puedes borrar periódicamente las cookies almacenadas.

Con el borrado de cookies y la configuración para rechazar cookies de terceros empezamos a mejorar un poco nuestra privacidad en internet, pero nuestra lucha por la privacidad no ha hecho más que empezar… sigue visitando el reservado y aprenderás lo que necesitas saber (y más) sobre cookies, super-cookies, LSO’s, redes sociales… y cómo combinan las técnicas de forma exquisita… PARA SABER EXACTAMENTE QUIEN ERES.

Si prefieres seguir creyendo que eres anónimo en Internet, toma la pastilla azul. Si quieres saber la verdad, te espero en la siguiente entrega con la pastilla roja ;-).