En octubre de 2014, el equipo de Access, una organización internacional que defiende los derechos digitales de los usuarios en todo el mundo, **creó una herramienta en línea para ayudar a determinar si un teléfono móvil está siendo atacado por supercookies**, llevando a cabo una rápida verificación. Hasta la fecha, más de 200.000 usuarios han utilizado la herramienta y los resultados son alarmantes: **Entre los 200.000 usuarios que utilizaron la herramienta, más del 15% estaban siendo rastreados por algún tipo de supercookie.**
Según el reporte publicado hace algunos días por Access, **operadoras en diez países** (incluyendo Canadá, China, India, México, Marruecos, Perú, Países Bajos, España, Estados Unidos y Venezuela) **están usando encabezados de seguimiento (tracking headers) que no pueden ser bloqueados por los usuarios**, ya que están siendo inyectados a nivel de la red. En consecuencia, las herramientas de «no seguimiento» en los navegadores no tienen la capacidad de bloquearlos.
¿Qué es una supercookie?
En 2014, los investigadores revelaron que **Verizon estaba usando un código especial para rastrear a sus usuarios**. Este código fue llamado «supercookie», y era introducido por Verizon en cada solicitud HTTP que un usuario llevara a cabo a través de su dispositivo móvil.
A pesar de ser llamadas «supercookies», «perma-cookies» o «zombie cookies», estos códigos de seguimiento en realidad no son **cookies**. A diferencia de éstas, que son inyectadas localmente y pueden ser borradas o bloqueadas por los usuarios a nivel del navegador, **los *tracking headers* son inyectados a nivel de la red y se encuentran fuera del alcance del usuario**.
Desde hace algún tiempo, **las organizaciones que trabajan en el área de privacidad de las comunicaciones están crecientemente preocupadas por el tema de las conexiones móviles**. Cientos de millones de personas utilizan dispositivos móviles como una de sus principales maneras de acceder a la red en todo el mundo, y la mayoría de ellos no están conscientes de las enormes cantidades de información personal que comparten con sus proveedores o con terceros al hacerlo.
Como recomendaciones para los usuarios, **Access aconseja usar conexiones HTTPS por defecto, ya que las supercookies no funcionan cuando los usuarios usan sitios web que cifran sus conexiones usando SSL o TLS**. Lamentablemente, según afirman, el hecho de que HTTPS tenga la capacidad de bloquear las supercookies **puede desalentar a los sitios web de ofrecer conexiones HTTPS**.
Los tracking headers pueden seguir a un usuario incluso a través de varios países, y **algunos de ellos pueden revelar información privada sobre los usuarios en texto plano,** como por ejemplo su número de teléfono, haciéndolo susceptible de sufrir ataques y explotación de datos por terceros. Otra preocupación de las organizaciones internacionales radica en el hecho de que **los gobiernos podrían utilizar este tipo de seguimiento para vigilar a usuarios individuales,** o requerir a las operadoras que usen este código de seguimiento para crear perfiles individuales de un determinado usuario.
El uso de encabezados de seguimiento sin el control de los usuarios **constituye un abuso de poder por parte de las compañías de telecomunicaciones**, y esto significa que como usuarios, debemos exigir a nuestros gobiernos y a nuestros proveedores de servicio mayor transparencia y responsabilidad con respecto a la información que recopilan sobre nuestras comunicaciones. Uno de los pasos a tomar es colaborar con Access en este estudio, yendo a **AmIBeingTracked** desde tu teléfono móvil y **haciendo la prueba para verificar si tu compañía telefónica está inyectando supercookies en tu tráfico de datos.**