Investigación confirma uso de supercookies para rastrear móviles en diez países

En octubre de 2014, el equipo de Access, una organización internacional que defiende los derechos digitales de los usuarios en todo el mundo, creó una herramienta en línea para ayudar a determinar si un teléfono móvil está siendo atacado por supercookies, llevando a cabo una rápida verificación. Hasta la fecha, más de 200.000 usuarios han utilizado la herramienta y los resultados son alarmantes: Entre los 200.000 usuarios que utilizaron la herramienta, más del 15% estaban siendo rastreados por algún tipo de supercookie.

Según el reporte publicado hace algunos días por Access, operadoras en diez países (incluyendo Canadá, China, India, México, Marruecos, Perú, Países Bajos, España, Estados Unidos y Venezuela) están usando encabezados de seguimiento (tracking headers) que no pueden ser bloqueados por los usuarios, ya que están siendo inyectados a nivel de la red. En consecuencia, las herramientas de "no seguimiento" en los navegadores no tienen la capacidad de bloquearlos.

¿Qué es una supercookie?

En 2014, los investigadores revelaron que Verizon estaba usando un código especial para rastrear a sus usuarios. Este código fue llamado "supercookie", y era introducido por Verizon en cada solicitud HTTP que un usuario llevara a cabo a través de su dispositivo móvil.

A pesar de ser llamadas "supercookies", "perma-cookies" o "zombie cookies", estos códigos de seguimiento en realidad no son cookies. A diferencia de éstas, que son inyectadas localmente y pueden ser borradas o bloqueadas por los usuarios a nivel del navegador, los tracking headers son inyectados a nivel de la red y se encuentran fuera del alcance del usuario.

Desde hace algún tiempo, las organizaciones que trabajan en el área de privacidad de las comunicaciones están crecientemente preocupadas por el tema de las conexiones móviles. Cientos de millones de personas utilizan dispositivos móviles como una de sus principales maneras de acceder a la red en todo el mundo, y la mayoría de ellos no están conscientes de las enormes cantidades de información personal que comparten con sus proveedores o con terceros al hacerlo.

Como recomendaciones para los usuarios, Access aconseja usar conexiones HTTPS por defecto, ya que las supercookies no funcionan cuando los usuarios usan sitios web que cifran sus conexiones usando SSL o TLS. Lamentablemente, según afirman, el hecho de que HTTPS tenga la capacidad de bloquear las supercookies puede desalentar a los sitios web de ofrecer conexiones HTTPS.

Los tracking headers pueden seguir a un usuario incluso a través de varios países, y algunos de ellos pueden revelar información privada sobre los usuarios en texto plano, como por ejemplo su número de teléfono, haciéndolo susceptible de sufrir ataques y explotación de datos por terceros. Otra preocupación de las organizaciones internacionales radica en el hecho de que los gobiernos podrían utilizar este tipo de seguimiento para vigilar a usuarios individuales, o requerir a las operadoras que usen este código de seguimiento para crear perfiles individuales de un determinado usuario.

El uso de encabezados de seguimiento sin el control de los usuarios constituye un abuso de poder por parte de las compañías de telecomunicaciones, y esto significa que como usuarios, debemos exigir a nuestros gobiernos y a nuestros proveedores de servicio mayor transparencia y responsabilidad con respecto a la información que recopilan sobre nuestras comunicaciones. Uno de los pasos a tomar es colaborar con Access en este estudio, yendo a AmIBeingTracked desde tu teléfono móvil y haciendo la prueba para verificar si tu compañía telefónica está inyectando supercookies en tu tráfico de datos.