Seguridad

Comprobado: las webs están vigilando todos tus movimientos en Internet

webs-vigilan-movimientos-internet

Un estudio ha demostrado cómo las grandes webs controlan todos nuestros movimientos, como por ejemplo los recorridos de ratón y las pulsaciones en las teclas.

A estas alturas seguro que ya conoces cómo las webs se sirven de proveedores de datos externos que les facilitan información sobre sus potenciales clientes.

Conocido como Thrid-Party Data, es capaz de recoger datos tales como las páginas por las que has navegado o búsquedas que has realizado. El objetivo es hacer que los anunciantes puedan llegar de manera más efectiva al público deseado.

Sin embargo, parece que en Internet se nos espía constantemente.

En la actualidad se ha ido un poco más allá. Según ha demostrado un estudio reciente, muchas webs han comenzado a hacer uso de “session replay” scripts.

Como su nombre indica, estos scripts permiten a los operadores recrear sesiones de navegación individuales. A diferencia de los análisis típicos que proporcionan estadísticas globales, ahora cada click, entrada y desplazamiento de ratón se puede grabar y reproducir.

En resumen, las webs vigilan cada uno de nuestos movimientos.

La ciberseguridad está, cada día más, en la nube

Para ello estos scripts consiguen registrar las pulsaciones de teclas, los movimientos que realizamos con el ratón y nuestros desplazamientos por el site.

De las 50.000 webs con mayor número de tráfico analizadas al menos 482 se sirven de este tipo de scripts . Como se indica en el estudio, detectar este uso no resulta fácil, por lo que es casi seguro que el número de webs que los utilizan sea aún mayor.

El objetivo es, una vez más, comprender mejor cómo los visitantes interactúan con la web. Ayudan a identificar páginas específicas que son confusas o están rotas.

Pero el alcance de los datos que se recogen por estos servicios supera con creces las expectativas del usuario. El movimiento del ratón queda registrado y el texto escrito en los formularios se recopila antes de que el usuario envíe el formulario. Y esto sin ninguna indicación visual para el internauta.

Información filtrada

Por ello, es normal plantearse si esta información se mantiene  en el anonimato. De hecho, según indican desde el estudio, algunas compañías permiten vincular explícitamente las grabaciones a la identidad real de un usuario.

Para este estudio, analizaron siete de las mejores compañías de “session replay”. Estas fueron Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale y SessionCam. Entre las webs que cuentan con este registro de datos, destacan microsoft.com, adobe.com,y godaddy.com.

filtro de detalles de tarjeta de credito

Ejemplo de cómo la página de cuenta de Bonobos filtra detalles completos de la tarjeta de crédito a FullStory. Foto: freedom-to-tinker.com

La recopilación de contenido de la página mediante scripts de reproducción de terceros puede provocar que información confidencial se filtre.

Detalles de la tarjeta de crédito, condiciones médicas o cualquier otra información personal que se muestra en una página queda registrada como parte de la grabación.

Las amenazas en ciberseguridad que depara 2017

Esto podría exponer a los usuarios al robo de identidad o las estafas online. Lo mismo es cierto para la recopilación de las entradas del usuario durante el proceso de pago y registro.

Para el estudio se instalaron los scripts de reproducción de seis de los servicios más utilizados, descubriéndose que todos exponían los momentos privados de los visitantes en diversos grados.

Durante el proceso de creación de una cuenta, por ejemplo, los scripts registraron al menos una entrada parcial escrita en varios campos.

Las secuencias de comandos de FullStory, Hotjar, Yandex y Smartlook fueron las más intrusivas porque, de forma predeterminada, registraron todas las entradas ingresadas en campos relativos a nombres, direcciones de correo electrónico,números de teléfono,direcciones,números de Seguridad Social y fechas de nacimiento.

Cómo combatirlo

En cuanto a cómo combatir este tipo de scripts,desde Freedom to Tinker explican que en muchos de los casos es difícil bloquearlos.

Según su análisis, dos listas de bloqueo de anuncios utilizadas comúnmente EasyList y EasyPrivacy no bloquean los scripts FullStory, Smartlook o UserReplay. EasyPrivacy tiene reglas de filtro que bloquean Yandex, Hotjar, ClickTale y SessionCam.

En cuanto a UserReplay, sí que permite a los editores deshabilitar la recopilación de datos de los usuarios que tienen Do Not Track (DNT) establecido en sus navegadores.

Mejorar la experiencia del usuario es un objetivo para la mayoría de sites en la actualidad. Pero aunque existan herramientas para ello no todo debería servir. Y menos si estas prácticas se realizan a expensas de la privacidad del usuario.

Por ello, hasta que estas medidas lleguen, recuerda que practicamente todo lo que haces cuando navegas está siendo vigilado.

Sobre el autor de este artículo

Cristina Fernández Esteban

Licenciada en periodismo. Entusiasta de la tecnología, la literatura y el café.

  • Teser

    Excelente información!!!