Seguridad

Así nos vigilan a través del mail, Internet y las apps

Escrito por Redacción TICbeat

Cookies, balizas web, permisos injustificables en nuestras apps móviles, huella digital, navegadores y buscadores… Os mostramos las mil y una maneras con las que las empresas nos vigilan en la Red y cómo evitarlo (al menos un poco).

Con el fin de determinar cuánto de esto es real y cuánto pertenece al terreno de la ciencia ficción, Plácida Fernández, auditora de seguridad y antigua alumna del Máster Indra en Ciberseguridad de U-tad (2015-2016), ha analizado cómo las grandes compañías recopilan datos indiscriminadamente de los usuarios, ya sea navegando por internet, mandando un correo electrónico o jugando a una aplicación en el móvil.

“A salvo no estamos y la situación es muy alarmante. Es una práctica evidente y descarada”, explica Fernández. “La mayoría de los usuarios no son conscientes de la gran cantidad de datos que diariamente son enviados a Internet derivados de la navegación por la red, el envío de correos electrónico y uso de aplicaciones móviles”.

Y es que, al navegar por Internet, damos mucha más información a las empresas de la que nos pudiéramos imaginar. Por ejemplo, al realizar cualquier búsqueda en Google estando logueados con nuestra cuenta de Gmail, automáticamente detectará nuestro perfil personal y adaptará sus resultados a nuestras preferencias. “Google sabe que soy yo quien está realizando la búsqueda, cuanto tiempo tardo en leer una página o los intereses que tengo en comprar un producto determinado”, añade Plácida. Y no sólo los buscadores lo saben: al navegar por cualquier sitio web dejamos una huella digital inmensa con la que las empresas pueden saber hasta detalles como las fuentes instaladas en nuestro equipo o la resolución de pantalla que usamos.

En el caso del correo electrónico también debemos olvidar la idea de que nuestras comunicaciones son privadas. “Existe un método denominado baliza web: imágenes diminutas que se encuentran en una web o correo electrónico representadas con etiquetas HTML y que pueden llegar a incluir código Javascript. Normalmente se utilizan para realizar un seguimiento de una página web o email que se está leyendo, cuando y desde qué computadora”, detalla Plácida Fernández. Asimismo, no debemos olvidar que el propio proveedor de servicios de correo electrónico analiza todos los mensajes en busca de determinadas palabras clave. La antigua alumna de U-tad propone al respecto un sencillo experimento: escribir un e-mail desde Gmail con la palabra “adjunto” en su cuerpo de texto y pulsar “enviar”. Automáticamente el sistema nos devuelve una alerta por si nos hemos olvidado de adjuntar algún archivo.

Las aplicaciones móviles tampoco se libran de este escrutinio. En esta parcela, el principal riesgo son los permisos injustificados que damos a algunas apps, rozando casi el abuso. Sirvan algunos ejemplos: una linterna (Brightest Flashlight) que solicita la ID del dispositivo y localización, la primera versión de Angry Birds (que solicitaba la localización del usuario) o una herramienta de fondos de pantalla (Backgrounds HD Wallpapers) que exige acceso a nuestra lista de contactos.

Por último, el caso de las cookies es quizás el más comentado, pero no por ello el menos peligroso. En ese sentido, el trabajo presentado en la U-tad alerta de la existencia de tres tipos diferentes de cookies, a cada cual más invasiva que la anterior. En primer lugar, encontramos las cookies propiamente dichas -ficheros que guardan datos sobre el idioma, la ID sesión, las credenciales o los objetos que hemos añadido a la cesta de una tienda online- y que pueden ser borradas fácilmente. Por encima se sitúan las supercookies, que utilizan protocolos seguros (HTTPS) y el sistema HSTS (HTTP Strict Transport Security), siendo capaces de eludir incluso el modo de navegación privada. Y, por si no tuviéramos bastante con las cookies y las supercookies, también existen las FlashCookies: códigos insertados en las animaciones flash y que se almacenan todas en un mismo directorio en el ordenador, común para todos los navegadores. De este modo, los anunciantes pueden acceder a nuestro perfil y preferencias indistintamente del programa que usemos para conectarnos a la Red.

Minimizando el riesgo

Ahora que la alarma está encendida, cabe preguntarse cómo podemos minimizar el riesgo de que nos rastreen y monitoricen toda nuestra vida online. “El sentido común es nuestra mayor protección”, afirma Plácida Fernández. “No hay una solución mágica, ya que incluso tratar de protegerse demasiado puede ser contraproducente ya que destacamos más entre el resto de usuarios, por ejemplo, al desactivar determinadas funcionalidades de la navegación o al emplear programas alternativos que apenas usan unos pocos en todo el mundo. Casi es mejor pasar desapercibido entre el resto del mundo, como una pajita en un pajar”.

De hecho, desactivar todas las opciones con las que nos pueden rastrear (esto es, no usar navegadores de grandes marcas, no usar buscadores ligados a nuestra cuenta de correo electrónico, desactivar cookies e historial de navegación, no usar asistentes virtuales, desinstalar programas como Flash, etc.) es un suicidio digital en toda regla. “Si hacemos todo eso sí estaríamos seguros, pero no podríamos operar en Internet, por lo pronto estaríamos vendidos con la Administración Pública en España. ¿De qué sirve entonces estar seguros?”, defiende Fernández.

El punto medio es la clave, y también adoptar algunas herramientas complementarias a nuestro sentido común. Así, es recomendable utilizar una red VPN para acceder a Internet si se poseen los conocimientos técnicos para ello, además de poder emplear navegadores alternativos que garantizan algo más de privacidad (Epic Privacy Browser o Brave Browser) o extensiones para los navegadores más habituales que nos ayuden a minimizar nuestra exposición (como NoScript -que bloquea Javascripts, Java, Flash, plugins, Silverlight…- o Privacy Badger – que bloquea el seguimiento mediante huella digital-).

En el caso de los dispositivos móviles, debemos prestar especial atención a los permisos que otorgamos a cada app (más todavía desde que Android permite aprobar o rechazar cada permiso de forma individual, como ya venía ofreciendo iOS). Por último, en el caso del seguimiento en correos electrónicos, la solución más práctica es desactivar la descarga automática de imágenes, con lo que evitaríamos la ejecución de las balizas web que incorporan.

Asimismo, no es de extrañar que muchos de los perfiles tecnológicos más demandados para el próximo año estén relacionados -directa o indirectamente- con la gestión de la privacidad y la seguridad de la información. Así, entre las posiciones con más ofertas laborales en la actualidad encontramos a profesionales de ciberseguridad, ingenieros de softwareexpertos en Big Data y realidad virtual, entre otros. U-tad permite la formación en todos estos ámbitos.

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.

  • melin

    Buenísimo artículo!! Enhorabuena Plácida.

    • Plácida

      Muchas gracias. Me alegro que haya parecido interesante.

  • Jota

    Gran artículo, todo muy bien explicado y desarrollado.

    • Plácida

      Han plasmado correctamente todo aquello que les transmití.