Las 'cookies' secretas que espían ordenadores
Son pequeños ficheros de texto que almacenan los ordenadores. Tienen una demostrada utilidad, pero conllevan problemas de seguridad. Así pueden espiarnos con ellos. La privacidad en la navegación por Internet es un tema que ha preocupado a muchos desde los primeros momentos de la “explosión” de Internet, en torno al año 2000.
Los que vivimos aquella época como internautas activos recordaremos la psicosis de las cookies, y cómo había una gran preocupación en torno a estas cookies. Incluso los primeros programas anti-espías y antivirus empezaban a detectar cookies potencialmente peligrosas en nuestros ordenadores y aún hoy muchos antivirus permiten hacer estos borrados.
Tal vez te estés preguntando, ¿qué diantres son las cookies, que ya han aparecido veces en los dos primeros párrafos? Las cookies son pequeños ficheros de texto que almacena nuestro navegador Web (Internet Explorer, Firefox, Opera, Safari, Chrome, etc.) para mantener cierta información del visitante de una página Web durante la visita. El protocolo que usamos para la navegación Web (Hyper Text Transfer Protocol) no está orientado a sesión como ocurre con otros protocolos (como los de correo electrónico POP3, IMAP4, SMTP, etc.): es decir, una página Web no puede, apoyándose en el protocolo HTTP mantener información entre las diferentes opciones que va navegando un usuario.
Por tanto, y para poder compartir esa información de sesión, se idearon las cookies, que permitían almacenar determinada información en el navegador Web, y que esta información estaría disponible siempre que un usuario accediera al sitio Web que estableció la cookie.
Muy bien pero, ¿para qué tanta complicación y para qué compartir información de sesión, y todo ese rollo? El primer proyecto en el que fueron usados fue un carrito de la compra para una tienda Web en Internet, desarrollado por Netscape.
No obstante, y a fin de ilustrar la utilidad, pongamos un ejemplo sencillo. Los puristas de la seguridad, pasad al párrafo siguiente, por favor ;-) Imaginaros que hacéis login en vuestra página Web favorita (por ejemplo, http://www.elreservado.es, con vuestro correo electrónico y vuestra clave). Para que podáis hacer el comentario cuando veáis una noticia que comentar (por ejemplo, para criticar este ejemplo). Si no queréis tener que poner vuestro usuario y vuestra clave cada vez que queráis hacer un comentario, los programadores habrán tenido que establecer una cookie con algún valor que te identifique tras haberte identificado y autentificado: por ejemplo, vuestro correo electrónico (purista de la seguridad, te lo advertí: debiste haber pasado al párrafo siguiente). Con ello, el sitio Web ya sabe qué usuario eres y no tendrás que meter tus datos cada vez que desees comentar algún texto.
Problemas inherentes de seguridad
Es necesario citar que, este enfoque conlleva problemas inherentes de seguridad, pues yo podría manipular la dirección de correo electrónico en la cookie, y así hacerme pasar por otra persona para poner el comentario en su nombre, simplemente conociendo su dirección de correo. En las aplicaciones Web bien programadas y diseñadas con la seguridad en mente, las cookies se usan, si acaso, para almacenar un número muy grande que ha sido generado con cierta aleatoriedad y ex proceso para identificar la sesión del usuario (el login y password, en este momento concreto), y toda la información que deba ser mantenida por “sesión” es gestionada por la aplicación Web, identificada por el número que generalmente recibe el nombre de “identificador de sesión”.
Ahora que ya hemos establecido qué son las cookies, ¿cómo pueden espiarnos con las cookies? Bien, si tenemos débilmente configurada la privacidad de nuestro navegador Web, cualquier página web podrá poner una cookie en nuestro ordenador, con un dominio de aplicación diferente al que hemos visitado. Imagina este hipotético escenario: el reservado te pone una cookie de “tercera parte” (es decir, no tiene origen en el contenido que tú has solicitado, sino en el contenido que elreservado.es te incluye sin que tú puedas decidir sobre él) con dominio “casadellibro.es”, y como autor preferido “Fernando Rueda”, porque has visitado el sitio en el que Fernando escribe periódicamente. En este escenario, cuando entres en la página Web “casadellibro.es”, no debería extrañarte que te ofrezcan como destacado el libro de Fernando Rueda, puesto que la tienda online ya dispone de esa información, y ha conseguido pasar de nivel en el embudo del marketing online al ofrecerte algo en lo que positivamente sabe que estás interesado como consumidor.
La privacidad en peligro
¿Por qué afecta a la seguridad? Concretamente las cookies afectan a la privacidad, y una de las dimensiones que la seguridad vigila es la confidencialidad de la información y uso de los recursos. Si las cookies sirven para que terceras partes sepan lo que yo visito, entonces violan la confidencialidad. Desde un plano estrictamente técnico, no existe ningún riesgo directo desde el punto de vista de los protocolos (para los puristas de la seguridad, de nuevo, existe el riesgo de que un navegador Web o algún servidor tenga algún bug que podría provocar problemas con los buffers al leer información arbitrariamente dispuesta en una cookie, provocando denegación de servicio, o incluso la ejecución de código remoto, tanto en navegadores como en servidores Web).
¿Cómo puedo defenderme de las cookies de terceros? El primer paso es configurar nuestros navegadores para no admitir las cookies de terceros. En los navegadores Web, puedes hacerlo en la configuración de privacidad. Además, puedes borrar periódicamente las cookies almacenadas.
Con el borrado de cookies y la configuración para rechazar cookies de terceros empezamos a mejorar un poco nuestra privacidad en internet, pero nuestra lucha por la privacidad no ha hecho más que empezar… sigue visitando el reservado y aprenderás lo que necesitas saber (y más) sobre cookies, super-cookies, LSO’s, redes sociales… y cómo combinan las técnicas de forma exquisita… PARA SABER EXACTAMENTE QUIEN ERES.
Si prefieres seguir creyendo que eres anónimo en Internet, toma la pastilla azul. Si quieres saber la verdad, te espero en la siguiente entrega con la pastilla roja ;-).
Hace unos días, se ha “puesto de largo” un nuevo tipo de ataque…
Podemos ser observados de forma silenciosa por todo aquel que quiera hacerlo, que…
Me alegra que os haya gustado la explicación, en la que he tratado de prescindir todo lo posible de la terminología técnica a fin de hacerlos accesibles al mayor número posible de lectores, pero sin renunciar al rigor técnico de los conceptos.
Coincido con NBK en que el titular puede ponernos los pelos de punta a los "puristas", no obstante agradezco al editor que haya elegido el todos los titulares, porque yo soy una calamidad en ese sentido :-)
Poco a poco iremos calentando motores, y dando paso a otros conceptos de seguridad que se apoyan en los anteriores, como los Local Shared Objects que ya van en el siguiente artículo... siempre tratando de hacerlos accesibles incluso a las personas que carezcan de un conocimiento de base.
Aprovecho este "ladrillo" de agradecimientos para facilitar los links que el Webmaster ha suprimido porque se veían mal:
1.RFC2109: Mecanismo HTTP para la gestión del estado. (Obsoleto por el RFC 2965) http://tools.ietf.org/html/rfc2109
2.RFC2965: Mecanismo HTTP para la gestión del estado. (Sustituye al RFC 2109) http://tools.ietf.org/html/rfc2965
3.World Wide Web Consortium: http://www.w3.org
4.P3P (Platform for Privacy Policies Preferences): http://www.w3.org/P3P/
5.Microsoft Internet Explorer: http://www.microsoft.com/spain/windows/internet-explorer/
6.Mozilla Firefox: http://www.firefox.com
7.Opera: http://www.opera.com
8.Apple Safari: http://www.apple.com/es/safari/
9.Google Chrome: http://www.google.com/chrome
10.RFC 2616: Hyper Text Transfer Protocol 1.1. http://tools.ietf.org/html/rfc2616
11.RFC1945: Hyper Text Transfer Protocol 1.0. http://tools.ietf.org/html/rfc1945
12.RFC1939: POP3. Post Office Protocol Version 3. http://tools.ietf.org/html/rfc1939
13.RFC3501: IMAP4. Internet mail access protocol version 4, revision 1. http://tools.ietf.org/html/rfc3501
14.RFC821: SMTP. Send Mail Transfer Protocol. http://tools.ietf.org/html/rfc821
Muchas gracias, y espero leeros en el siguiente artículo!
P.D. Si utizais "Firefox" estando en la página del reservado id a "Herramientas->Información de la Página->Seguridad->Ver cookies"...
Ante todo felicides a Fernando, Martin, a ti mismo Luis y claro a todos los demas por parir estas paginas que los apasionados del tema reverenciamos.
Ni que decir tienes que contais conmigo y con mi grupo para cualquier cosa, incluido, tenlo claro, criticar tus posts desde el fin de esta implicita tregua inicial.
Despues, Luis, no voy a comentar el titular, hay que vender clicks!! Pero si no fuera por tu advertencia a los puristas y el logico corte de un perfil enfocado a un amplio publico..te ibas a ganar un tiro de orejas virtual!!
Bromas aparte, muy didactico y buen aperitivo de lo que daria para mas de un articulo..y de un libro.
Por cierto urge un glosario y los links del post no conducen a nada en mi atonito ff. El registro y confirmacion de usuario adolece tambien de alguna pagina de success para no dar pie dobles envios.
Cuenta desde ya con un nuevo local shared object..estas paginas.
Slds
NBK