En el anterior artículo sobre la privacidad en Internet hablábamos de las cookies, qué eran (¿recuerdas?) pequeños ficheros de texto que almacena nuestro navegador Web Internet Explorer, Firefox, Opera, Safari, Chrome, etc. para mantener cierta información del visitante de una página Web durante la visita. Las cookies fueron inventadas y definidas para permitirnos disfrutar de un Internet más personalizado, pero en su lado más oscuro encierran el poder de comprometer la confidencialidad del usuario sobre sus accesos a información y sitios Web.

Los esfuerzos en el lado de la protección del usuario crearon políticas y plataformas para la prevención de la privacidad, y definieron en los navegadores Web configuraciones para decidir qué hacer con las cookies que intentaban ponernos los sitios Web. Si hemos configurado de forma adecuada ésta política, nos permitirán usar Internet y la navegación Web de forma segura (privada) y con una experiencia de uso agradable (funcionará bien casi todo).

Igual que en las mejores películas, después de una dura batalla en la que el héroe gana al villano, cuando todo queda en calma reaparece el villano más fuerte que nunca, convertido en supervillano. Las cookies vuelven al ataque, ¡convertidas en supercookies!

¿Qué son las supercookies?  

Se llaman supercookies a las cookies de Flash porque presentan características nuevas que las hacen mucho más “poderosas” que las anteriores. ¿Qué es Flash? Flash es una tecnología de programación y visualización de contenidos interactivos que ha revolucionado Internet en los últimos 10 años (por ejemplo, Youtube se ha apoyado en Flash para la visualización de videos en casi todas las plataformas informáticas sin necesidad de instalar códecs y programas extraños).

¿Qué es una cookie de FLASH? Las cookies de Flash son unos pequeños ficheros que una página Web remota crea en nuestros ordenadores sin nuestro permiso, parecidas a las cookies Web que comentamos en el artículo anterior, pero con características extra que le otorgan la capacidad de ser más “súper”:

Pueden almacenar 25 veces más de contenido que una cookie convencional (de 4KB a 100KB).

Comparten información entre diferentes navegadores Web, porque no las gestionan los navegadores: lo hace el pluging de Flash. Hagamos un experimento práctico: abre tú navegador favorito (por ejemplo, Firefox), entra en Youtube, reproduce el primer video que encuentres, y bájale el volumen al sonido. Cierra el navegador, abre otro navegador (por ejemplo, Internet Explorer, o Safari para los maqueros) y entra en Youtube. Reproduce cualquier vídeo, y comprobarás que el sonido está al nivel que pusiste desde el otro navegador.

Si no las gestionan los navegadores… ¿nuestra configuración del navegador para protección de cookies sigue siendo útil? Los navegadores no pueden controlar la gestión de cookies flash en la actualidad. Están desprotegidos.

Dejan más evidencias dispersas en tu disco duro del acceso a páginas y dominios enlos que se haya usado Flash.

Las cookies de Flash (también llamados LSO, u objetos almacenados localmente) fueron creadas para almacenar preferencias del usuario en algunas webs con Flash. El ejemplo del volumen en Youtube es uno de los muchos usos que se le puede dar a la tecnología.

Otros usos de las cookies de Flash no son tan legítimos como almacenar el volumen. Una forma muy exótica de usar las cookies de Flash es para resucitar cookies normales que hemos borrado nosotros mismos, al más puro estilo de los zombies en los videojuegos.

Aunque las cookies de Flash se han llevado la fama de supercookies, hay otras técnicas avanzadas de almacenamiento local que se usan para hacer el respawning de las cookies tradicionales, entre los que destaca el almacenamiento Web (también llamado DOM Storage) que ha formado parte del venidero HTML5, y que ya está soportado en Internet Explorer, Firefox, Opera, Safari, Chrome, y otros.

Aunque las supercookies puedan parecer algo infrecuente y exótico, su uso está muy extendido en el mundo de la publicidad online, y según el estudio sobre la privacidad y las cookies de Flash realizado por la Universidad de Berkley, más de la mitad de las páginas Web más importantes de Internet (según Quancast) usan cookies de Flash sin avisar al usuario en la declaración de privacidad, asignan identificadores únicos a los usuarios y usan técnicas de respawning.

¿Cómo podemos protegernos de la cookies Flash de terceros?

Como el uso de las cookies de Flash está bastante extendido, y se abusa de la tecnología para vulnerar nuestra privacidad,  debemos saber que podemos limitar esta actividad a través de la herramienta de configuración de almacenamiento de Flash del fabricante de software Adobe. Los usuarios de Firefox están de suerte, pues disponen de la extensión “Better Privacy”, para poder hacerlo desde una opción del menú.

En estos dos artículos sobre privacidad en la Web hemos visto que el rechazo y el borrado de cookies no es suficiente para protegernos, y que hay un gran empeño en identificar individualmente a los usuarios para fines comerciales, vulnerando la privacidad del usuario. Para colmo de males, la tecnología tiene lagunas que favorecen a quienes quieren vulnerar la privacidad de los usuarios, y algunas de estas lagunas no tienen un remedio inmediato.

En próximo artículo de esta serie aprenderás cómo combinan las técnicas de las cookies y supercookies con otras más avanzadas para conseguir saber exactamente quién eres. No faltes a la próxima entrega. Tal vez sepamos quien eres… y te estemos esperando.

Referencias:

Microsoft Internet Explorer: http://www.microsoft.com/spain/windows/internet-explorer/
Mozilla Firefox: http://www.firefox.com
Opera: http://www.opera.com
Apple Safari: http://www.apple.com/es/safari/
Google Chrome: http://www.google.com/chrome
RFC2109: Mecanismo HTTP para la gestión del estado.  (Obsoleto por el RFC 2965) http://tools.ietf.org/html/rfc2109
RFC2965: Mecanismo HTTP para la gestión del estado.  (Sustituye al RFC 2109) http://tools.ietf.org/html/rfc2965
P3P (Platform for Privacy Policies Preferences): http://www.w3.org/P3P/
Web Storage en HTML5: http://dev.w3.org/html5/webstorage/
Web Storage independiente de HTML5: http://www.w3.org/TR/webstorage/
DOM Storage en Internet Explorer: http://msdn.microsoft.com/en-us/library/cc197062%28VS.85%29.aspx
DOM Storage en Mozilla Firefox: https://developer.mozilla.org/en/DOM/Storage
Safari Web Storage: http://developer.apple.com/safari/library/documentation/iPhone/Conceptual/SafariJSDatabaseGuide/Introduction/Introduction.html
Opera Web Storage: http://dev.opera.com/articles/view/web-storage/
Chrome Web Storage: http://www.rajdeepd.com/articles/chrome/localstrg/LocalStorageSample.htm
Flash Cookies and Privacy: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
Quancast top 100 sites: http://www.quantcast.com/top-sites-1
Configuración de almacenamiento del pluging de Flash: http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager07.html
Extensión Better Privacy para Firefox: https://addons.mozilla.org/en-US/firefox/addon/6623