Entras en la web de una tienda online. Ojeas un par de productos. Al día siguiente, navegando en Internet, aparece en una web aleatoria un banner ofertándote el producto exacto que viste. Tú ya ni te acordabas, pero la web sí. Seguro que esto te ha pasado muchas veces. Y no sólo con productos o servicios que hemos visitado, sino con todo tipo de webs. Aunque esto es sólo un ejemplo del seguimiento al que todos los internautas están sometidos. Sí, las famosas cookies tienen mucho que ver con esto. Pero se puede ir incluso más allá.

“Borra el historial de navegación y las cookies”. Seguro que has oído esta frase más de una vez. Pero eso no evita que las páginas web que visitas hagan un seguimiento de tus movimientos. Los webmaster pueden rastrear tus actividades en Internet aunque hayas eliminado las cookies. Una investigadora de seguridad ha demostrado que dos brechas de seguridad que todavía no han sido parcheadas pueden ser explotadas para monitorizar a millones de usuarios, permitiendo a propietarios de sitios web hacer una lista de dominios visitados por los usuarios, aunque hayan borrado su historial de búsqueda, y rastrear las cookies, marcando a los usuarios con una “cookie de rastreo” que puede persistir aunque se borren todas las cookies, según recoge The Hacker News.

Estas técnicas hacen un mal uso del HTTP Strict Transport Security (HSTS) y Content Security Policy (CSP – Políticas de Seguridad de Contenido), características de seguridad que usan los navegadores como Firefox y Chrome.

usuario website

Como explica el propio Mozilla, “las Políticas de Seguridad de Contenido (CSP) es una capa de seguridad adicional que ayuda a detectar y mitigar cierto tipo de ataques, incluyendo Cross-Site Scripting (XSS) y ataques de inyección de datos. Estos ataques son usados para cualquier cosa desde robo de datos hasta la alteración de su sitio o distribución de malware”.

HSTS, o Seguridad de transporte HTTP estricta, un mecanismo de seguridad web por la que un servidor establece que un agente, como un navegador web, deben interactuar con ellos solamente mediante conexiones HTTP seguras.

La especialista en criptografía Yan Zhu se ha preguntado qué pasaría si los propietarios de las páginas web aprovecharan estas características de seguridad contra los usuarios. Ha demostrado que los sitios web pueden aprovecharse de estas dos características para rastrear a los usuarios.

Para demostrarlo, Zhu ha desarrollado una prueba de concepto, un sitio web atacante. También ha publicado la fuente del exploit, que ha llamado Sniffly. Asegura que si accedes a esta página web de prueba a través de tu navegador Chrome o Firefox, ésta es capaz de “adivinar” una lista de sitios web que has visitado gracias a Sniffly.

sniffly

¿Cómo funciona Sniffly? El exploit intenta incrustar imágenes no existentes de varios dominios protegidos por HSTS sobre HTTP. Sniffly usa entonces JavaScript para detectar si tu navegador web puede o no establecer una conexión segura con otros sitios web. Si has visitado el sitio HSTS antes, conectará en milisegundos. Si no, tarda más en conectar, por lo que hay una posibilidad de que nunca hayas visitado el sitio HSTS antes. Esta técnica de huella en el buscador es un método simple para olfatear (por eso lo de Sniffly, de sniff, olfatear en inglés) una rápida lista de sitios seguros que han sido visitados o no por un usuario.

Este es el vídeo de la charla de la conferencia Toorcon de San Diego donde la investigadora realizó la demostración.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario