Olvídese del anonimato en internet… Es un mito

Última actualización: Lunes, 17 de octubre de 2011
Dos jóvenes ven la pantalla de un laptop

El nombre del usuario o user name se filtra frecuentemente a otros sitios web.

Cada clic, cada búsqueda, cada "Registrar" o "Acepto" que usted hace en internet tiene un valor comercial astronómico.

Imagínese que a medida de que usted camina, sin notarlo y sin quererlo, va dejando pistas. Y que hay alguien que las va recogiendo, acumulando y relacionando para saber más de usted, de sus gustos, de sus intereses.

Se trata de la información de los cibernautas que algunos sitios web permiten que se filtre a otras compañías.

"Existe un mito de larga data según el cual el rastreo (de usuarios) en internet por parte de terceras partes (empresas publicitarias, compañías que ofrecen análisis de la web, redes sociales) es anónimo. Hay evidencia abrumadora que demuestra que ese no es el caso", le dijo a BBC Mundo Jonathan Mayer, investigador del Laboratorio de Seguridad Computacional de la Universidad de Stanford.

Mayer condujo un estudio en el que, tras analizar 185 sitios en internet, halló que en 113, el nombre del usuario (user name) o la identificación del usuario (user ID) se fugó a una tercera parte. Es decir, en 61% de la muestra.

En el otro lado del Atlántico, la respuesta a la pregunta de si realmente podemos ser anónimos en internet es contundente:

"No, al día de hoy, aún falta bastante para conseguir el anonimato. Hay muchas técnicas para garantizar la privacidad, pero no se están aplicando", le señaló a BBC Mundo, Antonio Ruiz Martínez, profesor de Ingeniería Telemática de la Universidad de Murcia.

Terceras partes

Muchas páginas web a las que entramos diariamente tienen anuncios publicitarios de otras empresas.

"Vimos fuga (de información) en cada categoría que analizamos. 56% de los sitios dejaron escapar información privada. El porcentaje aumenta a 75% si se incluye el user ID"

Estudio: "Fuga de la privacidad vs. Medidas de protección: la creciente desconexión"

"Cada vez que accedemos a una publicidad en particular, el anunciante puede saber desde que página web venimos, por ejemplo, desde Google o Amazon. Asociando o combinando información, pueden saber quiénes somos. En general lo que más les interesa es nuestra dirección de correo electrónico para enviarnos promociones de productos que saben nos gustan", indicó Ruiz.

De acuerdo con el experto, por medio de las técnicas de rastreo las empresas pueden conocer la dirección de nuestra computadora.

"Al saber desde que maquina nos conectamos, pueden empezar a mostrarnos anuncios de productos o servicios", señaló el profesor.

¿No le ha pasado, por ejemplo, que ha estado buscando precios de pasajes para la ciudad X y que una vez finalizada su búsqueda, visita otra página que no tiene ninguna relación con su sondeo y le aparecen anuncios de tarifas de vuelos para X, o que le salen anuncios similares sólo cuando se conecta desde la computadora en la que indagó por primera vez sobre pasajes a X?

"En muchos sitios estamos autenticados (identificados) con nuestros nombres de usuarios. En cada interacción que hacemos con el servidor web, esa información se envía y una tercera compañía puede obtenerla", explicó el docente.

Fuga

Estudiantes

Algunas organizaciones promueven que se implemente la tecnología "Do not track" ("No me rastrees").

Balachander Krishnamurthy, del Laboratorio de Investigación AT&T, y un equipo de investigadores del Instituto Politécnico de Worcester, en Massachussets, llevaron a cabo un estudio en el que examinaron más de 100 populares sitios web.

Su conclusión fue que la fuga de información de los usuarios hacia terceras partes es un problema "penetrante".

En "Privacy leakage vs. Protection measures: the growing disconnect" ("Fuga de la privacidad vs. Medidas de protección: la creciente desconexión"), los autores escribieron: "Vimos fuga (de información) en cada categoría que analizamos. 56% de los sitios dejaron escapar información privada. El porcentaje aumenta a 75% si se incluye el user ID", señala la investigación.

"Información confidencial enviada a sitios web del sector de la salud e itinerarios de viaje de páginas de reservaciones se filtraron en nueve de los principales diez sitios que estudiamos por cada categoría", indica el documento.

Seudónimo

Aunque muchas veces, el user name que usamos para ingresar a las páginas web en las cuales nos hemos registrado, no tienen nada que ver con nuestros nombres reales, se trata de una información que nos identifica en el mundo virtual.

Un ratón

No siempre el tema de la privacidad de los usuarios está entre las prioridades de los programadores.

"Un nombre del usuario es probablemente suficiente para vincular cuentas a través de sitios web. Continuamente, los usuarios usan varias veces el mismo nombre. Después de todo, ¿quién va a recordar uno nuevo para cada sitio que visita?", indicó Mayer en el artículo "Tracking the Trackers: Where Everybody Knows Your Username" ("Rastreando a los rastreadores: Donde todo el mundo sabe tu nombre de usuario").

Si usted ve el mismo nombre de usuario en diferentes sitios web ¿cuál es la probabilidad de que ese nombre de usuario se refiera a la misma persona?

Una probabilidad muy alta, dicen los expertos.

Daniele Perito y un grupo de investigadores del Instituto Nacional de Investigación en Informática y Automática de Francia (Institut National de Recherche en Informatique et en Automatique, en francés) publicaron, este año, el estudio: "How unique and traceable are usernames" ("¿Cuán únicos y rastreables son los nombres de usuarios?")

El equipo consiguió, en una muestra de 20.000 nombres de usuarios extraídos de un conjunto de datos reales, que sus algoritmos los vinculara entre sí correctamente en 60% de los casos y con un margen de error mínimo.

Seguimiento

Una persona con un laptop

No todos los sitios web le preguntan a sus usuarios si pueden compartir su información con otras compañías.

"En la jerga de la ciencia de la computación, los clickstreams (registro de las secciones de la pantalla sobre los cuales un cibernauta hace clic), que conforman los historiales de navegación que las compañías recolectan, no son anónimos en lo absoluto, son más bien seudónimos", explicó el investigador de Ciencias de la Computación de la Universidad de Stanford, Arvind Narayanan.

"Ese término no es sólo técnicamente más apropiado, sino más ilustrativo del hecho de que en cualquier momento, después de que la información ha sido recolectada, la compañía que está haciendo el rastreo (del usuario) podría intentar adjuntarle una identidad al seudónimo cuya información ya le ha etiquetado", indicó Narayanan.

Es así como, de acuerdo con el experto, la identificación de un usuario afecta no sólo futuros seguimientos y rastreos en la web de esa persona, sino que también afecta retroactivamente la información que ya ha sido recopilada.

En muchas ocasiones, la fuga de información sobre un usuario hacia terceras partes ocurre cuando un sitio web introduce información del usuario en un URL (Uniform Resource Locator), que es la dirección única que identifica a una página en internet.

Las compañías (terceras partes) que estén presentes en ese sitio pueden recibir el URL con datos del cibernauta apenas él o ella haga un clic.

Redes sociales

Portada de Facebook

Las redes sociales poseen información personal muy valiosa de sus usuarios.

De acuerdo con Ruiz, las redes sociales pueden parecer inocentes a primera vista. Pero tienen mucha información sobre nosotros: "Quiénes somos, dónde estamos, a dónde vamos, con quién nos relacionamos. Esa es información muy valiosa", reflexionó.

La decisión de los campos o categorías que se llenan (edad, estado civil, género, profesión) es personal.

En el estudio "Large Online Social Footprints. An emerging threat" (Grandes huellas sociales online. Una amenaza emergente), Danesh Irani, del Instituto de Tecnología de Georgia, y un grupo de investigadores recopiló la información de 13.990 usuarios activos de internet.

"Después de analizar información de 10 de las 15 redes sociales más populares en internet, encontramos que un usuario adscrito a una red social revela en promedio 4,3 campos de su información personal. Para usuarios con más de ocho membresías en redes sociales, el promedio aumenta a 8,5", indica la investigación.

La información que una persona coloca en los perfiles de las diferentes redes sociales a las que pertenece puede ser contrastada y combinada.

"Más de 40% de las huellas sociales de un individuo pueden ser reconstruidas a través de un solo seudónimo (asumiendo que el atacante adivina el seudónimo más popular) y un atacante puede reconstruir de 10% a 35% de las huellas sociales de un individuo usando el nombre de una persona", señala el estudio de Irani.

"Do not track"

"La privacidad online es un conjunto de problemas. Algunos, como el rastreo que hacen terceras partes en la web, son totalmente solucionables. Otros, como los relacionados con gobiernos extranjeros husmeando a sus ciudadanos son más difíciles"

Jonathan Mayer, Universidad de Stanford

Varios sitios web aseguran que no venden la información personal que les hemos confiado, pero con eso no descartan que la compartan con terceras partes para efectos publicitarios o de análisis.

Tecnologías basadas en las cookies o la información que se almacena en el disco duro de un cibernauta cuando visita una página y que puede ser recuperada por el servidor, también son usadas por tercera partes para seguir a un usuario.

"Si no existe una legislación que impida que se comparta la información, las empresas pueden hacerlo", indicó Ruiz.

"Do not track es una tecnología que permite que cuando nos conectemos a un sitio web, podamos decir que no queremos ser rastreados ni seguidos por terceras partes".

Se trata de una herramienta tecnológica nueva que no todos los navegadores implementan.

"La mejor práctica para todos los sitios web, tanto primeras como terceras partes, es reconocer que el escape de información de identificación (de los usuarios) es un hecho en la vida de la web y que es posible que información de identificación sea compartida con terceras partes", señaló Mayer.

El consenso entre los expertos apunta a que tiene que haber una legislación gubernamental que promueva el uso de la tecnología "Do not track", pues el usuario tiene que tener la última palabra.

"La privacidad online es un conjunto de problemas. Algunos, como el rastreo que hacen terceras partes en la web, son totalmente solucionables. Otros, como los relacionados con gobiernos extranjeros husmeando a sus ciudadanos son más difíciles", le dijo Mayer a BBC Mundo.

Contexto

BBC © 2014 El contenido de las páginas externas no es responsabilidad de la BBC.

Para ver esta página tal cual fue diseñada, debe utilizar un navegador de internet actualizado, que tenga habilitado el uso de hojas de estilo en cascada (CSS, por Cascading Stylesheets en inglés). Aunque en el navegador que está utilizando podrá ver el contenido de la página, no será presentado de la mejor forma posible. Por favor, evalúe la posibilidad de actualizar su navegador y/o habilitar el uso de CSS.