Cuando se suscribe a un boletín informativo, hace una reserva de hotel o paga en línea, probablemente dé por sentado que si escribe mal su dirección de correo electrónico tres veces o cambia de opinión y quita la X de la página, no importa. En realidad, nada sucede hasta que presiona el botón Enviar, ¿verdad? Bueno, tal vez no. Como ocurre con tantas suposiciones sobre la web, no siempre es así, según nueva investigación: Una sorprendente cantidad de sitios web recopilan algunos o todos sus datos a medida que los ingresa en un formulario digital.
Investigadores de KU Leuven, la Universidad de Radboud y la Universidad de Lausana rastrearon y analizaron los 100 000 sitios web más importantes, observando escenarios en los que un usuario visita un sitio mientras está en la Unión Europea y visita un sitio desde los Estados Unidos. Descubrieron que 1.844 sitios web recopilaron la dirección de correo electrónico de un usuario de la UE sin su consentimiento, y la asombrosa cifra de 2.950 registró el correo electrónico de un usuario de EE. UU. de alguna forma. Aparentemente, muchos de los sitios no tienen la intención de realizar el registro de datos, sino que incorporan servicios de marketing y análisis de terceros que causan el comportamiento.
Después de rastrear sitios específicamente en busca de filtraciones de contraseñas en mayo de 2021, los investigadores también encontraron 52 sitios web en los que terceros, incluido el gigante tecnológico ruso Yandex, recopilaban incidentalmente datos de contraseñas antes de enviarlos. El grupo reveló sus hallazgos a estos sitios y desde entonces se han resuelto los 52 casos.
“Si hay un botón Enviar en un formulario, la expectativa razonable es que haga algo, que envíe sus datos cuando haga clic en él”, dice Güneş Acar, profesor e investigador del grupo de seguridad digital de la Universidad de Radboud y uno de los líderes de El estudio. “Nos sorprendieron mucho estos resultados. Pensamos que tal vez íbamos a encontrar algunos cientos de sitios web donde se recopile su correo electrónico antes de enviarlo, pero esto superó nuestras expectativas con creces”.
Los investigadores, que presente sus hallazgos en la conferencia de seguridad de Usenix en agosto, dicen que se inspiraron para investigar lo que llaman “formularios con fugas” por los informes de los medios, particularmente desde gizmodo, sobre terceros que recopilan datos de formularios independientemente del estado del envío. Señalan que, en esencia, el comportamiento es similar a los llamados keyloggers, que normalmente son programas maliciosos que registran todo lo que escribe un objetivo. Pero en un sitio principal de los 1000 principales, los usuarios probablemente no esperarán que se registre su información. Y en la práctica, los investigadores observaron algunas variaciones del comportamiento. Algunos sitios registraron datos pulsación de tecla por pulsación de tecla, pero muchos obtuvieron envíos completos de un campo cuando los usuarios hicieron clic en el siguiente.
“En algunos casos, cuando haces clic en el siguiente campo, recopilan el anterior, como si haces clic en el campo de contraseña y recopilan el correo electrónico, o simplemente haces clic en cualquier lugar y recopilan toda la información de inmediato”, dice Asuman Senol, un experto en privacidad. e investigador de identidad en KU Leuven y uno de los coautores del estudio.”No esperábamos encontrar miles de sitios web; y en los EE. UU., las cifras son realmente altas, lo cual es interesante”.
Los investigadores dicen que las diferencias regionales pueden estar relacionadas con que las empresas sean más cautelosas con el seguimiento de los usuarios, e incluso que se integren potencialmente con menos terceros, debido al Reglamento General de Protección de Datos de la UE. Pero enfatizan que esta es solo una posibilidad, y el estudio no examinó las explicaciones de la disparidad.
A través de un esfuerzo sustancial para notificar a los sitios web y a terceros que recopilan datos de esta manera, los investigadores descubrieron que una explicación de parte de la recopilación de datos inesperados puede tener que ver con el desafío de diferenciar una acción de “enviar” de otras acciones del usuario en ciertos sitios web. paginas Pero los investigadores enfatizan que, desde la perspectiva de la privacidad, esta no es una justificación adecuada.
Desde que completó el papel, el grupo también hizo un descubrimiento sobre Meta Pixel y TikTok Pixel, rastreadores de marketing invisibles que los servicios integran en sus sitios web para rastrear a los usuarios en la web y mostrarles anuncios. Ambos afirmaron en su documentación que los clientes podían activar la “coincidencia avanzada automática”, lo que activaría la recopilación de datos cuando un usuario enviara un formulario. Sin embargo, en la práctica, los investigadores descubrieron que estos píxeles de seguimiento capturaban direcciones de correo electrónico codificadas, una versión oculta de las direcciones de correo electrónico utilizadas para identificar a los usuarios web en todas las plataformas, antes del envío. Para los usuarios de EE. UU., 8438 sitios pueden haber estado filtrando datos a Meta, la empresa matriz de Facebook, a través de píxeles, y 7379 sitios pueden verse afectados para los usuarios de la UE. Para TikTok Pixel, el grupo encontró 154 sitios para usuarios de EE. UU. y 147 para usuarios de la UE.
Los investigadores presentaron un informe de error a Meta el 25 de marzo, y la compañía rápidamente asignó un ingeniero al caso, pero el grupo no ha recibido ninguna actualización desde entonces. Los investigadores notificaron a TikTok el 21 de abril; descubrieron el comportamiento de TikTok más recientemente, y no han recibido respuesta. Meta y TikTok no respondieron de inmediato la solicitud de comentarios de WIRED sobre los hallazgos.
“Los riesgos de privacidad para los usuarios son que serán rastreados de manera aún más eficiente; se pueden rastrear en diferentes sitios web, en diferentes sesiones, en dispositivos móviles y de escritorio”, dice Acar. “Una dirección de correo electrónico es un identificador tan útil para el seguimiento, porque es global, es único, es constante. No puede borrarlo como borra sus cookies. Es un identificador muy poderoso”.
Acar también señala que, a medida que las empresas de tecnología buscan eliminar gradualmente el seguimiento basado en cookies en un guiño a las preocupaciones de privacidad, los especialistas en marketing y otros analistas confiarán cada vez más en identificaciones estáticas como números de teléfono y direcciones de correo electrónico.
Dado que los hallazgos indican que eliminar datos en un formulario antes de enviarlo puede no ser suficiente para protegerse de toda recopilación, los investigadores crearon un extensión para firefox llamó a LeakInspector para detectar la recopilación de formularios no autorizados. Y dicen que esperan que sus hallazgos generen conciencia sobre el problema, no solo para los usuarios habituales de la web, sino también para los desarrolladores y administradores de sitios web que pueden verificar de manera proactiva si sus propios sistemas o los de terceros que están utilizando están recopilando datos de formularios sin consentir.
Los formularios con fugas son solo un tipo más de recopilación de datos a tener en cuenta en un campo en línea que ya está extremadamente concurrido.
Esta historia apareció originalmente en Wired.com.