Se acaba de saber que algunos de los denominados como rastreadores web, están sacando provecho de un fallo de seguridad de los administradores de inicio de sesión de los navegadores de Internet que usamos habitualmente, todo ello con el fin de robar nuestros nombres de usuario o dirección de correo, cuando estos son solicitados.
Esto es algo de lo que han advertido los expertos en seguridad de Princeton, ya que nos dicen que algunas empresas de publicidad y análisis extraen en secreto los nombres de usuario desde los navegadores utilizando campos de inicio de sesión ocultos. De este modo logran vincular a los usuarios no autenticados que visitan un nuevo sitio, con sus perfiles o correos electrónicos, en ese dominio en concreto.
Este comportamiento abusivo es posible debido a un fallo en el diseño de los administradores de inicio de sesión incluido en todos los navegadores actuales, administradores de inicio de sesión que permiten a estos programas recordar el nombre de usuario y la contraseña de un usuario para sitios específicos y así autoinsertarlos cuando visitamos ese portal de nuevo. De este modo, los expertos indican que estos rastreadores web pueden incrustar formularios de inicio de sesión ocultos en los sitios donde cargan los scripts de seguimiento.
Lo cierto es que todo esto ya tiene unos años, pero hasta ahora solo lo usaban los piratas informáticos que intentaban recopilar información de inicio de sesión durante ataques XSS. Sin embargo, ahora se han detectado que dos servicios de rastreo web utilizan formularios de inicio de sesión ocultos para recopilar información de inicio de sesión de los internautas.
Por el momento ninguno de los dos servicios detectados se hizo con la contraseña, de momento tan solo con el nombre de usuario o la dirección de correo, en concreto estos son Adthink y OnAudience, recopilando información de inicio de sesión en al menos 1.110 sitios web.
El robo de los datos de acceso mejora el seguimiento de anuncios
De este modo las dos empresas estaban extrayendo el nombre de usuario del campo de inicio de sesión, para crear un hash y vincularlo al perfil publicitario existente del visitante del sitio. Teniendo en cuenta que las direcciones de correo electrónico son únicas y persistentes, este hash es un excelente identificador de seguimiento, ya que el correo es algo que no solemos cambiar, y aunque borremos las cookies o usemos un modo de navegación privada, el rastreo continuará.
Además, esto se puede utilizar para conectar un mismo perfil en diferentes navegadores, dispositivos y aplicaciones móviles. También puede servir como enlace entre diferentes perfiles del historial de navegación, antes y después de la eliminación de cookies. Decir que por el momento, todos los navegadores excepto Brave, parecen ser vulnerables a este tipo de ataques.
