Florecen los trucos para saltarse la Ley de Cookies
07/03/2014Publicat a: El Mundo
Entra usted por primera vez en una web y aparece un molesto texto que dice no sé qué sobre "cookies". ¿Le suena? Desde finales del año pasado, las webs que instalan ficheros de seguimiento en los ordenadores de sus visitantes están obligadas a lucir este texto, que avisa a los nuevos y les da la opción de no ser monitorizados. Pero la información que recopilan las "cookies" es oro para muchas empresas, que no están dispuestas a perderla tan fácilmente. Así que abundan todo tipo de trampas para saltarse la ley.
Una cookie (galleta) es un fichero, usualmente de texto, que la web que visitamos instala en nuestro ordenador y usa para monitorizarnos. Cada vez que volvamos al mismo sitio, se pondrá en contacto con la cookie que nos "enchufó" y así sabrá quién somos, de dónde venimos o qué webs hemos estado visitando. Las cookies se almacenan en un sitio estándar de nuestro ordenador, al que podemos acceder desde las preferencias del navegador para verlas, borrarlas o especificar que no queremos cookies de nadie. En este caso, los servicios en la web que exijan registro no nos funcionarán, pues las necesitan.
Pero las cookies tienen otros usos, como nos avisan los textos estándar que en los últimos meses estamos viendo en multitud de webs, también la de "El Mundo": "Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies". El visitante puede aceptar el trato, informarse mejor en la página de "Política de Cookies" (http://cookies.unidadeditorial.es), o simplemente marcharse y no volver.
Las cookies que monitorizan nuestros hábitos de navegación sirven para crear perfiles individualizados, lo más precisos y exhaustivos posibles, sobre nuestras características personales, intereses y comportamiento en Internet, cara a mostranos publicidad personalizada. Este uso de las cookies es el más abundante y, en 2003, la Ley de Servicios de la Sociedad de la Información (LSSI) (http://boe.es/buscar/act.php?id=BOE-A-2002-13758) legislaba sobre su uso, entonces minoritario frente a la avalancha que vivimos hoy. Pero la solución que proponía la ley, que los usuarios pudiesen rechazar de entrada la implantación de cookies en sus equipos, topó con la nula colaboración de la industria y convirtió la ley en papel mojado.
El fenómeno siguió creciendo hasta que, hoy en día, en una misma página puede haber más de 50 dispositivos de seguimiento recopilando datos de sus visitantes, según el director de la Agencia Española de Protección de Datos (http://www.agpd.es), José Luis Rodríguez Álvarez: "La gran mayoría de estos archivos de "tracking" no son gestionados por el titular de la página, sino por terceros, sean redes de publicidad o compañías especializadas en recopilación de datos". Estos terceros son una minoría que controla todo el mercado, de forma que una sola compañía puede estar presente en más del 70% de páginas. Según Rodríguez, "esto les permite combinar la información recabada en las distintas páginas y obtener una imagen muy completa de los usuarios individuales, sin que la mayoría sean consciencies de ello".
El riesgo "muy real", según el director de la AEPD, es que no sólo agencias publicitarias utilicen esta información, también servicios secretos y agencias de seguridad. Incluso, afirma, "existen otras muchas posibilidades de explotación de alto impacto, como puede ser inferir grados de solvencia económica, probabilidades de comportamientos violentos, estados de salud o riesgos de contraer enfermedades. Los datos recogidos por medio de estos dispositivos son una suerte de materia prima que permite otros muchos modelos de negocio". Así la cosas, el artículo que en la LSSI regulaba las cookies se modificó en 2012 para aplicar progresivamente una nueva normativa, la actual, sobre cookies (http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf).
Pero hecha la ley, hecha la trampa, explica el investigador y editor del blog SecurityByDefault (http://www.securitybydefault.com) Alejandro Ramos: "El usuario medio sabe que si borra las cookies de su navegador las compañías de monitorización no podrán seguir su actividad en la red. Pero esto ya no es así. Borras tus cookies pero ellos son capaces de seguir sabiendo quien hay al otro lado del ordenador. Además, con el uso de estas técnicas alternativas las compañías han encontrado una puerta trasera en la ley que permite no tener que avisarles de que están siendo monitorizados".
Ramos ha realizado una investigación de estos nuevos métodos de monitorización en la web, que resume en el artículo "Cazadores de mitos: la privacidad en Internet" (http://www.securitybydefault.com/2014/07/cazador-de-mitos-la-privacidad-en.html), donde afirma: "Existen varias formas de controlar la actividad de un usuario en Internet. Como por ejemplo, saber que páginas has visitado, desde qué búsqueda ha llegado a nuestra web, por qué zona has movido el ratón o qué teclas has pulsado en nuestra página web. ¡¡Ehhh! ¿Perdón? ¿Qué teclas he pulsado en vuestra web? Sí, y además da igual que elimines las cookies. Las cookies son del pasado".
Las nuevas técnicas de monitorización que trascienden las "cookies" de toda la vida se engloban en dos grupos: por una parte, los ficheros de seguimiento que no se almacenan en el "baúl" de las cookies, sino en una pequeña memoria del ordenador, llamada "caché" (http://es.wikipedia.org/wiki/Caché_(informática)). De esta forma, por mucho que pinchemos la opción "Eliminar cookies" en el navegador, estas no desaparecerán a no ser que le demos a "Borrar caché". Y a veces ni así.
El otro gran grupo de técnicas es la "huella digital": no se introduce nada en nuestro ordenador sino que se nos identifica a partir de las características de nuestro sistema, como pueden ser la resolución de pantalla, huso horario, zona geográfica, plugins, fuentes instaladas o versión del navegador. Aunque parezca increible, un sitio web puede identificar así a un usuario que vuelve a visitarlo con un 95% de acierto.
El gran peligro, explica Ramos, es que al no almacenar datos en nuestro ordenador, la huella digital "no queda sometida a la actual legislación de cookies". Es por ello una práctica de monitorización cada vez más usada, Ramos la ha detectado en las webs de la NASA, Gizmodo, Der Spiegel o Pcgames. En cambio, almacenar métodos de seguimiento en la caché sí está contemplado por la llamada "Ley de cookies", que engloba todo tipo de "dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios". Los usuarios, por tanto, deberían ser notificados.
Pero en la práctica no lo son, afirma el investigador: "Muchas empresas sólo avisan cuando usan "cookies". Si usan la caché deberían avisar también, pero no lo hacen. Y además no deberían usar la caché ya que esa no es su función, sólo es un truco para tener más éxito en la monitorización". Ramos asegura que quienes usan estas tácticas no son piratas, sino corporaciones, empresas de Internet e incluso medios de comunicación: "Me ha sorprendido que tres periódicos nacionales tuviesen contratados servicios con empresas extranjeras para este tipo de actividad".
Ramos se refiere en concreto a un método de seguimiento basado en una cabecera de la caché llamada "Etag". Ya en 2011 la compañía Kissmetrics fue investigada por ofrecer este servicio a miles de sitios, entre ellos Spotify (http://www.wired.com/2011/07/undeletable-cookie/). Hoy se sigue usando, pero hay además muchas otras técnicas, como las "cookies" que se re-crean después de haber sido borradas, o las "evercookies" que, según documentos filtrados por Edward Snowden, la National Security Agency (NSA) podría usar para localizar a usuarios de la red Tor (http://es.wikipedia.org/wiki/Tor). La "evercookie" sería como un testigo, explica Ramos: "Marcan el ordenador en Tor y luego esperan a que en alguna otra web en Internet puedan leerlo. De esta forma pueden enlazar ambas identidades y averiguar la real".
Ramos teme por los usos que se puedan dar a estas decenas de cookies alternativas que han aparecido y siguen apareciendo, sin control: "No se conoce para que será usada la información que recopilan", afirma. Ramos desconfía, como el director de la AEPD, de las grandes empresas de monitorización de usuarios que tienen presencia en muchísimas páginas web: "Pueden tener los datos de clientes de compañías que son competencia entre sí y, por ejemplo, venderme publicidad de los medicamentos que he visitado o comprado en otra empresa. O, exagerando un poco, en un gobierno con mayor opresión esta información podría suponer la carcelación por motivos políticos o sexuales".
CÓMO ELIMINAR LAS NUEVAS "COOKIES"
Alejandro Ramos ofrece en la presentación de su investigación (http://www.slideshare.net/slideshow/embed_code/36455284#) diversos consejos para convivir con las nuevas y agresivas formas de seguimiento de algunos sitios web:
* Pensemos que no hay manera de librarse
* Única opción: navegar en modo privado "InPrivate" o "Incognito". Esto deshabilita la caché.
* Vaciar la caché del navegador al terminar de usarlo (se puede automatizar en las preferencias del navegador)
* Cerrar el navegador al terminar de navegar.
* Utilizar extensiones como "AdBlock", "Private Browsing", "Disconnect" y "SecretAgent".
Mercè Molist