LAS VEGAS - ¿Eres un fanático de la privacidad en Internet? Bloqueas cookies de seguimiento del navegador? ¿Utiliza Duck Duck Go para búsquedas web anónimas?

Crédito: Pathdoc / Shutterstock
(Crédito de la imagen: Pathdoc / Shutterstock)

No importa. Su proveedor de servicios de Internet (ISP) o las extensiones de su navegador pueden recopilar y vender su historial de navegación web incluso si toma las precauciones anteriores. Y cualquiera que obtenga esos datos, ya sea que los datos sean anónimos o no, probablemente podrá averiguar su nombre real y ver exactamente lo que hace en línea.

Esos fueron los hallazgos de la periodista de televisión alemana Svea Eckert y el científico de datos Andreas Dewes, que hablaron en la conferencia de hackers DEF CON 25 aquí el viernes pasado (28 de julio).

Dado el historial de navegación de un mes de 3 millones de ciudadanos alemanes supuestamente protegidos, los investigadores individuos identificados al correlacionar los datos anónimos con información pública extraída de las redes sociales Publicaciones.

Encontraron a un político alemán que buscaba un suplemento a base de hierbas para estimular un cerebro envejecido; un detective de policía que mezclaba actividades personales y comerciales en su computadora de trabajo; y un juez que visitó muchos sitios de pornografía al mismo tiempo que compró un cochecito de bebé.

Eckert y Dewes dijeron a DEF CON que las únicas formas de mantener su historial de navegación web verdaderamente privado es ejecutar el Colina protocolo de anonimización a través de múltiples nodos de salida, o para utilizar un servicio de red privada virtual (VPN) que rota los servidores proxy.

Si eso suena inconveniente, lo es. Pero ahora que el Senado de los Estados Unidos ha reglas revocadas de protección de la privacidad para los ISP, el historial de navegación de cada estadounidense y, por inferencia, su identidad, está a la venta al mejor postor.

MÁS: Los mejores servicios de protección de identidad

Deteniendo la colección

Los ISP alemanes están obligados por estrictas leyes de privacidad a recopilar dicha información personal sin permiso. Pero, ¿qué pasa con los usuarios estadounidenses, cuyos ISP no tienen tales restricciones? Eckert y Dewes dijeron que una solución sería ejecutar constantemente Tor, el protocolo de anonimización web disponible gratuitamente pero a veces difícil de usar.

Otro sería usar un servicio VPN, pero Dewes advirtió que investigue un poco antes de registrarse con uno, porque algunos servicios VPN también recopilan y venden información del usuario.

En cualquier caso, su ISP no podrá ver a dónde se dirige en línea. Pero tendría que asegurarse de que las direcciones IP de "salida" - los nodos de salida en Tor, o los servidores proxy en la VPN: cambiaría regularmente para que la dirección IP de salida no se asociara con una usuario.

Obteniendo los datos

Eckert y Dewes hicieron su investigación para una función llamada "Desnudo en la Red" que se emitió en la revista de noticias de la televisión alemana Panorama en noviembre de 2016. Sabían que cientos de empresas compran y venden datos de navegación web recopilados por sitios web y motores de búsqueda.

Grandes cantidades de estos datos se pueden comprar abiertamente siempre que se elimine la información que pueda identificar a los usuarios individuales, como una computadora o la dirección IP (Protocolo de Internet) de un teléfono inteligente.

Para obtener esos datos, Eckert y otros periodistas crearon una empresa de marketing online falsa, con un sitio web elegante lleno de palabras de moda corporativas y personal con perfiles falsos de LinkedIn.

Haciéndose pasar por representantes de la empresa, se acercaron a unos 150 corredores de datos en línea interesados ​​en comprar datos de navegación. Sin embargo, muchas veces se les dijo que debido a las estrictas leyes de privacidad alemanas, tal información podría ser difícil de obtener.

"Dijeron que los datos de EE.UU. o Reino Unido no serían un problema, pero que Alemania era difícil", dijo Eckert.

Finalmente, una empresa dijo que tenía datos de navegación de residentes alemanes. Ofreció a Eckert y Dewes una muestra de un mes gratis, pero no les dijo de dónde venía. El conjunto de datos consistió en 3 mil millones de visitas a 9 millones de sitios web por 3 millones de alemanes.

Machacando los números

Cada usuario fue identificado solo por un número, sin una dirección IP correspondiente. Pero Eckert y Dewes sabían que con tantos datos, el anonimato era imposible. Utilizaron un método desarrollado en 2008 por científicos de datos de la Universidad de Texas, que habían analizado los datos de los usuarios proporcionados por Netflix para identificar positivamente a miles de usuarios supuestamente anónimos.

La técnica es sencilla. El historial de navegación completo de cada usuario durante un mes estaba en el conjunto de datos anónimos. Los investigadores crearon un segundo conjunto de datos correspondiente al mismo mes "raspando" los datos publicados públicamente de Twitter, Facebook, YouTube, Google Maps y otros servicios en línea.

Cada vez que alguien se vinculaba, comentaba o recomendaba un sitio web, entraba en el segundo conjunto de datos. Finalmente, un algoritmo informático buscó coincidencias entre los dos conjuntos de datos.

Estadísticamente, millones de personas pueden hacer clic en un único sitio web específico en un mes determinado. Pero un número menor de personas hará clic en dos de los mismos sitios web en un mes.

Haga que tres, luego cuatro, luego cinco sitios web coincidentes, y así sucesivamente, y los números se reduzcan a cada vez menos personas hasta que solo quede una persona. Si esas coincidencias provienen de fuentes de redes sociales, como sucedió en este caso, el usuario anónimo de repente tiene un nombre.

Era bastante fácil hacer que un programa de computadora examinara los datos y encontrara muchas coincidencias exactas, dijeron Eckert y Dewes. En algunos casos, solo se necesitó un partido.

Dewes descubrió que solo un usuario de Twitter que haya iniciado sesión podría acceder a su propia página de análisis de cuenta, que tiene una URL única. Lo mismo ocurrió con el servicio alemán de redes empresariales Xing, que exige el uso de nombres reales. Entonces, si alguna de las URL apareciera en el historial de un usuario anónimo, los investigadores podrían estar bastante seguros de que él o ella era el propietario de la cuenta.

MÁS: Cómo los datos de compras anónimos revelan su identidad

Desenmascarar a los usuarios

Usando estos métodos, los investigadores encontraron que Valerie Wilms, miembro del parlamento federal alemán, había buscado Tebonin, un suplemento herbal destinado a aumentar el flujo sanguíneo a los cerebros envejecidos.

"Puedes ver todo - ¡mierda!" Wilms exclamó cuando Eckert le mostró al político su historial de navegación en cámara. "Es realmente malo ver algo como esto, especialmente si está relacionado con mi propio nombre".

Wilms había intentado proteger su privacidad utilizando el motor de búsqueda Duck Duck Go, que a diferencia de Google o Bing no registra los datos de búsqueda del usuario. Pero la cadena de búsqueda de Duck Duck Go para Tebonin estaba allí en sus datos de usuario anonimizados.

Los investigadores identificaron a un detective de la policía que buscó un automóvil usado al mismo tiempo que estaba escribiendo un correo electrónico para enviar a un ISP extranjero con respecto a un ciberdelito investigación. El correo electrónico en sí no apareció en los datos, pero el detective usó Google Translate para traducir su borrador del alemán al inglés.

Resulta que Google Translate coloca el texto que se está traduciendo directamente en la URL (pruébelo usted mismo). El detective había copiado y pegado todo el borrador del correo electrónico, incluido su propio nombre, dirección de correo electrónico y número de teléfono, en Google Translate.

Lo peor de todo fue el caso de un juez que visitó algunos sitios porno obscenos.

"Tiene gustos realmente específicos", comentó secamente Eckert cuando el historial de navegación del juez apareció en las pantallas de proyección de DEF CON.

El mismo hombre también buscó cochecitos de bebé y lugares de vacaciones a los que pudiera viajar una pareja con un niño pequeño.

"No está haciendo nada criminal en absoluto. Es simplemente un tipo normal ", dijo Eckert. "Pero ves lo delicado que puede ser esto y cómo podrían chantajearlo, especialmente en su puesto".

Quién recopiló los datos

Puede imaginar que el uso del modo "privado" o "incógnito" de un navegador, o un bloqueador de rastreadores, podría detener dicha recopilación del historial de navegación. Pero un modo privado simplemente evita que el navegador recopile el historial; no impide que el ISP lo recopile.

Del mismo modo, un bloqueador de rastreadores solo impide que los sitios web registren que los ha visitado y no impide que su ISP vea que los ha visitado.

Sin embargo, Eckert y Dewes estaban bastante seguros de que los datos que habían comprado no provenían originalmente de ISP alemanes.

En Alemania, las empresas privadas no pueden recopilar información personal como nombres, direcciones, direcciones IP y direcciones de correo electrónico sin el consentimiento explícito de las personas interesadas. (Las reglas eliminadas por el Senado de los Estados Unidos en abril habrían hecho que los ISP estadounidenses hicieran lo mismo).

Entonces, ¿de dónde había venido esa información tan detallada, que parecía evadir los bloqueadores de rastreadores y los motores de búsqueda anónimos? Con la ayuda de un investigador de seguridad, Eckert y Dewes descubrieron que una extensión de navegador llamada Web of Trust había estado recopilando y vendiendo los datos.

Irónicamente, Web of Trust está destinado a examinar los sitios web en busca de "información sobre reputación y seguridad" y proteger usuarios con "navegación segura mientras compran y navegan", según su página en Chrome Web Tienda. Las personas cuyo historial de navegación habían obtenido Eckert y Dewes habían instalado la extensión Web of Trust para protegerse contra lo que estaba haciendo la extensión.

Web of Trust había hecho esto de forma totalmente legal. Su política de privacidad publicada decía que podría recopilar la dirección IP de un usuario, el tipo de dispositivo, el sistema operativo y el historial de navegación web, todo lo cual sería anonimizado. Pero nadie leyó la letra pequeña.

Después de la transmisión de Panorama en noviembre, Web of Trust se eliminó de las tiendas de extensión Mozilla Firefox, Google Chrome y Opera. Las extensiones regresaron unos meses después con una nueva función, una que permite a los usuarios optar por no recopilar su información personal.

"Los datos de alta dimensión relacionados con el usuario son muy difíciles de anonimizar", dijo Eckert. "El aumento de la información pública sobre muchas personas hace que la desanonimización sea aún más fácil".

  • Mejores servicios y aplicaciones VPN
  • Cómo proteger su identidad, datos personales y propiedad
  • Su privacidad se ha ido. Simplemente no lo sabes todavía