Muchos sitios web vienen con formularios web, por ejemplo, para iniciar sesión en una cuenta, crear una nueva cuenta, dejar un comentario público o contactar al propietario del sitio web. Lo que la mayoría de los usuarios de Internet pueden no saber es que los datos que se escriben en los sitios pueden ser recopilados por rastreadores de terceros, incluso antes de que se envíen los datos.

organización de fugas de datos de formularios
fuente Formas con fugas

Un equipo de investigación de KU Leuven, la Universidad de Radboud y la Universidad de Lausana analizó la recopilación de datos de rastreadores de terceros en los 100 000 principales sitios web mundiales. Los resultados han sido publicado en el artículo de investigación Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission.

Los datos filtrados incluyeron información personal, como la dirección de correo electrónico del usuario, nombres, nombres de usuario, mensajes que se ingresaron en formularios y también contraseñas en 52 ocasiones. La mayoría de los usuarios no saben que los scripts de terceros, que incluyen rastreadores, pueden recopilar este tipo de información cuando escriben en los sitios. Incluso al enviar contenido, la mayoría puede esperar que sea confidencial y que no se filtre a terceros. Los navegadores no revelan la actividad al usuario; no hay indicios de que los scripts de terceros recopilen datos.

Los resultados difieren según la ubicación

La recopilación de datos difiere según la ubicación del usuario. Los investigadores evaluaron el efecto de la ubicación del usuario ejecutando las pruebas desde ubicaciones en la Unión Europea y Estados Unidos.

La cantidad de filtraciones de correo electrónico fue un 60 % mayor para la ubicación en los Estados Unidos que para la ubicación en la Unión Europea. En números, los correos electrónicos se filtraron en 1844 sitios al conectarse a los 100 000 sitios web principales de la Unión Europea y en 2950 sitios al conectarse al mismo conjunto de sitios de los Estados Unidos.

La mayoría de los sitios, el 94,4 %, que filtraron correos electrónicos cuando se conectaban desde la ubicación de la UE también filtraron correos electrónicos cuando se conectaban desde los EE. UU.

La fuga al usar navegadores web móviles fue ligeramente menor en ambos casos. 1745 sitios filtraron direcciones de correo electrónico cuando usaban un navegador móvil desde una ubicación en la Unión Europea, y 2744 sitios filtraron direcciones de correo electrónico desde una ubicación en los Estados Unidos.

Según la investigación, más del 60% de las filtraciones fueron idénticas en las versiones de escritorio y móvil.

Los sitios web móviles y de escritorio donde los correos electrónicos se filtran a los dominios de seguimiento se superponen sustancialmente, pero no por completo.

Una explicación de la diferencia es que los rastreos móviles y de escritorio no se realizaron al mismo tiempo, sino con una diferencia de tiempo de un mes. Se descubrió que algunos rastreadores estaban activos solo en sitios móviles o de escritorio.

Los investigadores sugieren que las leyes de privacidad europeas más estrictas juegan un papel en la diferencia. El RGPD, Reglamento General de Protección de Datos, se aplica cuando los sitios y servicios recopilan datos personales. Las organizaciones que procesan datos personales son responsables de cumplir con el RGPD.

Los investigadores creen que la exfiltración de correo electrónico por parte de terceros «puede violar al menos tres requisitos de GDPR».

Primero, si tal exfiltración ocurre subrepticiamente, viola el principio de transparencia.

En segundo lugar, si dicha exfiltración se utiliza para fines como la publicidad conductual, el marketing y el seguimiento en línea, también infringe el principio de limitación del propósito.

En tercer lugar, si la exfiltración de correo electrónico se usa para publicidad conductual o seguimiento en línea, el RGPD generalmente requiere el consentimiento previo del visitante del sitio web.

Solo 7720 sitios en la UE y 5391 sitios en los EE. UU. mostraron ventanas emergentes de consentimiento durante las conexiones; eso es el 7,7 % de todos los sitios de la UE y el 5,4 % de todos los sitios de EE. UU.

Los investigadores descubrieron que la cantidad de sitios con fugas disminuyó un 13 % en los EE. UU. y un 0,05 % en la UE al rechazar todo el procesamiento de datos mediante ventanas emergentes de consentimiento. La mayoría de los usuarios de Internet pueden esperar una reducción del 100% cuando no dan su consentimiento, pero aparentemente este no es el caso. La baja disminución en la UE probablemente se deba a la baja cantidad de sitios web con ventanas emergentes de cookies detectadas y filtraciones observadas.

Categorías de sitios, rastreadores y filtraciones

categorías de sitios con fugas
fuente Formas con fugas

Los investigadores agregaron sitios a categorías como moda/belleza, compras en línea, juegos, información pública y pornografía. Los sitios en todas las categorías, con la excepción de la pornografía, filtraron direcciones de correo electrónico según los investigadores.

Los sitios de moda/belleza filtraron datos en el 11,1 % (UE) y el 19,0 % (EE. UU.) de todos los casos, seguidos de Compras en línea con el 9,4 % (UE) y el 15,1 % (EE. UU.), Noticias generales con el 6,6 % (UE) y el 10,2 % (EE. UU.), Software/Hardware con un 4,9 % (UE) y Negocios con un 6,1 % (EE. UU.).

Muchos sitios incorporan secuencias de comandos de terceros, generalmente con fines publicitarios o servicios de sitios web. Estos scripts pueden rastrear a los usuarios, por ejemplo, para generar perfiles para aumentar los ingresos publicitarios.

Los principales sitios que filtraron información de direcciones de correo electrónico fueron diferentes según la ubicación. Los 3 principales sitios para visitantes de la UE fueron USA Today, Trello y The Independent. Para los visitantes estadounidenses, fueron Issuu, Business Insider y USA Today.

Un análisis más detallado de los rastreadores reveló que un pequeño número de organizaciones era responsable de la mayor parte de la filtración de datos de formularios. Los valores fueron una vez más diferentes dependiendo de la ubicación.

Las cinco organizaciones que operan la mayor cantidad de rastreadores en sitios que filtran datos de formularios fueron Taboola, Adobe, FullStory, Awin Inc. y Yandex en la Unión Europea, y LiveRamp, Taboola, Bounce Exchange, Adobe y Awin en los Estados Unidos.

Taboola se encontró en 327 sitios cuando se visitó desde la UE, LiveRamp en 524 sitios cuando se visitó desde los EE. UU.

Protección contra terceros que filtran datos de formularios

Los navegadores web no revelan a los usuarios si los scripts de terceros recopilan datos que los usuarios ingresan en los sitios, incluso antes de enviarlos. Si bien la mayoría, con la notable excepción de Google Chrome, incluyen la función antiseguimiento, parece que no son adecuados para proteger los datos de los usuarios contra esta forma de seguimiento.

Los investigadores realizaron una pequeña prueba con Firefox y Safari para averiguar si la función antiseguimiento predeterminada bloqueaba la exfiltración de datos en la muestra. Ambos navegadores no pudieron proteger los datos del usuario en la prueba.

Los navegadores con funciones de bloqueo de anuncios integradas, como Brave o Vivaldi, y las extensiones de bloqueo de anuncios, como uBlock Origin, ofrecen una mejor protección contra la fuga de datos. Los usuarios de dispositivos móviles pueden usar navegadores que admitan extensiones o que incluyan la función de bloqueo de anuncios de forma predeterminada.

Los investigadores desarrollaron la extensión del navegador LeakInspector. Diseñado para informar a los usuarios sobre ataques de rastreo y para bloquear solicitudes que contienen información personal, LeakInspector protege los datos de los usuarios mientras están activos.

La fuente de la extensión está disponible en GitHub. Los desarrolladores no pudieron enviar la extensión a Chrome Web Store, ya que requiere acceso a funciones que solo están disponibles en Manifest 2. Google acepta extensiones de Manifest 3 solo en Chrome Web Store. Se está publicando una extensión de Firefox en la tienda de complementos de Mozilla para Firefox.

Ahora tu: ¿Cuál es su opinión sobre esto?

Por Deyanira