Las web más populares registran las pulsaciones de teclado

El Centro de Política de Tecnología de la información de Princenton ha descubierto como un tercio de los scripts de terceros ejecutados en muchos de los sitios web más populares del mundo se dedican a registrar cada pulsación de teclado realizada por sus usuarios. Esta actividad de registrar las pulsaciones de teclado de los usuarios se realiza con códigos JavaScript llamados session replay (repetición de sesión).

El propósito declarado de esta recopilación de datos incluye recopilar información sobre cómo los usuarios interactúan con sitios web y descubrir páginas rotas o confusas. Sin embargo, la extensión de los datos recopilados por estos servicios excede las expectativas del usuario; el texto escrito en los formularios se recopila antes de que el usuario envíe el formulario y se guardan los movimientos precisos del ratón, todo sin ninguna indicación visual para el usuario. No es razonable esperar que esta información se mantenga en el anonimato. De hecho, algunas compañías permiten a los editores vincular explícitamente las grabaciones a la identidad real de un usuario.

En las pruebas realizadas se ha descubierto que las contraseñas y la información sensible que los usuarios introducen en un formulario están incluidas en las grabaciones de sesión, algo que realmente supone una violación de la privacidad y seguridad de los usuarios en Internet.

En el siguiente vídeo se puede ver un ejemplo muy claro de como actúan las ‘session replay’

Afortunadamente podemos protegernos de este tipo de actividad impune por parte de los propietarios de las páginas web, que incluso pueden ser utilizados por terceros para obtener tu información confidencial, de la siguiente forma:

  1. Bloquear todos los scripts en los sitios web y permitir solo los scripts que se ejecuten en los sitios web de confianza.
  2. Bloquear los scripts de inicio de sesión directamente. Esta es la opción más sencilla de aplicar ya que podemos usar extensiones del navegador como NoScript, uBlock o uMatrix para evitar que estas secuencias de comandos se carguen en los sitios que visita. Esta protección solo funciona si no permite que los scripts se ejecuten en los sitios que visita, así que hay que tenerlo en cuenta.

La popular lista de Easy Privacy bloquea varios de los scripts de seguimiento de Session Replay, por ejemplo. Los siguientes commits se agregaron recientemente a Easy Privacy para bloquear los scripts de Sesión de reproducción:

|| ftbpro.com ^ $ third-party || fueldeck.com ^ $ third-party || fugetech.com ^ $ third-party + || fullstory.com ^ $ third-party || funneld.com ^ $ third-party || funstage.com ^ $ third-party || fuse-data.com ^ $ third-party | smartctr.com ^ $ third-party || smarterhq.io ^ $ third-party || smarterremarketer.net ^ $ third-party + || smartlook.com ^ $ third-party || smartology.co ^ $ third-party || smartracker.net ^ $ third-party || smartzonessva.com ^ $ third-party || userlook.com ^ $ third-party || userneeds.dk ^ $ third-party || useronlinecounter.com ^ $ third-party + || userreplay.net ^ $ third-party || userreport.com ^ $ third-party || users-api.com ^ $ third-party || userzoom.com ^ $ third-party Algunos bloqueadores de contenido, uBlock Origin por ejemplo, pueden suscribirse automáticamente a EasyPrivacy.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *