Algunos de los 100 000 sitios web principales recopilan todo lo que escribes antes de enviar

Cuando se suscribe a un boletín informativo, hace una reserva de hotel o paga en línea, probablemente asuma que no importa si escribe mal su dirección de correo electrónico tres veces o si cambia de opinión y abandona la página X. En realidad, nada sucede hasta que hace clic en el botón Enviar, ¿verdad? Bueno, tal vez no. Al igual que con tantas suposiciones sobre Internet, este no siempre es el caso, según una nueva investigación: una cantidad sorprendente de sitios web recopilan algunos o todos sus datos a medida que los ingresa en un formulario digital. Investigadores de KU Leuven, Radboud University y University of Lausanne buscaron y analizaron los 100 000 sitios web principales y examinaron escenarios en los que un usuario visita un sitio web mientras está en la Unión Europea y visita un sitio web de los Estados Unidos. Descubrieron que 1.844 sitios web recopilaron la dirección de correo electrónico de un usuario de la UE sin su consentimiento y la asombrosa cifra de 2.950 registró el correo electrónico de un usuario estadounidense de alguna manera. Muchos de los sitios web no parecen tener la intención de realizar el registro de datos, sino que integran servicios de marketing y análisis de terceros que causan el comportamiento. Después de escanear específicamente los sitios web en busca de filtraciones de contraseñas en mayo de 2021, los investigadores también encontraron 52 sitios web donde terceros, incluido el gigante tecnológico ruso Yandex, habían recopilado aleatoriamente datos de contraseñas antes de enviarlos. El grupo compartió sus hallazgos con estos sitios web y desde entonces se han resuelto los 52 casos.

«Si hay un botón de envío en un formulario, la expectativa razonable es que hará algo, que enviará sus datos cuando haga clic en él», dice Güneş Acar, profesor e investigador del Grupo de Seguridad Digital de la Universidad de Radboud. uno de los líderes del estudio. “Nos sorprendieron mucho estos resultados. Pensamos que podríamos encontrar algunos cientos de sitios que recopilen su correo electrónico antes de enviarlo, pero eso superó con creces nuestras expectativas». Los investigadores, que presentarán sus hallazgos en la conferencia de seguridad de Usenix en agosto, dicen que se sintieron inspirados para investigar lo que llaman «formularios con fugas» por informes de los medios, particularmente de Gizmodo, sobre terceros que recopilan datos de formularios independientemente del estado del envío. Señalan que, en esencia, el comportamiento es similar a lo que se conoce como registradores de teclas, que suelen ser programas maliciosos que registran todo lo que escribe un tipo de objetivo. Pero en un sitio principal de los 1000 principales, los usuarios probablemente no esperan que su información sea registrada. Y en la práctica, los investigadores observaron algunas variaciones en el comportamiento. Algunos sitios registraron datos de pulsación de tecla tras pulsación de tecla, pero muchos extrajeron envíos completos de un campo cuando los usuarios hicieron clic en el siguiente. «En algunos casos, cuando haces clic en el siguiente campo, recopilan el anterior, como si haces clic en el campo de contraseña y recopilan el correo electrónico, o simplemente haces clic en cualquier lugar e inmediatamente recopilan toda la información», dice Asuman Senol, un administrador de datos. oficial de protección e investigador de identidad en KU Leuven y uno de los coautores del estudio”. No esperábamos encontrar miles de sitios web; y en EE. UU. los números son realmente altos, lo cual es interesante». Los investigadores dicen que las diferencias regionales pueden estar relacionadas con que las empresas sean más cautelosas con el seguimiento de usuarios debido al Reglamento General de Protección de Datos de la UE, y posiblemente incluso con menos integraciones de terceros. . Sin embargo, enfatizan que esta es solo una posibilidad y que el estudio no examinó las explicaciones de las diferencias. A través de importantes esfuerzos para notificar a los sitios web y a terceros que recopilan datos de esta manera, los investigadores descubrieron que una explicación para algunas de las recopilaciones de datos inesperadas puede tener que ver con el desafío de distinguir una acción de «enviar» de otras acciones del usuario en ciertos Sitios. diferenciar páginas. Sin embargo, los investigadores enfatizan que esto no es una justificación suficiente desde la perspectiva de la privacidad. Desde la finalización del documento, el grupo también descubrió Meta Pixel y TikTok Pixel, rastreadores de marketing invisibles que incorporan servicios en sus sitios web para rastrear a los usuarios en la web y mostrarles anuncios. Ambos afirmaron en su documentación que los clientes podrían habilitar la «coincidencia avanzada automática», lo que activaría la recopilación de datos cuando un usuario envía un formulario. Sin embargo, en la práctica, los investigadores descubrieron que estos píxeles de seguimiento capturaban direcciones de correo electrónico codificadas antes de la entrega, una versión ofuscada de las direcciones de correo electrónico utilizadas para identificar a los usuarios web en todas las plataformas. Para los usuarios de EE. UU., 8438 sitios web pueden haber compartido datos con Meta, la empresa matriz de Facebook, a través de píxeles, y 7379 sitios web para usuarios de la UE pueden verse afectados. Para TikTok Pixel, el grupo encontró 154 sitios para usuarios de EE. UU. y 147 para usuarios de la UE. Los investigadores presentaron un informe de error a Meta el 25 de marzo, y la compañía rápidamente asignó un técnico al caso, pero el grupo no ha recibido ninguna actualización desde entonces. Los investigadores notificaron a TikTok el 21 de abril (recientemente descubrieron el comportamiento de TikTok) y no recibieron respuesta. Meta y TikTok no respondieron de inmediato a la solicitud de WIRED de comentar los resultados. “Los riesgos de privacidad para los usuarios son que serán rastreados de manera aún más eficiente; Se pueden rastrear en diferentes sitios web, en diferentes sesiones, en dispositivos móviles y de escritorio”, dice Acar. “Una dirección de correo electrónico es un identificador tan útil para el seguimiento porque es global, único y constante. No puede eliminarlo como elimina sus cookies. Es un identificador muy poderoso”. Acar también señala que a medida que las empresas tecnológicas buscan eliminar gradualmente el seguimiento basado en cookies por razones de privacidad, los especialistas en marketing y otros analistas confiarán cada vez más en identificaciones estáticas como números de teléfono y direcciones de correo electrónico. Dado que los resultados indican que eliminar datos en un formulario antes de enviarlo puede no ser suficiente para protegerse contra cualquier recopilación, los investigadores desarrollaron una extensión de Firefox llamada LeakInspector para detectar la recopilación de formularios fraudulentos. Y esperan que sus hallazgos generen conciencia sobre el problema, no solo para los usuarios habituales de la web, sino también para los desarrolladores y administradores de sitios web, quienes pueden verificar de manera proactiva si sus propios sistemas, o los proveedores externos que utilizan, recopilan datos de formularios. sin recoger el consentimiento. Los formularios con fugas son solo otro tipo de recopilación de datos de los que hay que tener cuidado en un espacio en línea ya extremadamente concurrido. Esta historia apareció originalmente en wired.com.