Glosario

Evercookie

¿Qué es una evercookie?

La evercookie, a veces denominada supercookie, es una tecnología de cookies persistentes del navegador web desplegada por los sitios web para retener y reproducir las cookies que han sido eliminadas o alteradas manualmente por un usuario. 

Como resultado, el usuario no puede eliminar estas cookies del navegador de la forma habitual, y su navegador web sigue compartiendo la información que contienen con el sitio web: el hash de cookies.

Las cookies son pequeños archivos de texto que se crean al visitar un dominio por primera vez, para registrar cómo interactúa el usuario con el sitio. Para el usuario medio, su existencia solo será perceptible cuando un sitio web lo salude por su nombre o recuerde sus preferencias, pero para los estafadores que intenten, por ejemplo, crear muchas cuentas diferentes para una operación de apuestas combinadas, pueden ser un obstáculo evidente. 

Una evercookie está programada para propagarse automáticamente, al almacenar sus datos en varias ubicaciones de manera que sea muy difícil deshacerse de ella. Ha sido utilizada por actores maliciosos de diversos tipos, como veremos a continuación.

¿Quién creó la evercookie y por qué?

Evercookie es un proyecto de código abierto desarrollado por el investigador de seguridad estadounidense Samy Kamkar, publicado por primera vez en su página de GitHub en 2010. En su lanzamiento, Kamkar lo describió como una demostración de los posibles fallos de seguridad en los sitios web que emplean algún tipo de aplicación de reaparición de cookies. 

La seguridad en la web ha sido históricamente un tira y afloja entre la preocupación por la privacidad de los usuarios y el uso de los datos recolectados para crear un entorno comercial seguro y rentable. Teniendo en cuenta esta lucha, los principales navegadores web ofrecen a sus usuarios la posibilidad de eliminar y rechazar las cookies, lo que proporciona a los usuarios finales un mayor control sobre sus datos y, al mismo tiempo, disminuye una importante línea de seguridad del sitio web.

Dado que los usuarios utilizan cada vez más esas opciones para eliminar y evitar las cookies, evercookie se desarrolló para seguir al usuario de forma consistente a través de los controles ofrecidos por el navegador web. En términos de seguridad web, evercookie impide que los estafadores se limiten a eliminar o rechazar las cookies que podrían rastrear su comportamiento malicioso.

En términos de privacidad personal, sin embargo, también presenta un conflicto con la legislación vigente del GDPR, que exige que el usuario final dé su consentimiento explícito en cuanto a la aceptación o no de una cookie. 

¿Cómo funciona la evercookie?

El nombre de evercookie es un poco equívoco, ya que no se trata de una cookie real sino de un conjunto de código JavaScript que vuelve a crear varias cookies. 

El proceso funciona así: 

  1. Cuando un usuario visita un sitio web que emplea una evercookie o una API similar a la supercookie, se crea una cookie.
  2. Copias redundantes de la cookie, así como partes de la información del usuario, se almacenan hasta en otros 17 lugares disponibles en el navegador web, algunos de los cuales están relacionados con las prácticas antifraude estándar como la huella digital del navegador.
  3. El usuario final borra toda la cookie o altera los datos del archivo de texto de la cookie.
  4. Cuando el dispositivo intenta acceder al archivo cookie borrado o alterado, evercookie compara los datos con las copias redundantes y luego recrea la cookie auténtica a partir de las otras fuentes de datos disponibles.

¿Hay diferentes tipos de evercookies?

Cuando se creó evercookie, pretendía ser un ejercicio intelectual para mostrar cómo podía existir un rastreo de datos sin escrúpulos en el navegador web medio. No es una marca o un producto en sí mismo. 

Hoy en día, existen APIs de JavaScript similares que se basan en el código evercookie original de Samy Kamkar. Estas podrían denominarse:

  • supercookies
  • cookies persistentes
  • cookies eternas
  • cookies zombis

Todas estas APIs intentarán utilizar todas o algunas de las 17 áreas de un navegador web donde se pueden almacenar datos parciales del usuario para recrear cookies alteradas. El código resultante será similar.

¿Deberías preocuparte por las evercookies?

Independientemente de si te acercas a las evercookies como individuo o como empresa, la respuesta corta es: sí, es preocupante.

Las cookies que se reinician no son intrínsecamente maliciosas. En realidad, probablemente hacen que tu experiencia de navegación sea más fluida. Sin embargo, se ha determinado que la práctica del respawning de cookies viola los derechos de privacidad de los usuarios finales y que la culpa legal corresponde a la empresa. 

En 2011, un equipo de la Universidad de Berkeley descubrió la presencia de una aplicación de reaparición de cookies similar a evercookie en el sitio de KISSMetrics, una empresa que ofrece análisis de marketing.

Este sitio web estaba al servicio de importantes plataformas, como Hulu y Spotify. Menos de un día después de que el equipo de Berkeley publicara sus hallazgos, estos dos sitios web suspendieron su empleo de KISSMetrics y modificaron sus políticas de privacidad, pero no antes de que se presentaran dos demandas contra la propia KISSMetrics.

Más allá de este ejemplo de la vida real que aparece en la revista Wired, cualquier uso malicioso de las cookies puede ser mucho peor si estas cookies que vuelven a aparecer son persistentes. Esto incluye usos como:

  • cookies de seguimiento maliciosas 
  • cookie stuffing
  • facilidad para que los hackers pirateen las cookies persistentes

¿Se puede eliminar una evercookie? ¿Se puede acabar con ella?

La característica principal de evercookie es que crea persistencia. Así, una vez alojada en un dispositivo local puede ser muy difícil de eliminar. 

Tener el hábito de borrar regularmente la caché de cookies en la configuración de tu navegador web es una parte básica de la seguridad de los datos. En ocasiones, esto puede hacer que tus páginas web se carguen más lentamente a medida que se generan nuevas cookies y puede que te encuentres volviendo a introducir datos que anteriormente se rellenaron automáticamente.

El software antivirus de tu dispositivo seguramente tendrá un análisis para comprobar si hay cookies de seguimiento maliciosas almacenadas en tu computadora. Los más preocupados por la privacidad también pueden considerar la posibilidad de desactivar las cookies en sus navegadores, lo que puede conllevar algunos inconvenientes, como que los videos no recuerden dónde los dejaste de ver. 

Si te preocupan las posibles violaciones de la privacidad por parte de un presunto reaparecido de las cookies en tu dispositivo, lo mejor es investigar una aplicación específicamente dirigida a las evercookies, como Anonymizer Nevercookie para Firefox. Herramientas como esta complementan la eliminación de una cookie impidiendo que las APIs de tipo evercookie las reaparezcan.

Cómo puede ayudar la huella digital del navegador

Aprende cómo la singularidad de las configuraciones de los navegadores te da una oportunidad de luchar contra los estafadores, trabajando entre bastidores para detectar actores sospechosos.

Lee más aquí

Fuentes