Imagina que entras en un centro comercial y un desconocido comienza a seguirte: toma notas detalladas de las tiendas que visitas; si coges un folleto, intenta mirar por encima del hombro para ver si consigue leerlo; cuando estás en una tienda, usa un cronómetro para controlar el tiempo exacto que pasas en cada estante. Suena absurdo y algo desagradable, ¿verdad? Por desgracia, eso es exactamente lo que sucede cada vez que visitas un sitio web importante, ves el correo electrónico de las tiendas o servicios online o usas sus aplicaciones móviles oficiales. La persona con el cronómetro son los sistemas de análisis conectados a prácticamente todos los sitios web, aplicación y campaña de correo electrónico.
Pero ¿para qué necesitan las empresas todos estos datos? Hay varias razones, como, por ejemplo, para:
- conocer mejor tus preferencias y poder sugerirte productos y servicios que acabes comprando. Por eso siguen impactándote por todas partes anuncios de bicicletas unos dos meses después de visitar un sitio web de ciclistas;
- agregar texto e imágenes más eficaces a sitios web y mensajes de correo electrónico. Las empresas prueban varias opciones de subtítulos, encabezados y banners, eligiendo finalmente aquellos que llaman más la atención de los clientes;
- identificar las secciones más populares de una aplicación móvil o sitio web y tu interacción con ellas;
- probar nuevos productos, servicios y funciones;
- vender datos sobre las preferencias y el comportamiento de los usuarios a otras empresas.
En esta publicación detallada de Securelist, examinamos las estadísticas sobre los “espías” más ocupados: Google, Microsoft y Amazon, los más hambrientos de datos con diferencia.
Cómo funcionan las balizas web y los píxeles de seguimiento
Las actividades de rastreo descritas anteriormente se basan en balizas web, también conocidas como píxeles de seguimiento o píxeles espía. La técnica de seguimiento más popular consiste en insertar una imagen diminuta (tan diminuta que es prácticamente invisible), con un tamaño de 1×1 o incluso 0x0 píxeles, en un correo electrónico, aplicación o página web. Cuando tu pantalla muestra información, tu cliente de correo electrónico o navegador solicita descargar la imagen del servidor transmitiendo la información sobre ti que registra el servidor: la hora, el dispositivo utilizado, el sistema operativo, el tipo de navegador y la página en la que se ha descargado el píxel. Así es cómo llega al operador de la baliza que has abierto el correo electrónico o la página web y cómo. A menudo se utiliza un código pequeño (JavaScript) dentro de la página web, que puede recopilar información aún más detallada, en lugar de un píxel. Independientemente del método elegido, el rastreador queda invisible en el mensaje de correo electrónico o sitio web: simplemente no puedes verlo. Sin embargo, estas balizas colocadas en cada página o pantalla de la aplicación permiten “seguirte” rastreando tu ruta de navegación y el tiempo que pasas en cada etapa de esa ruta.
Los ciberdelincuentes y las balizas web
Las agencias de marketing y las empresas de tecnología no son las únicas que utilizan balizas web: los ciberdelincuentes también. Las balizas web permiten realizar de forma práctica un reconocimiento preliminar para los ataques de correo electrónico dirigidos (spear phishing o el compromiso de correo electrónico corporativo). Ayudan a los ciberdelincuentes a averiguar a qué hora revisan (o no) sus víctimas el correo para elegir el momento perfecto de ataque: es más fácil hackear las cuentas de los usuarios o enviar correos electrónicos falsos en su nombre mientras el usuario está desconectado.
La información del usuario, incluidos los datos de comportamiento e interés, puede filtrarse a raíz de un ataque de ciberdelincuentes. Hasta los líderes del mercado, como Mailchimp, Klaviyo o ActiveCampaign, a veces experimentan este tipo de filtraciones. La información robada se puede utilizar para varias estafas. Por ejemplo, los ciberdelincuentes que atacaron a Klaviyo robaron listas de usuarios interesados en invertir en criptomonedas. Luego se puede usar una táctica de phishing especializada para dirigirse a esa audiencia y estafarlos.
Cómo protegerte del rastreo
No podemos controlar las filtraciones y los ataques, pero sí podemos asegurarnos de que los servidores de los gigantes tecnológicos recopilen la menor cantidad posible de datos sobre nosotros. Los siguientes consejos se pueden usar por separado o combinados:
- Bloquea la carga automática de imágenes en el correo electrónico. Cuando configures el correo electrónico en tu teléfono, ordenador o cliente web, asegúrate de habilitar la configuración que bloquea la visualización automática de imágenes. La mayoría de los correos electrónicos tienen sentido incluso sin las imágenes que contienen, además, la mayoría de los clientes de correo electrónico añaden el botón de “mostrar imágenes” justo encima del cuerpo del mensaje, por lo que, para cargar las imágenes si lo necesitas, solo hay que hacer clic.
- Bloquea los rastreadores web. Puedes evitar que la mayoría de las balizas web se carguen. En los productos de seguridad de Kaspersky está la función de Navegación privada; el navegador Firefox te permite habilitar y ajustar la Protección Antirrastreo Mejorada; además, están los complementos de privacidad especializados disponibles en los catálogos de extensiones recomendadas oficialmente de Chrome, Firefox y Safari. Para encontrarlos, solo tienes que introducir privacidad o protección de seguimiento en la barra de búsqueda.
- Protege tu conexión a Internet. La protección contra el rastreo funciona bien a nivel del sistema operativo o del router doméstico. Si bloqueas las balizas web en tu router, dejarán de funcionar no solo en tu correo electrónico y en las páginas web, sino también dentro de las aplicaciones e incluso en tu televisión inteligente. Para ello, te recomendamos que habilites el DNS seguro en el sistema operativo o en los ajustes del router y especifiques un servidor DNS que bloquee los rastreadores. Una conexión VPN a veces también puede proporcionar protección antirrastreo. Si esta opción te resultara más práctica, asegúrate de que tu proveedor de VPN ofrezca un servicio de bloqueo de rastreadores.