Expertos en ciberseguridad reportaron la detección de una vulnerabilidad que permitiría que los sitios web identifiquen y rastreen a los usuarios sin importar las restricciones de privacidad configuradas. Esta falla estaría presente en los principales navegadores web. En esencia, la falla permite que un sitio web asigne a un usuario un identificador único, lo que permitiría dar seguimiento a sus actividades a través de otras plataformas en línea, incluso si está usando un servicio VPN.
La falla fue descubierta por los expertos de la firma de seguridad FingerprintsJS, quienes afirman que el problema ha existido desde hace al menos 5 años. Además, aunque no hay evidencia de una explotación masiva, los expertos creen que este puede volverse uno de los principales problemas para la privacidad de los usuarios.
Este esquema de “inundación de esquemas” reside en populares navegadores como Chrome, Firefox, Safari e incluso Tor Browser.
Como muchos sabrán, los navegadores web pueden generar un identificador de dispositivo buscando una lista de 32 aplicaciones para verificar si están instaladas en el dispositivo de un usuario. Acorde a los expertos, este proceso demora unos segundos y funciona en sistemas operativos como Windows, macOS y Linux; el manejo del esquema de URL personalizado se usa para verificar si la aplicación en cuestión se ha instalado, lo que sirve para que un navegador abra la aplicación a través de un cuadro de configuración emergente. Los investigadores describen la vulnerabilidad en cuatro etapas:
- Se prepara una lista de los esquemas de URL de la aplicación que desea probar. La lista puede depender del usuario objetivo
- Se agrega un script en un sitio web que probará cada aplicación de la lista elaborada. El script devolverá una matriz ordenada de valores booleanos. Cada valor booleano es verdadero si la aplicación está instalada o falso si no lo está
- Los atacantes pueden usar esta matriz para generar un identificador permanente entre navegadores
- Opcionalmente, se usan algoritmos de aprendizaje automático para adivinar la ocupación, los intereses y la edad de los visitantes de su sitio web utilizando los datos de la aplicación instalada
Los navegadores web actuales tienen mecanismos de seguridad integrados para fortalecer la privacidad de los usuarios. Estos mecanismos pueden ser vulnerados con la inundación del esquema. Los navegadores Safari, Firefox y Tor Browser son vulnerables debido al abuso de la política del mismo origen: “Cada vez que navega a un esquema de URL desconocido, Firefox le mostrará una página interna con un error. Esta página interna tiene un origen diferente al de cualquier otro sitio web, por lo que es imposible acceder a ella debido a la limitación de la política del mismo origen”, señalan los expertos.
Chrome es el único navegador que cuenta con algunas protecciones contra la inundación de esquemas, pero incluso este mecanismo puede evitarse, ya que el problema reside en fallas de origen en Chromium.
Los desarrolladores de estos navegadores web ya han sido notificados y se espera que implementen los mecanismos de mitigación pertinentes a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
