¿Qué son las cookies? Especialista entrega claves para una navegación segura en la web

10/11/2022
REMO ROSA PARA SANAR
10/11/2022
Una mirada personal a la podcatósfera
11/11/2022
Cada vez que accedes a una página web se crea un pequeñísimo archivo que te identifica como visitante. Da lo mismo si ingresas desde el ordenador o desde un móvil.

“Nuestro sitio web usa cookies para mejorar la experiencia como usuario” o “Su privacidad es importante para nosotros” son algunas de las declaraciones que hacen los administradores de páginas web para alertarte de que necesitan tu autorización para almacenar y procesar datos de uso, geolocalización e identificar tus gustos de navegación, hábitos de clicks (banners, noticias, imágenes, videos, etc.), sitios visitados, etc. Toda esta información es utilizada por los sitios donde el usuario acepta la creación y mantenimiento de cookies para fidelizar al usuario y ofrecerle productos y servicios de acuerdo con la información recolectada.

Google define a las cookies como “pequeños fragmentos de texto que los sitios web que se visitan informan al navegador”. Con estos archivos es posible “recordar” información sobre tu visita. En otras palabras, las cookies sirven para recopilar información sobre tus visitas; permitir que el sitio te reconozca; personalizar la experiencia de navegación y, a partir de esa información, ofrecerte anuncios personalizados. En la mayoría de los casos, el uso de estos componentes mejora la navegación (preferencias de idioma, último video visto en Youtube, secciones favoritas de un diario electrónico, entre otros aspectos).

Sin embargo, es necesario tener cuidado y poner atención al aceptar el uso de cookies, ya que entender qué es lo que hará un portal con sus cookies y saber cómo es que la información del usuario va a ser utilizada es prácticamente imposible. Lo anterior significa que solo podemos conocer qué cookies hemos aceptado, pero no sabremos qué información recolecta y para qué. La mayoría de los navegadores incluye una forma de eliminar las cookies aceptadas y existen algunas herramientas tecnológicas adicionales que ayudan al control de la aceptación de cookies (Consent-O-Matic, Privacy Cloud, I don't care about cookies).

El Oficial de Seguridad de la Información de la Universidad de Chile, Emilio Canales, informa que existen al menos tres temas de seguridad relativos a cookies más comunes, que es necesario considerar antes de aceptarlas. Detalla, además, que existen tres tipos de cookies.

  • Cookies de sesión: son almacenadas en la memoria RAM y eliminadas una vez que se cierra el navegador, es decir, solo están presentes durante su sesión de navegación. Estas permiten saltar de una página a otra sin necesidad de iniciar sesión cada vez.
  • Cookies persistentes: son almacenadas en el disco duro de forma permanente y se utilizan para actualizar preferencias de navegación. Por ejemplo, si hace clic en "recordarme" en el portal de inicio de sesión de un sitio web, las cookies persistentes lo mantendrán conectado, incluso después de cerrar el navegador.
  • Cookies flash: similares a las cookies persistentes, excepto que se almacenan como archivos Adobe Flash en lugar de archivos de texto. Contienen los mismos datos y funcionan como las otras cookies.

Falsificación de solicitud entre sitios (XSRF, Cross-Site Request Forgery Attack)

Un problema con las cookies es que los sitios web no pueden distinguir si las solicitudes provienen del usuario real o de otra persona. Esta “neutralidad de las cookies” es algo que los ciberdelincuentes pueden aprovechar para iniciar una acción maliciosa, comenta el Oficial de Seguridad de la Información.

Cada vez que un sitio web encuentra cookies, automáticamente inicia la acción asociada en la solicitud de la cookie. Los ciberdelincuentes, de esta forma, pueden programar sitios web maliciosos e iniciar acciones negativas, por ejemplo, eliminar archivos. Esto se denomina ataque de falsificación de solicitud entre sitios (XSRF).

Por ejemplo, se puede visitar un sitio web popular legítimo ("www.verygood.com") y descargar cookies en su disco duro. Un atacante puede incrustar un enlace para eliminar acciones específicas de "www.verygood.com" y publicarlo en otro sitio web como "www.notgood.com". Y cuando alguien visita www.notgood.com el servidor web ve que tiene cookies de www.verygood.com, las interpreta como una solicitud válida e inicia la acción de eliminación establecida por el atacante.

 

Fijación de sesión (Session Fixation)

Cada vez que visite un sitio web requiera un inicio de sesión, su computadora almacenará cookies de sesión mientras su navegador esté abierto. De esa manera, no tendrá que iniciar sesión cada vez que visite una nueva página en el sitio. Si bien eso podría proporcionar una experiencia en línea más fluida, puede permitir que los atacantes secuestren su ID de sesión legítima.

Si un sitio web permite identificadores de sesión en los parámetros de consulta, un atacante puede incluir un identificador de sesión específico en la URL. Si envían esa URL a un usuario y este inicia sesión en el sitio web con sus credenciales legítimas, el atacante puede tomar el control de esa sesión y obtener acceso a la cuenta del usuario.

 

Secuencias de comandos entre sitios (XSS, Croos-Site Scripting)

Las secuencias de comandos entre sitios (XSS) pueden ocurrir en cualquier sitio web que permita a los usuarios escribir y publicar contenido JavaScript y HTML sin filtrar. Este tipo de violación ocurre cuando el atacante escribe un código malicioso y lo publica en un sitio web legítimo y confiable. Cuando el usuario desprevenido visita el sitio web, su navegador no sabe que debe desconfiar del contenido. En consecuencia, ejecuta todos los scripts y otorga acceso a cualquier token de sesión, cookie u otra información confidencial que el navegador haya retenido con respecto a ese sitio, incluida la información de inicio de sesión. El atacante puede robar estos datos.

La recomendación del OSI es clara: Piense antes de aceptar todas las cookies de un sitio solo porque la ventana emergente es molesta.

 


MI.UCHILE
Skip to content