Privacidad, Google omite la configuracion propia de cada usuario. La solucion, habilitar IE Tracking Protection

googlewatchingyou_01Hoy quería compartir con ustedes un tema de seguridad que nos importa a todos, últimamente están habiendo muchos cambios en cuanto a las políticas de privacidad, ya sea de Facebook, Google, Yahoo, etc. Generalmente uno no las lee, y las acepta por default, pero a que precio?

Una definición de privacidad, orientada puntualmente al uso de Internet, podría ser controlar quien puede tener acceso a la información que posee un determinado usuario. Esta bien que si uno decide usar Facebook (o la red social que quieran) asume que la privacidad será “vulnerada” de alguna forma, pero el problema surge cuando hay intereses económicos en el medio. Esta claro que es muy difícil controlarla, pero también queda muchas veces a juicio del propio usuario, y si habilito un feature para bloquear el seguimiento es porque quiero que eso quede configurado de esta forma.

Muchos desconocemos el alcance de esas políticas de privacidad. Hace un tiempo, el equipo de IE escuchó que Google había soslayado la configuración de privacidad de usuario en Safari, se preguntaron una cosa sencilla: esta Google eludiendo también las preferencias de privacidad de los usuarios de Internet Explorer? Y han descubierto que la respuesta es sí: Google está empleando métodos similares para eludir las protecciones de privacidad por defecto en IE y realizar un seguimiento de los usuarios de IE con las cookies.

A continuación precisaremos con más detalle lo que el equipo de IE ha descubierto, así como recomendaciones a los usuarios de IE sobre cómo proteger su privacidad con respecto a Google con el uso de la función de protección de rastreo de IE9. También se han puesto en contacto con Google y se les pidió que se comprometan a honrar a la configuración de privacidad P3P para usuarios de todos los navegadores.

Han encontrado que Google omite la función de protección de la privacidad P3P en IE. El resultado es similar a los informes recientes de elusión de Google de protecciones de privacidad en el navegador Safari de Apple, aunque el mecanismo de derivación real que utiliza Google es diferente.

Internet Explorer 9 tiene una característica de privacidad adicional denominada “Tracking Protection” que no es susceptible a este tipo de derivación. Microsoft recomienda que los clientes que desean protegerse de derivación de Google de protección de la privacidad P3P usan Internet Explorer 9 y haga clic aquí para agregar una lista de protección de rastreo. Los clientes pueden encontrar listas adicionales e información sobre esta página.

Para activar la protección de rastreo, debemos hacer lo siguiente: En el IE9 en el margen superior derecho seleccionamos Herramientas (Alt+X), seleccionamos Seguridad y, a continuación, hacemos clic en Protección de rastreo y agregamos una lista de protección de rastreo, como podemos ver en el siguiente screenshoot:

IE01

IE02

Sino pueden hacer un clic Aqui, y se hace de forma automática; también podemos encontrar listas adicionales y mas información en el link de la ventana “Obtener una lista de protección de rastreo en línea”.

Antecedentes: Google omitir la configuración de privacidad de Apple

Un reciente artículo del Wall Street Journal describe cómo Google "omite la configuración de navegador de Apple para proteger la privacidad." El editor y Director General de Business Insider, un sitio de noticias y análisis de negocio, resumió la situación:

Google desarrolló secretamente una forma de eludir la configuración de privacidad predeterminada establecida por un… competidor, Apple… [y] Google utiliza la solución para eliminar cookies de anuncios a los usuarios de Safari, que es exactamente el tipo de práctica que Apple estaba tratando de evitar.

Las cookies de terceros son un mecanismo común que se utiliza para realizar un seguimiento de qué hacen en línea personas. Safari protege a sus usuarios de seguimiento de esta manera por una configuración de usuario por defecto que bloquea cookies de terceros. Aquí está el resumen del Business Insider:

Lo que Safari NO permite, de forma predeterminada, es para terceros… cookies en los equipos de los usuarios sin su permiso. Son estas cookies de rastreo de anuncios que causan que muchos de los usuarios de Internet enloquezca, ya que se viola su intimidad, por lo que es comprensible que Apple decidiera bloquearlas por defecto.

Pero estos valores predeterminados han creado un problema para Google, al menos con respecto a sus objetivos para su negocio de publicidad.

Google hace que las cookies de terceros parezcan tener el efecto secundario en Safari, haciéndole creer que son  creyendo que son las cookies propias.

Que sucede en IE

De forma predeterminada, IE bloquea las cookies de terceros, a menos que el sitio presente una declaración de política compacta de P3P que indica cómo el sitio utiliza la cookie y que uso del sitio no incluye seguimiento del usuario. La política P3P de Google hace que Internet Explorer acepte las cookies de Google a pesar de que el estado de la política no coincida con la intención de Google.

P3P, hace una recomendación oficial sobre los estándares del cuerpo Web W3C, es una tecnología Web que es compatible con todos los navegadores y sitios. Los sitios utilizan P3P para describir cómo van a utilizar cookies y la información del usuario. Soportando P3P, los exploradores pueden bloquear o permitir las cookies en las preferencias de privacidad del usuario con respecto a las intenciones declaradas del sitio.

Cabe señalar que los usuarios no pueden acceder fácilmente a las políticas P3P. Los Sitios Web envían estas políticas directamente a navegadores Web mediante encabezados HTTP. Las únicas personas que pueden ver las descripciones de P3P están técnicamente cualificadas y utilizan herramientas especiales, como la herramienta inspector de Cookies Fiddler. Por ejemplo, aquí está la declaración de política compacta P3P (CP) de Microsoft.com:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Cada token (por ejemplo, ALL, IND) tiene un significado específico para un navegador Web compatible con P3P. Por ejemplo, ‘SAMo’ indica que ‘[el sitio] compartimos información con entidades jurídicas siguiendo nuestras prácticas’, y "TAI’ indica ‘información puede usarse para adaptar o modificar el contenido o diseño del sitio donde la información es utilizada sólo para una sola visita al sitio y no se utiliza para cualquier tipo de personalización futuro." Los detalles de la privacidad son complejos, y el estándar P3P es complejo también. Si desea mas información acerca de P3P puede leer más aquí.

Técnicamente, Google utiliza un matiz en la especificación P3P que tiene el efecto de omitir las preferencias del usuario acerca de los cookies. La especificación P3P (en un intento de dejar espacio para futuros avances en las políticas de privacidad) afirma que los exploradores deben pasar por alto cualquier sin definir políticas que se encuentran. Google envía una política P3P que falla para informarle al navegador acerca del uso de cookies y la información de usuario de Google. La política P3P de Google es en realidad una declaración de que no es una política de P3P. Está destinada a los seres humanos para “leer” a pesar de que las políticas P3P están diseñadas para que los navegadores "lean" (It’s intended for humans to read even though P3P policies are designed for browsers to “read”).

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Navegadores compatibles con P3P interpretan la política de Google como que indica que la cookie no se utilizará para ningún propósito de seguimiento o cualquier propósito en absoluto. Mediante el envío de este texto, Google omite la protección de cookies y permite a sus cookies de terceros ser permitido en lugar de bloqueado. Las especificación (“4.2 Compact Policy Vocabulary”) de P3P lleva a que el IE implemente un comportamiento al manejar símbolos desconocidos: "Si un token desconocido aparece en una directiva compacta, la directiva compacta tiene la misma semántica como si ese token no estaba presente".

Del mismo modo, vale la pena destacar la sección "3.2 Políticas de la especificación P3P”:

3.2 Políticas

En los casos donde el vocabulario de P3P no es lo suficientemente preciso como para describir las prácticas de un sitio Web, los sitios deben usar los términos de vocabulario que más estrechamente coincide con sus prácticas y explicación en el campo CONSEQUENCE y/o que su política sea humanamente legible. Sin embargo, las políticas NO DEBEN hacen declaraciones falsas o engañosas.

P3P está diseñado para soportar los sitios que transmiten sus intenciones de privacidad. La utilización de Google del P3P no transmite esas intenciones de manera compatible con la tecnología.

Debido a los problemas mencionados y el desarrollo continuo de nuevos mecanismos para realizar un seguimiento de los usuarios que no implican las cookies, el enfoque del grupo de IE es sobre la nueva tecnología de protección de rastreo (Tracking Protection Technology).

Los Próximos Pasos

Después de investigar lo que Google envía a IE, el grupo de IE confirma lo que describimos anteriormente. Han hecho una lista protección que se encuentra disponible y funciona como una protección si es que Google sigue con esta práctica (anteriormente describimos el procedimiento para habilitar Tracking Protection en IE9).

La premisa de la protección de rastreo en IE9 es que los servidores seguimiento nunca tienen la oportunidad de utilizar cookies o cualquier otro mecanismo para hacer un seguimiento del usuario si el usuario nunca envía nada a un servidor de seguimiento. Esta lógica subyace por qué Tracking Protection bloquea las solicitudes de red totalmente. Este nuevo enfoque de la tecnología está actualmente en el proceso de normalización en el W3C.

La nota Understanding Cookie Controls tiene información adicional acerca de los controles de cookie de IE y muestra cómo puede bloquear todas las cookies de un sitio determinado (por ejemplo, *. google.com) independientemente de que sean primero o tercero. Este método de bloqueo de cookies no sería sujeto a los métodos de Google. Se recomienda a los usuarios que no utilicen IE9 realicen los pasos antes descritos.

Habida cuenta de este comportamiento del mundo real, el grupo de IE esta investigando qué cambios adicionales pueden hacer a los productos de Microsoft. La especificación P3P dice que los exploradores deben omitir tokens desconocidos. Los defensores de la privacidad involucrados en la especificación original han sugerido recientemente que IE omita la especificación y bloquee las cookies con tokens no reconocidos y están investigando activamente este tema; según dice Dean Hachamovitch, vicepresidente corporativo, Internet Explorer.

Espero que les sea de interés. Saludos, Roberto Di Lello.

Mas Información:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like