{"id":1555,"date":"2012-02-22T14:39:38","date_gmt":"2012-02-22T17:39:38","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1555"},"modified":"2012-02-22T14:39:38","modified_gmt":"2012-02-22T17:39:38","slug":"privacidad-google-omite-la-configuracion-propia-de-cada-usuario-la-solucion-habilitar-ie-tracking-protection","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1555","title":{"rendered":"Privacidad, Google omite la configuracion propia de cada usuario. La solucion, habilitar IE Tracking Protection"},"content":{"rendered":"

\"googlewatchingyou_01\"<\/a>Hoy quer\u00eda compartir con ustedes un tema de seguridad que nos importa a todos, \u00faltimamente est\u00e1n habiendo muchos cambios en cuanto a las pol\u00edticas de privacidad, ya sea de Facebook, Google, Yahoo, etc. Generalmente uno no las lee, y las acepta por default, pero a que precio?<\/font><\/p>\n

Una definici\u00f3n de <\/font>privacidad, orientada puntualmente al uso de Internet, podr\u00eda ser controlar quien puede tener acceso a la informaci\u00f3n que posee un determinado usuario. Esta bien que si uno decide usar Facebook (o la red social que quieran) asume que la privacidad ser\u00e1 \u201cvulnerada\u201d de alguna forma, pero el problema surge cuando hay intereses econ\u00f3micos en el medio. Esta claro que es muy dif\u00edcil controlarla, pero tambi\u00e9n queda muchas <\/font>veces a juicio del propio usuario, y si habilito un feature para bloquear el seguimiento es porque quiero que eso quede configurado de esta forma. <\/font><\/p>\n

Muchos desconocemos el alcance de esas pol\u00edticas de privacidad. Hace un tiempo, el equipo de IE escuch\u00f3 que Google hab\u00eda soslayado la configuraci\u00f3n de privacidad de usuario en Safari, se preguntaron una cosa sencilla: esta Google eludiendo tambi\u00e9n las preferencias de privacidad de los usuarios de Internet Explorer? Y han descubierto que la respuesta es s\u00ed: Google est\u00e1 empleando m\u00e9todos similares para eludir las protecciones de privacidad por defecto en IE y realizar un seguimiento de los usuarios de IE con las cookies. <\/font><\/p>\n

A continuaci\u00f3n precisaremos con m\u00e1s detalle lo que el equipo de IE ha descubierto, as\u00ed como recomendaciones a los usuarios de IE sobre c\u00f3mo proteger su privacidad con respecto a Google con el uso de la funci\u00f3n de protecci\u00f3n de rastreo de IE9. Tambi\u00e9n se han puesto en contacto con Google y se les pidi\u00f3 que se comprometan a honrar a la configuraci\u00f3n de privacidad P3P para usuarios de todos los navegadores.<\/font><\/p>\n

Han encontrado que Google omite la funci\u00f3n de protecci\u00f3n de la privacidad P3P en IE. El resultado es similar a los informes recientes de elusi\u00f3n de Google de protecciones de privacidad en el navegador Safari de Apple, aunque el mecanismo de derivaci\u00f3n real que utiliza Google es diferente.<\/font><\/p>\n

Internet Explorer 9 tiene una caracter\u00edstica de privacidad adicional denominada \u201cTracking Protection<\/font>\u201d que no es susceptible a este tipo de derivaci\u00f3n. Microsoft recomienda que los clientes que desean protegerse de derivaci\u00f3n de Google de protecci\u00f3n de la privacidad P3P usan Internet Explorer 9 y haga clic aqu\u00ed para agregar una lista de protecci\u00f3n de rastreo. Los clientes pueden encontrar listas adicionales e informaci\u00f3n sobre esta p\u00e1gina.<\/font><\/p>\n

Para activar la protecci\u00f3n de rastreo, debemos hacer lo siguiente: En el IE9 en el margen superior derecho seleccionamos Herramientas (Alt+X), seleccionamos Seguridad y, a continuaci\u00f3n, hacemos clic en Protecci\u00f3n de rastreo y agregamos una lista de protecci\u00f3n de rastreo, como podemos ver en el siguiente screenshoot:<\/font><\/p>\n

\"IE01\"<\/a><\/p>\n

\"IE02\"<\/a><\/p>\n

Sino pueden hacer un clic <\/font>Aqui<\/font><\/a>, y se hace de forma autom\u00e1tica; tambi\u00e9n podemos encontrar listas adicionales y mas informaci\u00f3n en el link de la ventana \u201cObtener una lista de protecci\u00f3n de rastreo en l\u00ednea<\/font>\u201d.<\/font><\/p>\n

Antecedentes: Google omitir la configuraci\u00f3n de privacidad de Apple<\/h2>\n

Un reciente art\u00edculo del <\/font>Wall Street Journal<\/font><\/a> describe c\u00f3mo Google "omite la configuraci\u00f3n de navegador de Apple para proteger la privacidad." El editor y Director General de <\/font>Business Insider<\/font><\/a>, un sitio de noticias y an\u00e1lisis de negocio, resumi\u00f3 la situaci\u00f3n:<\/font><\/p>\n

\n

Google desarroll\u00f3 secretamente una forma de eludir la configuraci\u00f3n de privacidad predeterminada establecida por un\u2026 competidor, Apple\u2026 [y] Google utiliza la soluci\u00f3n para eliminar cookies de anuncios a los usuarios de Safari, que es exactamente el tipo de pr\u00e1ctica que Apple estaba tratando de evitar.<\/font><\/p>\n<\/blockquote>\n

Las cookies de terceros son un mecanismo com\u00fan que se utiliza para realizar un seguimiento de qu\u00e9 hacen en l\u00ednea personas. Safari protege a sus usuarios de seguimiento de esta manera por una configuraci\u00f3n de usuario por defecto que bloquea cookies de terceros. Aqu\u00ed est\u00e1 el resumen del Business Insider:<\/font><\/p>\n

\n

Lo que Safari NO permite, de forma predeterminada, es para terceros… cookies en los equipos de los usuarios sin su permiso. Son estas cookies de rastreo de anuncios que causan que muchos de los usuarios de Internet enloquezca, ya que se viola su intimidad, por lo que es comprensible que Apple decidiera bloquearlas por defecto.<\/font><\/p>\n

Pero estos valores predeterminados han creado un problema para Google, al menos con respecto a sus objetivos para su negocio de publicidad.<\/font><\/p>\n<\/blockquote>\n

Google hace que las cookies de terceros parezcan tener el efecto secundario en Safari, haci\u00e9ndole creer que son  creyendo que son las cookies propias.<\/font><\/p>\n

Que sucede en IE<\/h2>\n

De forma predeterminada, IE bloquea las cookies de terceros, a menos que el sitio presente una declaraci\u00f3n de <\/font>pol\u00edtica compacta de P3P<\/font><\/a> que indica c\u00f3mo el sitio utiliza la cookie y que uso del sitio no incluye seguimiento del usuario. La pol\u00edtica P3P de Google hace que Internet Explorer acepte las cookies de Google a pesar de que el estado de la pol\u00edtica no coincida con la intenci\u00f3n de Google.<\/font><\/p>\n

P3P, hace una recomendaci\u00f3n oficial sobre los est\u00e1ndares del cuerpo Web W3C, es una tecnolog\u00eda Web que es compatible con todos los navegadores y sitios. Los sitios utilizan P3P para describir c\u00f3mo van a utilizar cookies y la informaci\u00f3n del usuario. Soportando P3P, los exploradores pueden bloquear o permitir las cookies en las preferencias de privacidad del usuario con respecto a las intenciones declaradas del sitio.<\/font><\/p>\n

Cabe se\u00f1alar que los usuarios no pueden acceder f\u00e1cilmente a las pol\u00edticas P3P. Los Sitios Web env\u00edan estas pol\u00edticas directamente a navegadores Web mediante encabezados HTTP. Las \u00fanicas personas que pueden ver las descripciones de P3P est\u00e1n t\u00e9cnicamente cualificadas y utilizan herramientas especiales, como la herramienta inspector de Cookies <\/font>Fiddler<\/font><\/a>. Por ejemplo, aqu\u00ed est\u00e1 la declaraci\u00f3n de pol\u00edtica compacta P3P (CP) de Microsoft.com:<\/font><\/p>\n

\n

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"<\/font><\/p>\n<\/blockquote>\n

Cada token (por ejemplo, ALL, IND) tiene un significado espec\u00edfico para un navegador Web compatible con P3P. Por ejemplo, ‘SAMo’ indica que ‘[el sitio] compartimos informaci\u00f3n con entidades jur\u00eddicas siguiendo nuestras pr\u00e1cticas’, y "TAI’ indica ‘informaci\u00f3n puede usarse para adaptar o modificar el contenido o dise\u00f1o del sitio donde la informaci\u00f3n es utilizada s\u00f3lo para una sola visita al sitio y no se utiliza para cualquier tipo de personalizaci\u00f3n futuro." Los detalles de la privacidad son complejos, y el est\u00e1ndar P3P es complejo tambi\u00e9n. Si desea mas informaci\u00f3n acerca de P3P puede leer m\u00e1s <\/font>aqu\u00ed<\/font><\/a>.<\/font><\/p>\n

T\u00e9cnicamente, Google utiliza un matiz en la especificaci\u00f3n P3P que tiene el efecto de omitir las preferencias del usuario acerca de los cookies. La especificaci\u00f3n P3P (en un intento de dejar espacio para futuros avances en las pol\u00edticas de privacidad) afirma que los exploradores deben pasar por alto cualquier sin definir pol\u00edticas que se encuentran. Google env\u00eda una pol\u00edtica P3P que falla para informarle al navegador acerca del uso de cookies y la informaci\u00f3n de usuario de Google. La pol\u00edtica P3P de Google es en realidad una declaraci\u00f3n de que no es una pol\u00edtica de P3P. Est\u00e1 destinada a los seres humanos para \u201cleer\u201d a pesar de que las pol\u00edticas P3P est\u00e1n dise\u00f1adas para que los navegadores "lean" (It\u2019s intended for humans to read even though P3P policies are designed for browsers to \u201cread\u201d). <\/font><\/p>\n

\n

P3P: CP="This is not a P3P policy! See http:\/\/www.google.com\/support\/accounts\/bin\/answer.py?hl=en&answer=151657 for more info."<\/font><\/p>\n<\/blockquote>\n

Navegadores compatibles con P3P interpretan la pol\u00edtica de Google como que indica que la cookie no se utilizar\u00e1 para ning\u00fan prop\u00f3sito de seguimiento o cualquier prop\u00f3sito en absoluto. Mediante el env\u00edo de este texto, Google omite la protecci\u00f3n de cookies y permite a sus cookies de terceros ser permitido en lugar de bloqueado. Las especificaci\u00f3n (\u201c<\/font>4.2 Compact Policy Vocabulary<\/font><\/a>\u201d) de P3P lleva a que el IE implemente un comportamiento al manejar s\u00edmbolos desconocidos: "Si un token desconocido aparece en una directiva compacta, la directiva compacta tiene la misma sem\u00e1ntica como si ese token no estaba presente". <\/font><\/p>\n

Del mismo modo, vale la pena destacar la secci\u00f3n "<\/font>3.2 Pol\u00edticas de la especificaci\u00f3n P3P<\/font><\/a>\u201d:<\/font><\/p>\n

3.2 Pol\u00edticas<\/h2>\n

En los casos donde el vocabulario de P3P no es lo suficientemente preciso como para describir las pr\u00e1cticas de un sitio Web, los sitios deben usar los t\u00e9rminos de vocabulario que m\u00e1s estrechamente coincide con sus pr\u00e1cticas y explicaci\u00f3n en el campo CONSEQUENCE<\/font> y\/o que su pol\u00edtica sea humanamente legible. Sin embargo, las pol\u00edticas NO DEBEN<\/font> hacen declaraciones falsas o enga\u00f1osas.<\/font><\/p>\n

P3P est\u00e1 dise\u00f1ado para soportar los sitios que transmiten sus intenciones de privacidad. La utilizaci\u00f3n de Google del P3P no transmite esas intenciones de manera compatible con la tecnolog\u00eda.<\/font><\/p>\n

Debido a los problemas mencionados y el desarrollo continuo de nuevos mecanismos para realizar un seguimiento de los usuarios que no implican las cookies, el enfoque del grupo de IE es sobre la nueva tecnolog\u00eda de protecci\u00f3n de rastreo (Tracking Protection Technology<\/font>).<\/font><\/p>\n

Los Pr\u00f3ximos Pasos<\/h2>\n

Despu\u00e9s de investigar lo que Google env\u00eda a IE, el grupo de IE confirma lo que describimos anteriormente. Han hecho una lista protecci\u00f3n que se encuentra disponible y funciona como una protecci\u00f3n si es que Google sigue con esta pr\u00e1ctica (anteriormente describimos el procedimiento para habilitar Tracking Protection<\/font> en IE9). <\/font><\/p>\n

La premisa de la protecci\u00f3n de rastreo en IE9 es que los servidores seguimiento nunca tienen la oportunidad de utilizar cookies o cualquier otro mecanismo para hacer un seguimiento del usuario si el usuario nunca env\u00eda nada a un servidor de seguimiento. Esta l\u00f3gica subyace por qu\u00e9 Tracking Protection<\/font> bloquea las solicitudes de red totalmente. Este nuevo enfoque de la tecnolog\u00eda est\u00e1 actualmente en el proceso de normalizaci\u00f3n en el W3C.<\/font><\/p>\n

La nota <\/font>Understanding Cookie Controls<\/font><\/a> tiene informaci\u00f3n adicional acerca de los controles de cookie de IE y muestra c\u00f3mo puede bloquear todas las cookies de un sitio determinado (por ejemplo, *. google.com) independientemente de que sean primero o tercero. Este m\u00e9todo de bloqueo de cookies no ser\u00eda sujeto a los m\u00e9todos de Google. Se recomienda a los usuarios que no utilicen IE9 realicen los pasos antes descritos.<\/font><\/p>\n

Habida cuenta de este comportamiento del mundo real, el grupo de IE esta investigando qu\u00e9 cambios adicionales pueden hacer a los productos de Microsoft. La especificaci\u00f3n P3P dice que los exploradores deben omitir tokens desconocidos. Los defensores de la privacidad involucrados en la especificaci\u00f3n original han sugerido recientemente que IE omita la especificaci\u00f3n y bloquee las cookies con tokens no reconocidos y est\u00e1n investigando activamente este tema; seg\u00fan dice Dean Hachamovitch, vicepresidente corporativo, Internet Explorer.<\/font><\/p>\n

Espero que les sea de inter\u00e9s. Saludos, Roberto Di Lello.<\/p>\n

Mas Informaci\u00f3n:<\/h2>\n