No, no estás siendo paranoico. Los sitios realmente están vigilando cada movimiento que realizas en el internet. Los sitios registran las pulsaciones de teclas y los movimientos del mouse en tiempo real, antes de hacer clic en enviar.

Si tiene la incómoda sensación de que alguien está mirando por encima de su hombro mientras navega por el internet, no está siendo paranoico. Un nuevo estudio encuentra que cientos de sitios -incluidos microsoft.com, adobe.com y godaddy.com- emplean scripts que registran las pulsaciones de tecla, los movimientos del mouse y el comportamiento del desplazamiento en tiempo real, incluso antes de enviar la información o eliminarla posteriormente.

Los scripts de reproducción de sesión son provistos por servicios analíticos de terceros diseñados para ayudar a los operadores de sitios a comprender mejor cómo los visitantes interactúan con sus propiedades web e identificar páginas específicas que son confusas o rotas. Como su nombre lo indica, los scripts permiten a los operadores recrear sesiones de navegación individuales. Cada clic, entrada y desplazamiento se pueden grabar y luego reproducir.

Un estudio publicado la semana pasada informó que 482 de los 50,000 sitios web de más tráfico emplean tales scripts, generalmente sin una divulgación clara. No siempre es fácil detectar sitios que emplean tales scripts. El número real es casi seguramente mucho más alto, particularmente entre sitios fuera de los 50,000 principales que se estudiaron.

"La recopilación de contenido de la página por parte de scripts de reproducción de terceros puede provocar que información personal delicada, como condiciones médicas, detalles de tarjetas de crédito y otra información personal mostrada en una página, se filtre a terceros como parte de la grabación", Steven Englehardt , un estudiante de doctorado en la Universidad de Princeton, escribió.

"Esto puede exponer a los usuarios al robo de identidad, las estafas en línea y otros comportamientos no deseados. Lo mismo es cierto para la recopilación de las entradas de los usuarios durante los procesos de registro".

Englehardt instaló scripts de reproducción de seis de los servicios más utilizados y descubrió que todos exponían información privada de los visitantes en diversos grados. Durante el proceso de creación de una cuenta, por ejemplo, los scripts registraron al menos una entrada parcial escrita en varios campos. Las secuencias de comandos de FullStory, Hotjar, Yandex y Smartlook fueron las más intrusivas porque, de forma predeterminada, registraron todas las entradas ingresadas en campos para nombres, direcciones de correo electrónico, números de teléfono, direcciones, números de seguridad social y fechas de nacimiento.

El siguiente video capturó datos privados tales como se transmitieron en tiempo real a FullStory:

Fuente: https://youtu.be/l0Yc8s0DTZA

Incluso cuando los servicios tomaron medidas para enmascarar algunos de los datos, a menudo lo hicieron de forma tal que continuaron poniendo en peligro la privacidad de los visitantes. Smartlook y UserReplay, por ejemplo, recopilaron la cantidad de caracteres escritos en campos de contraseña. UserReplay también registró los últimos cuatro dígitos de los números de tarjeta de crédito de los visitantes.

Englehardt dijo que los servicios proporcionan herramientas manuales y automáticas que los operadores de sitios web pueden usar para borrar la información que se recopila en sus propiedades. Pero las herramientas en muchos casos requieren grandes cantidades de tiempo y habilidad del desarrollador. E incluso entonces, se encontraron sitios con fuertes incentivos legales para no filtrar datos confidenciales. Walgreens.com, por ejemplo, envió condiciones médicas y prescripciones junto con nombres de usuario a FullStory a pesar del amplio uso de redacciones manuales en el sitio de la farmacia.

Otro ejemplo: la página de cuenta para la tienda de ropa Bonobos filtró detalles completos de la tarjeta de crédito, carácter por carácter, tal como fueron escritos a FullStory. Para colmo de males, Yandex, Hotjar y Smartlook ofrecen tableros que usan HTTP sin cifrar cuando los editores suscritos reproducen las sesiones de los visitantes, incluso cuando las sesiones originales estaban protegidas por HTTPS.

Los representantes de Walgreens y Bonobos han dicho que los sitios han dejado de compartir información con FullStory, según los informes de Motherboard y Wired.

No está claro qué recursos significativos tienen los usuarios de Internet para evitar la recopilación de datos. El investigador dijo que los ad-blockers pueden filtrar algunas, pero no todas, las secuencias de comandos de repetición. La comprobación de la opción "no rastrear" incorporada en algunos navegadores tampoco logró detener el registro. Eso significa que cada pulsación de tecla introducida en un campo web puede registrarse, carácter por carácter, incluso si el visitante elimina el campo y nunca presiona un botón de enviar.

Hasta que se disponga de protecciones más robustas, las personas deben recordar que casi todo lo que hacen mientras visitan un sitio web puede ser registrado.

Fuente: Ars Technica