Los rastreadores web son empresas que recogen todos los datos que dejamos en la red, lo que permite rastrear las acciones realizadas en casi todos los sitios: a nivel mundial, hay más de 30.000, y los más importantes son Facebook, Linkedin y Google.
Estos datos se utilizan después para reconstruir perfiles detallados de cada usuario individual (que contienen información muy privada, como preferencias políticas, enfermedades, situación financiera, y también información sensible, como contraseñas, tarjetas de crédito, etc.), con el fin de mejorar las estrategias de marketing. De hecho, esta información se utiliza regularmente para proponer contenidos específicos en función de las transacciones realizadas en la web, creando experiencias únicas y personalizadas para cada usuario.
Índice de temas
Los riesgos de los rastreadores web
A pesar de las intenciones inofensivas de los rastreadores web y orientados a fines empresariales estratégicos, estas mismas herramientas representan a todos los efectos “enormes contenedores de información altamente sensible”. Por ello, los atacantes han puesto en su punto de mira estos servicios en los últimos tiempos, ya que el robo de incluso unos pocos registros da acceso a potenciales ataques dirigidos.
“La información de los perfiles es robada por los hackers para llevar a cabo ciberataques dirigidos, por lo que se adaptan a los usuarios individuales, a sus intereses, a sus experiencias pasadas, a sus conexiones familiares. Mientras que en el pasado los hackers utilizaban la información de las redes sociales, ahora estamos entrando en un nuevo escenario, en el que se explotan los datos de los servicios de rastreo, datos que son mucho más específicos y universales. Conocer a fondo sus objetivos permite a los ciberdelincuentes tener siete veces más posibilidades de éxito que los ataques estándar”, afirma Hassan Metwalley, director general de Ermes Cyber Security.
Rastreadores web y Phishing
Por ejemplo, un peligro recurrente de estos riesgos es el phishing y consiste en que hackers y atacantes malintencionados envían mensajes fraudulentos para robar dinero. Se produce en la mayoría de los casos mediante el envío de correos electrónicos o mensajes de texto que simulan comunicaciones de instituciones, bancos o proveedores conocidos por el usuario para invitarle a abrir un enlace que conduce a sitios trampa o a abrir un archivo adjunto que contiene malware. Los ataques de phishing dirigidos pueden tener un porcentaje de éxito diez veces mayor que los ataques de phishing no personalizados.
Entre la información que posee el rastreo web, de hecho, no solo están los intereses del usuario, que son útiles para personalizar el ataque de phishing, sino también información detallada sobre los dispositivos utilizados por el usuario, datos que también son útiles para adaptar el malware a las vulnerabilidades de los dispositivos.
Por lo tanto, este tipo de fenómeno no solo es peligroso para la privacidad del usuario particular, sino que también representa un grave riesgo para la seguridad de la empresa, que a menudo revela al mundo exterior, sin saberlo, cómo está siendo atacada.
Los ataques de rastreadores web más impactantes
En su momento, aproximadamente 4.600 sitios web se vieron afectados por un ataque de hackers que afectó a las plataformas de rastreo web Picreel y CloudCMS.com. Los hackers infectaron los dos servicios y modificaron los códigos JavaScripts, poniendo en riesgo los datos sensibles de miles de usuarios. En concreto, Picreel funcionaba en 1.200 sitios mientras que CloudsCMS.com permitía el acceso a los datos de los usuarios de 3.400 portales.
Facebook también registró unos 540 millones de datos/archivos hackeados, y dejados a merced de Internet. Según un informe de Bloomberg, UpGuard, una empresa especializada en seguridad informática, descubrió que la plataforma digital Cultura Colectiva, con sede en Ciudad de México, había almacenado los datos de 540 millones de usuarios de Facebook en un archivo de 146 GB guardado en un servidor de la nube de Amazon.
“Una colosal violación de datos nos muestra que se está haciendo demasiado poco para proteger los datos de los usuarios”, explica Hassan Metwalley, director general de Ermes Cyber Security. “Una catástrofe de este tipo muestra cómo la web sigue estando lejos de ser segura, poniendo en peligro los datos de los individuos pero también los de las empresas, directa o indirectamente”, añade. La base de datos de Cultura Colectiva contenía números de identificación, comentarios, reacciones y nombres de cuentas. Datos que también podrían ser utilizados por los piratas informáticos para enviar correos de phishing dirigidos (llamados Spear Phishing en la jerga)”.
2018, un año negro en materia de Ciberseguridad
Desde los datos robados a los hoteles Marriott hasta Cambridge Analytica, 2018 fue y será recordado como uno de los años más oscuros de la ciberseguridad.
“2018 fue un año terrible para la ciberseguridad y en 2019 las empresas y los particulares tuvieron que correr para ponerse a cubierto: en los últimos años los ciberataques en todo el mundo han crecido exponencialmente y la tendencia no parece querer detenerse”, continúa Metwalley.
Consejos para evitar riesgos los rastreadores web
“Una vez más, una colosal filtración de datos nos demuestra que las empresas hacen demasiado poco para proteger los datos de sus usuarios y que los rastreadores web pueden ser un terrible arma de doble filo”, afirma Hassan Metwalley, director general de Ermes Cyber Security.
“Bajo el pretexto de facilitar la experiencia del usuario, los rastreadores web recogen de hecho cientos de datos de cada usuario, pero si estos datos no se protegen adecuadamente, corremos el riesgo de poner en manos de los piratas informáticos inmensas bases de datos que pueden ser fácilmente revendidas o reutilizadas para nuevos ataques dirigidos. A estas alturas, todos y cada uno de los aspectos de nuestra vida cotidiana están mediados por pantallas y bases de datos, por lo que es crucial que todas las instituciones apliquen soluciones estratégicas y, sobre todo, conciencien a los usuarios de la web sobre la cuestión de la protección de los datos personales”.
Metwalley continúa: “La ciberdelincuencia debe combatirse sistemáticamente, con inversiones para reforzar las ciberinfraestructuras públicas y privadas, ya que no sólo afecta a la vida privada de los ciudadanos, sino también al plano financiero y geopolítico”.
Para ayudar a las empresas a reforzar su privacidad y mejorar los niveles de seguridad informática de sus servicios, Ermes Cyber Security ha desarrollado Ermes Internet Shield, una plataforma patentada que puede identificar automáticamente los peligros de la web y proteger cada dispositivo corporativo mientras navega por Internet.
Por Hassan Metwalley
Prohibida su reproducción total o parcial.