Política de Cookies
Concepto de
Cookie
Una cookie (o
galleta informática) es una pequeña información enviada por un sitio web y
almacenada en el navegador del usuario, de manera que el sitio web puede
consultar la actividad previa del usuario.
Sus principales funciones son:
·
Llevar el control de usuarios: cuando un
usuario introduce su nombre de usuario y contraseña, se almacena una cookie
para que no tenga que estar introduciéndolas para cada página del servidor. Sin
embargo, una cookie no identifica solo a una persona, sino a una combinación de
computador-navegador-usuario.
·
Conseguir información sobre los hábitos de
navegación del usuario, e intentos de spyware (programas espía), por parte de
agencias de publicidad y otros. Esto puede causar problemas de privacidad y es
una de las razones por la que las cookies tienen sus detractores.
Las cookies pueden ser borradas, aceptadas o bloqueadas
según desee, para esto sólo debe configurar convenientemente el navegador web.
·
Propósito
Las cookies son
utilizadas habitualmente por los servidores web para diferenciar usuarios y
para actuar de diferente forma dependiendo de éstos.
Un uso de las cookies es identificarse en un sitio web. Los usuarios
normalmente se identifican introduciendo sus credenciales en una página de
validación; las cookies permiten al servidor saber que el usuario ya está
validado, y por lo tanto se le puede permitir acceder a servicios o realizar
operaciones que están restringidas a usuarios no identificados.
Otros sitios web utilizan las cookies para personalizar su aspecto según las
preferencias del usuario. Los sitios que requieren identificación a menudo
ofrecen esta característica, aunque también está presente en otros que no la
requieren. La personalización incluye tanto presentación como funcionalidad.
Las Cookies se utilizan también para realizar seguimientos de usuarios a lo
largo de un sitio web. El seguimiento en un mismo sitio normalmente se hace con
la intención de mantener estadísticas de uso, mientras que el seguimiento entre
sitios normalmente se orienta a la creación de perfiles de usuarios anónimos
por parte de las compañías de publicidad, que luego se usarán para orientar
campañas publicitarias (decidir qué tipo de publicidad utilizar) basadas en
perfiles de usuarios.
·
Mitos
Desde su introducción en
Internet han circulado ideas equivocadas acerca de las cookies. En 2005 Jupiter Research publicó los
resultados de un estudio, según el cual un importante porcentaje de
entrevistados creían cierta alguna de las siguientes afirmaciones:
·
Las cookies son similares a gusanos y virus
en que pueden borrar datos de los discos duros de los usuarios.
·
Las cookies son un tipo de spyware porque
pueden leer información personal almacenada en el ordenador de los usuarios.
·
Las cookies generan popups.
·
Las cookies se utilizan para generar spam.
·
Las cookies sólo se utilizan con fines publicitarios.
En
realidad, las cookies son sólo datos, no código, luego no pueden borrar ni leer
información del ordenador de los usuarios. Sin embargo, las cookies permiten
detectar las páginas visitadas por un usuario en un sitio determinado o
conjunto de sitios. Esta información puede ser recopilada en un perfil de
usuario. Estos perfiles son habitualmente anónimos, es decir, no contienen
información personal del usuario (nombre, dirección, etc).
De hecho, no pueden contenerla a menos que el propio usuario la haya comunicado
a alguno de los sitios visitados. Pero aunque
anónimos, estos perfiles han sido objeto de algunas preocupaciones relativas a
la privacidad.
Según
el mismo informe, un gran porcentaje de los usuarios de Internet no saben cómo
borrar las cookies.
·
Configuración
La mayor parte de los
navegadores modernos soportan las cookies. Sin embargo, un usuario puede
normalmente elegir si las cookies deberían ser utilizadas o no.
El navegador también puede incluir la posibilidad de especificar mejor qué
cookies tienen que ser aceptadas y cuáles no. En concreto, el usuario puede
normalmente aceptar alguna de las siguientes opciones: rechazar las cookies de
determinados dominios; rechazar las cookies de terceros; aceptar cookies como
no persistentes (se eliminan cuando el navegador se cierra); permitir al
servidor crear cookies para un dominio diferente. Además, los navegadores
pueden también permitir a los usuarios ver y borrar cookies individualmente.
·
Privacidad
Las cookies tienen
implicaciones importantes en la privacidad y el anonimato de los usuarios de la
web. Aunque las cookies sólo se envían al servidor que las definió o a otro en
el mismo dominio, una página web puede contener imágenes y otros componentes
almacenados en servidores de otros dominios. Las cookies que se crean durante
las peticiones de estos componentes se llaman cookies de terceros.
Las compañías publicitarias utilizan cookies de terceros para realizar un
seguimiento de los usuarios a través de múltiples sitios. En concreto, una
compañía publicitaria puede seguir a un usuario a través de todas las páginas
donde ha colocado imágenes publicitarias o web bugs. El conocimiento de las
páginas visitadas por un usuario permite a estas compañías dirigir su
publicidad según las supuestas preferencias del usuario.
La posibilidad de crear un perfil de los usuarios se ha considerado como una
potencial amenaza a la privacidad, incluso cuando el seguimiento se limita a un
solo dominio, pero especialmente cuando es a través de múltiples dominios
mediante el uso de cookies de terceros. Por esa razón, algunos países tienen
legislación sobre cookies.
La directiva de la Unión Europea de 2002 sobre privacidad en las
telecomunicaciones contiene reglas sobre el uso de cookies. En concreto, en el
artículo 5, párrafo 3 establece que el almacenamiento de datos (como cookies)
en el ordenador de un usuario sólo puede hacerse si:
1. el usuario recibe
información sobre cómo se utilizan esos datos;
2. el usuario tiene la
posibilidad de rechazar esa operación.
Sin
embargo, este artículo también establece que almacenar datos que son necesarios
por motivos técnicos está permitido como excepción.
·
Inconvenientes
Además de lo relativo a
la privacidad que ya se ha mencionado, hay otras razones por las que el uso de
cookies ha recibido cierta oposición: no siempre identifican correctamente a
los usuarios, y se pueden utilizar para ataques de seguridad.
Identificación inexacta
Si se utiliza más de un
navegador en un ordenador, cada uno tiene su propio almacenamiento de cookies.
Por lo tanto, las cookies no identifican a una persona, sino a una combinación
de cuenta de usuario, ordenador y navegador. De esta manera, cualquiera que
utilice varias cuentas, varios ordenadores, o varios navegadores, tiene también
múltiples conjuntos de cookies.
De la misma manera, las cookies no diferencian entre varias personas que
utilicen el mismo ordenador o navegador, si éstos no utilizan diferentes
cuentas de usuario.
Robo de cookies
Durante el funcionamiento
normal, las cookies se envían en los dos sentidos entre el servidor (o grupo de
servidores en el mismo dominio) y el ordenador del usuario que está navegando.
Dado que las cookies pueden contener información sensible (nombre de usuario,
un testigo utilizado como autenticación, etc.), sus valores no deberían ser
accesibles desde otros ordenadores. Sin embargo, las cookies enviadas sobre
sesiones HTTP normales son visibles a todos los usuarios que pueden escuchar en
la red utilizando un sniffer de paquetes. Estas
cookies no deben contener por lo tanto información sensible. Este problema se
puede solventar mediante el uso de https, que invoca seguridad de la capa de
transporte para cifrar la conexión.
El scripting entre sitios permite que el valor de las cookies se envíe a
servidores que normalmente no recibirían esa información. Los navegadores
modernos permiten la ejecución de segmentos de código recibidos del servidor.
Si las cookies están accesibles durante la ejecución, su valor puede ser
comunicado de alguna manera a servidores que no deberían acceder a ellas. El
proceso que permite a una parte no autorizada recibir una cookie se llama robo
de cookies, y el cifrado no sirve contra este tipo de ataque.
Esta posibilidad es explotada normalmente por atacantes de sitios que permiten
a los usuarios el envío de contenido HTML. Introduciendo un segmento de código
adecuado en un envío HTML, un atacante puede recibir las cookies de otros
usuarios. El conocimiento de estas cookies puede después ser explotado mediante
la conexión a los sitios en los que se utilizan las cookies robadas, siendo así
identificado como el usuario a quien se le robaron las cookies.
Falsificación de cookies
Aunque las cookies deben
ser almacenadas y enviadas de vuelta al servidor sin modificar, un atacante
podría modificar el valor de las cookies antes de devolverlas. Si, por ejemplo,
una cookie contiene el valor total de la compra de un usuario en un sitio web,
cambiando ese valor el servidor podría permitir al atacante pagar menos de lo
debido por su compra. El proceso de modificar el valor de las cookies se
denomina falsificación de cookies y a menudo se realiza tras un robo de cookies
para hacer un ataque persistente.
Sin embargo, la mayoría de los sitios web solo almacenan en la cookie un
identificador de sesión —un número único utilizado para identificar la sesión
del usuario— y el resto de la información se almacena en el propio servidor. En
este caso, el problema de la falsificación de cookies queda prácticamente
eliminado.
Cookies entre sitios (cross-site cooking)
Cada sitio debe tener sus
propias cookies, de forma que un sitio malo.net no tenga posibilidad de
modificar o definir cookies de otro sitio como bueno.net. Las vulnerabilidades
de cross-site cooking
(cookies entre sitios) de los navegadores permiten a sitios maliciosos romper
esta regla. Esto es similar a la falsificación de cookies, pero el atacante se
aprovecha de usuarios no malintencionados con navegadores vulnerables, en vez
de atacar el sitio web directamente. El objetivo de estos ataques puede ser
realizar una fijación de sesión (robo de sesión en un sitio web).
Datos extraídos de Wikipedia