Rastreadores en línea cambian cada vez más a la técnica invasiva de encubrimiento de CNAME

Durante los últimos cuatro años, todos los principales navegadores, con la excepción de Google Chrome, han incluido contramedidas para frenar el seguimiento de terceros.

Apple puso en marcha la función de Safari llamada Intelligent Tracking Protection ( ITP ) en junio de 2017, estableciendo un nuevo estándar de privacidad en computadores de escritorio y dispositivos móviles para reducir el seguimiento entre sitios al «limitar aún más las cookies y otros datos de sitios web». Dos años más tarde, el fabricante del iPhone esbozó un plan separado denominado «Atribución de clics en anuncios que preserva la privacidad» para hacer que los anuncios en línea sean privados.

Luego, Mozilla comenzó a bloquear las cookies de terceros en Firefox de forma predeterminada a partir de septiembre de 2019 a través de una función llamada Protección de seguimiento mejorada (ETP), y en enero de 2020, el navegador Edge basado en Chromium de Microsoft hizo lo mismo . Posteriormente, a fines de marzo de 2020, Apple actualizó ITP con bloqueo completo de cookies de terceros , entre otras características destinadas a frustrar la toma de huellas digitales de inicio de sesión.

Aunque Google a principios del año pasado anunció planes para eliminar las cookies y los rastreadores de terceros en Chrome a favor de un nuevo marco llamado «sandbox de privacidad», no se espera que entre en funcionamiento hasta el 2022.

Mientras tanto, el gigante de las búsquedas ha estado trabajando activamente con compañías de tecnología publicitaria en un reemplazo propuesto llamado » Dovekey » que busca suplantar la funcionalidad ofrecida por el seguimiento entre sitios utilizando tecnologías centradas en la privacidad para publicar anuncios personalizados en la web.

El encubrimiento de CNAME como un esquema de evasión anti-seguimiento

Frente a estas barreras que eliminan las cookies para mejorar la privacidad, los especialistas en marketing han comenzado a buscar formas alternativas de evadir la postura absolutista adoptada por los fabricantes de navegadores contra el seguimiento entre sitios.

Ingrese el encubrimiento del nombre canónico (CNAME), donde los sitios web usan subdominios propios como alias para dominios de seguimiento de terceros a través de registros CNAME en su configuración de DNS para eludir los bloqueadores de rastreadores.

Los registros CNAME en DNS permiten mapear un dominio o subdominio a otro (es decir, un alias), lo que los convierte en un medio ideal para contrabandear código de seguimiento bajo la apariencia de un subdominio propio.

Las cookies filtran información confidencial a los rastreadores

Los investigadores, en su estudio, encontraron que esta técnica se utiliza en el 9,98% de los 10.000 sitios web principales, además de descubrir 13 proveedores de dichos «servicios» de seguimiento en 10.474 sitios web.

Además, el estudio cita un «tratamiento dirigido al navegador web de Apple, Safari», en el que la empresa de tecnología publicitaria Criteo cambió específicamente al encubrimiento de CNAME para evitar las protecciones de privacidad en el navegador.

Quizás la más preocupante de las revelaciones es que se encontraron fugas de datos de cookies en 7,377 sitios (95%) de los 7,797 sitios que usaron el seguimiento CNAME, todos los cuales enviaron cookies que contenían información privada como nombres completos, ubicaciones, direcciones de correo electrónico y incluso las cookies de autenticación a los rastreadores de otros dominios sin la afirmación explícita del usuario.