Rastreadores en línea están cambiándose a una técnica invasiva para encubrirse
Con los desarrolladores de navegadores tomando medidas drásticas contra el seguimiento de terceros, las empresas de tecnología publicitaria no se están quedando atrás. Las empresas están adoptando cada vez más una técnica de DNS para evadir tales defensas. Esto representa una amenaza para la seguridad y la privacidad web.
La técnica es Llamada CNAME Cloaking. CNAME Cloaking es la práctica de difuminar la distinción entre cookies propias y de terceros. La técnica da como resultado la filtración de información privada confidencial sin el conocimiento y consentimiento de los usuarios. Asimismo, “aumenta [la] superficie de amenazas de seguridad web”. Esto según lo expresado por los investigadores Yana Dimova, Gunes Acar, Lukasz Olejnik, Wouter Joosen y Tom Van Goethem en un nuevo estudio.
“Este esquema de seguimiento aprovecha un registro CNAME en un subdominio de manera que sea el mismo sitio que el sitio web incluido”. Esto según lo dicho por los investigadores en el documento. “Como tal, las defensas que bloquean las cookies de terceros se vuelven ineficaces”.
Los hallazgos se presentarán en julio en el 21° Simposio de Tecnologías de Mejora de la Privacidad (PETS 2021).
Aumento de las medidas anti-seguimiento
Durante los últimos cuatro años, todos los principales navegadores, con la notable excepción de Google Chrome, han incluido contramedidas para frenar el seguimiento de terceros.
Apple fue el primero en actuar con una función de Safari llamada Intelligent Tracking Protection (ITP) en junio de 2017. Apple estableció un nuevo estándar de privacidad en computadoras de escritorio y dispositivos móviles. Esto para reducir el seguimiento entre sitios al “limitar aún más las cookies y otros datos de sitios web”. Dos años más tarde, el fabricante del iPhone esbozó un plan separado denominado “Atribución de clics en anuncios que preservan la privacidad“. El objetivo de la iniciativa era hacer que los anuncios en línea sean privados.
Luego, Mozilla comenzó a bloquear las cookies de terceros en Firefox de forma predeterminada a partir de septiembre de 2019. Firefox lo hizo a través de una función llamada Protección de Seguimiento Mejorada (ETP). Y, en enero de 2020, el navegador Edge basado en Chromium de Microsoft hizo lo mismo. Posteriormente, a fines de marzo de 2020, Apple actualizó ITP con bloqueo completo de cookies de terceros. Asimismo, implementó otras características destinadas a frustrar el rastreo de inicios de sesión.
Google anunció a principios del año pasado planes para eliminar las cookies y los rastreadores de terceros en Chrome. Google anunció un nuevo framework llamado “sandbox de privacidad” que se espera que entre en funcionamiento hasta el 2022.
Mientras tanto, el gigante de las búsquedas ha estado trabajando activamente con compañías de tecnología publicitaria en un reemplazo propuesto llamado “Dovekey”. Dovekey busca suplantar la funcionalidad ofrecida por el rastreo entre sitios utilizando tecnologías centradas en la privacidad para publicar anuncios personalizados en la web.
El encubrimiento de CNAME como un esquema de evasión anti-seguimiento
Frente a estas barreras que eliminan las cookies para mejorar la privacidad, los especialistas en marketing no se han quedado de brazos cruzados. Estos han comenzado a buscar formas alternativas de evadir la postura absolutista adoptada por los desarrolladores de navegadores contra el seguimiento entre sitios.
Aquí es donde entra en juego el encubrimiento de nombre canónico (CNAME cloaking). Es decir, los sitios web usan subdominios propios como alias para dominios de seguimiento de terceros a través de registros CNAME en su configuración de DNS. Esto para evadir los bloqueadores de rastreadores.
Los registros CNAME en DNS permiten mapear un dominio o subdominio a otro (es decir, un alias). Esto los convierte en un medio ideal para contrabandear el código de seguimiento bajo la apariencia de un subdominio propio.
“Por ejemplo, el propietario del sitio puede configurar uno de sus subdominios, como sub.blog.example, para resolverlo en thirdParty.example, antes de resolverlo en una dirección IP”. “Esto ocurre debajo de la capa web y se llama CNAME cloaking. Es decir, el dominio thirdParty.example está encubierto como sub.blog.example y, por lo tanto, tiene los mismos poderes que el verdadero sitio”.
John Wilander – ingeniero de seguridad de WebKit
En otras palabras, el CNAME cloaking hace que el código de seguimiento parezca propio cuando, de hecho, no lo es. Y, el recurso se resuelve a través de un CNAME que difiere del dominio de origen.
No es sorprendente que este esquema de rastreo esté ganando terreno rápidamente, creciendo un 21% en los últimos 22 meses.
Las cookies filtran información confidencial a los rastreadores
Los investigadores, en su estudio, encontraron que esta técnica se utiliza en el 9,98% de los 10,000 sitios web más populares. Además, descubrieron 13 proveedores de dichos “servicios” de seguimiento en 10,474 sitios web.
Asimismo, el estudio cita un “tratamiento específico del navegador web de Apple, Safari”. Para Safari específicamente, la empresa de tecnología publicitaria Criteo cambió específicamente al encubrimiento de CNAME para evadir las protecciones de privacidad en el navegador.
Apple ya ha implementado algunas defensas para el CNAME cloaking. Por lo tanto, es probable que este hallazgo refleje más los dispositivos que no ejecutan iOS 14 y macOS Big Sur, que admiten la función.
La más preocupante de las revelaciones es que hallaron fugas de datos de cookies en 7,377 sitios (95%) de los 7,797 sitios que usan CNAME cloaking. Todos enviaron cookies que contienen información privada como nombres completos, ubicaciones, direcciones de correo electrónico e incluso las cookies de autenticación. Esta información es enviada a los rastreadores de otros dominios sin el consentimiento explícito del usuario.
“En realidad, es incluso ridículo. ¿Por qué el usuario daría su consentimiento para que un rastreador de terceros reciba datos totalmente no relacionados, incluso de naturaleza confidencial y privada?”
Lukasz Olejnik
Con muchos rastreadores CNAME incluidos a través de HTTP en lugar de HTTPS, los investigadores también plantean otros peligros. Existe la posibilidad de que una solicitud que envíe datos analíticos al rastreador pueda ser interceptada por un ciberdelincuente en un ataque man-in-the-middle (MitM).
Además, la mayor superficie de ataque que supone la inclusión de un rastreador en el mismo sitio podría exponer los datos de los visitantes de un sitio web a otras amenazas. Por ejemplo, la fijación de sesiones y ataques de secuencias de comandos entre sitios, advierten.
Los investigadores dicen que trabajaron con los desarrolladores de rastreadores para abordar los problemas antes mencionados.
Cómo mitigar el CNAME Cloaking
Si bien Firefox no prohíbe el CNAME Cloaking desde un primer momento, los usuarios pueden descargar un complemento como uBlock Origin. uBlock Origin permite bloquear esos rastreadores. Por cierto, la compañía comenzó ayer a implementar Firefox 86 con Total Cookie Protection que evita el rastreo entre sitios. Esto al “limitar todas las cookies de cada sitio web en un recipiente de cookies separado”.
Por otro lado, iOS 14 de Apple y macOS Big Sur vienen con protecciones adicionales que se basan en su función ITP. El objetivo de estas es proteger el CNAME Cloaking de terceros, aunque no ofrece un medio para desenmascarar el dominio del rastreador y bloquearlo.
“ITP ahora detecta solicitudes de CNAME Cloaking de terceros y limita el vencimiento de cualquier cookie establecida en la respuesta HTTP a siete días”.
Lo mismo ocurre con el navegador Brave, que la semana pasada tuvo que publicar soluciones de emergencia para una vulnerabilidad. La vulnerabilidad surgió como resultado de agregar una función de bloqueo de anuncios basada en CNAME. El proceso envió consultas para dominios .onion a los resolutores públicos de DNS de internet en lugar de a través de nodos Tor .
Chrome (y, por extensión, otros navegadores basados en Chromium) es la única evasión evidente. Esto porque no bloquea el CNAME Cloaking de forma nativa. Tampoco facilita que las extensiones de terceros resuelvan las consultas de DNS obteniendo los registros CNAME antes de enviar una solicitud como Firefox.
“La emergente técnica de rastreo CNAME […] evade las medidas anti-rastreo”, dijo Olejnik. “Introduce serios problemas de seguridad y privacidad. Los datos del usuario se filtran, de manera persistente y constante, sin el conocimiento o consentimiento del usuario. Esto es preocupante”, concluyó.