Qué es una cookie
Contenidos
“Yo diría que, en general, son bastante inútiles hasta ahora”, dijo a Recode Shane Green, director general de la plataforma de intercambio de datos privados digi.me. “Volvemos a estar en 1999 con ventanas emergentes por todas partes, y es más que molesto”.
“El GDPR es un zapato, y el otro zapato es este Reglamento de ePrivacy, que está en camino”, dijo Amy Brouillette, directora de investigación del proyecto Ranking Digital Rights de New America, que promueve la libre expresión y la privacidad en línea.
“Todo el mundo ha decidido que más vale prevenir que curar y lanzar una pancarta, aunque todo el mundo reconoce que no sirve de mucho”, dijo Joseph Jerome, antiguo asesor político del Proyecto de Privacidad y Datos del Centro para la Democracia y la Tecnología, una organización sin ánimo de lucro centrada en la privacidad.
No cabe duda de que es bueno que las empresas tecnológicas y los propietarios de sitios web sean más transparentes con los usuarios sobre lo que hacen con sus datos y cómo los rastrean. Además, el RGPD y las fuertes multas que amenaza han hecho que algunas empresas limpien sus prácticas en torno a cuestiones como las notificaciones de infracciones. Tras el RGPD, se ha producido “un menor intercambio y abuso de datos en general y en Europa”, dijo Green.
Esta sección necesita citas adicionales para su verificación. Por favor, ayude a mejorar este artículo añadiendo citas de fuentes fiables. El material sin fuente puede ser cuestionado y eliminado. (Agosto de 2011) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)
Se propuso una especificación del W3C llamada P3P para que los servidores comuniquen su política de privacidad a los navegadores, permitiendo un manejo automático y configurable por el usuario. Sin embargo, pocos sitios web implementan la especificación, ningún navegador importante la admite y el W3C ha dejado de trabajar en ella[82].
Es posible que esta sección contenga investigación original. Por favor, mejórela verificando las afirmaciones realizadas y añadiendo citas en línea. Las afirmaciones que sólo consisten en investigación original deben ser eliminadas. (Septiembre de 2011) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)
Esta sección no cita ninguna fuente. Por favor, ayude a mejorar esta sección añadiendo citas de fuentes fiables. El material sin fuente puede ser cuestionado y eliminado. (Septiembre de 2011) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)
Receta de galletas
En un ataque CSRF, un usuario final inocente es engañado por un atacante para que envíe una solicitud web que no pretendía. Esto puede hacer que se realicen acciones en el sitio web que pueden incluir la filtración inadvertida de datos del cliente o del servidor, el cambio del estado de la sesión o la manipulación de la cuenta de un usuario final.
Las vulnerabilidades CSRF se conocen y, en algunos casos, se explotan desde 2001[4]. Debido a que se lleva a cabo desde la dirección IP del usuario, es posible que los registros de algunos sitios web no tengan pruebas de CSRF[2]. Los exploits no se denuncian, al menos públicamente, y en 2007[5] había pocos ejemplos bien documentados:
En 2018 se llevaron a cabo nuevos ataques contra dispositivos habilitados para la web, incluyendo intentos de cambiar la configuración DNS de los routers. Algunos fabricantes de routers se apresuraron a lanzar actualizaciones de firmware para mejorar la protección, y aconsejaron a los usuarios que cambiaran la configuración del router para reducir el riesgo. Los detalles no se publicaron, citando “razones obvias de seguridad”[9].
Los atacantes que pueden encontrar un enlace reproducible que ejecute una acción específica en la página de destino mientras la víctima está conectada pueden incrustar dicho enlace en una página que controlen y engañar a la víctima para que la abra[1] El enlace portador del ataque puede colocarse en un lugar que la víctima probablemente visite mientras está conectada al sitio de destino (por ejemplo, un foro de discusión), o enviarse en el cuerpo de un correo electrónico HTML o en un archivo adjunto. Una vulnerabilidad CSRF real en uTorrent (CVE-2008-6586) explotaba el hecho de que su consola web accesible en localhost:8080 permitía ejecutar acciones críticas mediante una simple petición GET:
El historial de navegación en Internet se refiere a la lista de páginas web que ha visitado un usuario, así como a los datos asociados, como el título de la página y la hora de la visita. Los navegadores web suelen almacenarlo localmente[1][2] con el fin de proporcionar al usuario una lista de historial para volver a las páginas visitadas anteriormente. Puede reflejar los intereses, necesidades y hábitos de navegación del usuario[3].
El historial de navegación almacenado localmente puede facilitar el redescubrimiento de páginas web visitadas anteriormente y perdidas de las que sólo se tiene un vago recuerdo en la memoria, o de páginas difíciles de encontrar por estar ubicadas en la web profunda. Los navegadores también lo utilizan para habilitar el autocompletado en su barra de direcciones para una navegación más rápida y cómoda hacia las páginas más visitadas[4].
La publicidad dirigida consiste en presentar al usuario anuncios más relevantes para él en función de su historial de navegación[8]. Un ejemplo típico es el de un usuario que recibe anuncios de zapatos cuando navega por otros sitios web después de haber buscado zapatos en sitios web de compras. Un estudio demuestra que la publicidad dirigida duplica la tasa de conversión de la publicidad online clásica[9].
Relacionados
