martes, junio 06, 2006

Web bugs, esos "marditos" bichitos

¿Qué es BUGNOSIS? .....No, no es otro alienante producto televisivo, evolución putativa de Operación Triunfo, Gran Hermano o similar, aunque ¡¡¡OJITO!!! con dar ideas que nunca se sabe. Tampoco es la clase de noticia de la que se suelen hacer eco los informativos y demás gente de mal vivir, que por lo general, solamente mencionan Internet cuando de por medio hay algún escándalo con pedófilos y cosas así, y el caso es que debería serlo...y por supuesto, tampoco se trata de algún "futbolero" de última generación. Si así fuera ya habrían corrido ríos de tinta informándonos ¡..? sobre la marca de móvil que utiliza, la bebida isotónica que más le gusta y cosas por el estilo. No, no es nada de eso y sin embargo se trata de "algo" que nos afecta muy directamente, sobretodo a los indefensos internautas que tienen por habito el aventurarse a través de los vericuetos que ofrecen las autopistas de Internet y que demanda una pronta regulación legal. Porque veamos: ¿a qué a nadie le gustaría que cada vez que fuera a echar gasolina, comprar el periódico, visitar un museo, leer un libro, etc... "alguien" estuviera detrás escrutando hasta tus más mínimos movimientos, elaborando extensos informes sobre ello, que con posterioridad pasarán a engordar, aun más, unas bases de datos existentes, ya de por si enormes, y que son comercializadas sin recato alguno a nuestras espaldas, a qué no?

Vayamos por partes. Un web bug es un gráfico incrustado en una página web o en un email, diseñado expresamente para recolectar información acerca de nuestros gustos e inquietudes. Estos web bugs con frecuencia no son visibles para el sufrido internauta porque normalmente su tamaño no supera los 1x1 pixeles y son colocados en los sitios web por terceros que por "alguna" razón están interesados en recopilar datos de los visitantes de ese determinado sitio.

¿Cuál es la información que pueden recopilar los web bugs?
a) Nuestra IP
b) La URL donde el bug está incrustado
c) La URL de la imágen donde el web bug está incrustado, que a su vez contiene la información que será compartida por la web que estamos visitando, y una tercera parte que es la que realmente recopila y maneja la base de datos
d) El horario en que el web bug es activado (o sea la frecuencia y el momento en que solemos visitar un determinado sitio web).
e) El tipo de navegador que utilizamos (con nombre y apellidos)
f) Chequea si ya hemos pasado por allí, revisando cookies instaladas con anterioridad en nuestro SO.

¿Qué no tienen importancia estos datos? Pues si, si que la tienen y más si se comparten con otros sitios web, y encima todo el proceso se realiza subrepticiamente, sin conocimiento del internauta y sin que este reciba la más mínima compensación a cambio, o en su defecto, ésta sea irrisoria comparada con el precio que está pagando.

¿Para qué sirven los web bugs?
Si no lo habéis intuido aún, cabe decir que los web bugs "normalmente" cumplen la labor de facilitar estadísticas sobre el número de individuos que visitan una determinada página, el tipo de navegador que utilizan, sistema operativo, etc. En suma, decir que muchas empresas de publicidad con pocos escrúpulos procesan esta información creando perfiles personales sobre los gustos y disgustos del internauta común que es utilizado, en teoría, para que en la siguiente ocasión que se visite esa determinada página web te sea encasquetado un banner publicitario de acuerdo a lo que se supone son tus gustos personales, etc.

¿Por qué se llaman web bugs?
La expresión inglesa bug, en este caso viene a significar un pequeño, y por lo general oculto, procedimiento que nada tiene que ver con los bugs más conocidos que se identifican con el mal funcionamiento de una aplicación o SO. Más allá de esta definición los responsables de estas artimañas prefieren llamarlos piadosamente "clear gifs" y también son conocidos como "1x1 gifs", "invisible gifs" o "beacon gifs"

¿Todos los archivos gráficos invisibles de un sitio web son web bugs?
Nope, los "invisibles gifs" también pueden ser usados en el diseño de un sitio web por el webmaster del mismo, sobre todo cuando se trata de tablas, layers y cosas así. El verdadero web bug es cargado en la página de destino por un servidor externo, por ello es fácilmente identificable (si se pudiera observar) dado que suelen romper la armonía y el diseño, en el caso de que a veces lo tenga, de ese determinado sitio web.

¿Son siempre invisibles los web bugs?
Sipe, de acuerdo a lo anteriormente expuesto lo son. Sin embargo los web bugs no son los únicos elementos de una página web que pueden guardar el rastro (tracear) del visitante de un sitio web.

¿Cómo se puede localizar manualmente un web bug?
Antes de que BUGNOSIS existiera, la única posibilidad de localizarlos era acceder al código fuente del sitio web y buscar por unas etiquetas (tags) IMG que tienen como misión asociarse con cookies previamente almacenadas en nuestras maquinas. Un web bug tiene sus medidas (altura y anchura) ajustadas a "valor=1" y como ya he dicho son cargados por un servidor diferente del que utiliza el resto de la página web.

Estuve visitando el sitio web www.buy.com y BUGNOSIS me advirtió de la presencia de un web bug procedente de ad.doubleclick.net. ¿A quién habría que reclamar a www.buy.com o a doubleclick.net?
Por lo general las empresas se asocian para tal hecho y necesitan colocar, por ambas partes, un pequeño archivo de información en sus diferentes servidores. Sin embargo, frecuentemente, el sitio principal (el que quieres realmente visitar) delega en el sitio que facilita el web bug su administración.

¿Y por que hacen esto?
Las empresas del sector lo utilizan para:
a) Realizar logs sobre el número de veces que se visita un sitio web.
b) Seguir la pista de las páginas que se visitan dentro de un sitio web.
c) Seguir la pista de la navegación que hacemos por los diferentes sitios web.
d) Registrar el número de veces que aparece un banner publicitario.
e) Controlar el desarrollo de una determinada campaña publicitaria ajustando el número de visitas con las veces que el banner ha sido activado
f) Ajustar la posible compra del producto ofertado entre el banner publicitario y el individuo que lo realiza, recibiendo el sitio web que aloja el banner una compensación económica por ello.
g) Permitir a terceros facilitar estadísticas de visitas, etc., a un sitio web que no está diseñado con la tecnología necesaria para controlar estos datos.
h) Confeccionar informes sobre el tipo, configuración etc, del navegador usado para visitar ese determinado sitio web. Información que más tarde será utilizada para diseñar el tipo de banner publicitario, y que de esta forma pueda ser visto por el mayor número de individuos.
i) Confeccionar informes sobre las peticiones realizadas en motores de búsqueda (Google, Yahoo, etc., pero también muchas otros sitios web) que son destinados a compañías de marketing que informan a sus clientes sobre la implementación, o no, de determinados productos, confeccionando de ese modo perfiles personales estándar.
j) Comercio con datos demográficos: (género, edad, código postal, etc) procedentes de los visitantes de un sitio web; información que es utilizada en procesos de identificación.
k) Comercio con datos personales: (nombre, dirección, # de teléfono, dir de email etc.) procedentes de los formularios a rellenar para tal o cual asunto de un sitio web que junto con cruces que se realizan con, por ejem., la información recopilada en el punto anterior con datos sobre unidades familiares, # de hijos, hipotecas, etc., confeccionan precisos retratos de muchos de nosotros.
l) Sincronización de cookies que permiten a diferentes sitios web intercambiar datos sobre las andanzas cibernéticas de sus visitantes.

¿Cuántas máquinas se pueden ver involucradas cuando se utilizan web bugs?
Por lo general tres, veamos: supongamos que Mónica visita www.spend.com que trabaja con web bugs en sus paginas. Técnicamente hablando, el web bug se muestra (es un decir porque está oculto) en el sitio www.spend.com cuando Mónica accede al mismo a través de su Internet Explorer. Automáticamente la máquina de Mónica busca ajustar la imagen del web bug (que no vemos) enviado un aviso a www.bug.com quien a su vez realiza el trasvase de información, colocando una imagen invisible a los ojos de Mónica que recolecta la información para un posterior procesamiento. Y todo esto sin que Mónica tenga la más remota idea de lo que pasa en su máquina.

Estando involucradas tres maquinas diferentes será difícil seguir la pista a este tipo de procesos. ¿Existe alguna terminología estándar que se pueda utilizar para ello?
En el ejemplo anterior, el PC de Mónica se denomina "usuario", "origen" o "primer party". Spend.com se denomina "principal", "huesped" o "segundo party", y bug.com es llamado "receptor del web bug" ("user", "originator", "first party"/"main", "intended web site", "second party"/"web bug recipient")

¿Qué tipo de información es manejada por el web bug?
a) El tipo de navegador que provoca todo el proceso, identificando fabricante, versión, sitema operativo, y vete tu a saber si por una de esas vulnerabilidades a las que tan acostumbrados nos tiene Microsoft, para las que saca parches constantemente, no es posible, atando cabos, llegar hasta el registro....bueno, dejemoslo aquí.
b) Fecha y hora en que el web bug es activado
c) La dirección IP del usuario que ha activado el web bug
d) La URL del sitio principal
e) La URL de la imagen que hospeda el web bug
f) Un valor previo de alguna cookie almacenada en nuestro equipo.
A saber, a-b no representan ningún tipo de problema para el usuario común pero c-f son más delicados. La dirección IP de la máquina "c" puede ser traceada por los suministradores del servicio de Inet, y aunque pueda representar un arduo trabajo, que quede bien clarito que es perfectamente viable, Al recibir "d" se puede saber en que lugar del sitio web esta posicionado el usuario en ese preciso momento. Por ejem., supongamos que Mónica se crea una cuenta en spend.com y necesita introducir su dir de email por que es la única forma de acceder a un determinado tipo de información o articulo. Bien, spend.com podría utilizar un web bug para transmitir los datos a bug.com sin el conocimiento de Mónica. ¿Vale?, esto está mal, pero bueno, al fin y al cabo se podría decir que ha sido la propia Mónica quien ha introducido su dir de email a modo de llave con el fin de abrir determinada puerta. Lo injustificable es que spend.com envíe esos datos a bug.com sin ningún tipo de autorización y sin que Mónica o su máquina hayan introducido dato alguno en spend.com....XD :) vaya lío que me estoy haciendo....bueno supongo que lo pillaís .... ¿verdad? Puede haber quien piense: bueno y ¿qué?, me importa un carallu andorrano que bug.com se haga con mi dir de email, dado que es más falsa que un euro de madera!!. Craso error estimado/a internauta, si spend.com envía a bug.com la información sin pasar por la máquina de Mónica, atando cabos sabrá que esa dir está asociada con ese navegador en concreto, cuando Mónica visite otra página, con ese mismo navegador, que contenga web bugs, será detectada al instante y con ello iniciará un proceso que solo la imaginación sabe donde puede desembocar. Afiliaciones políticas, información personal identificable, tendencias sexuales, cualquier cosa susceptible de incluirse en una base de datos puede ser manejada por bug.com y compartida con muchos otros sitios web.

¿Puede un web bug extraer información confidencial de un determinado PC?
Nope, los web bugs solo activan múltiples sitios web con el objeto de compartir información que previamente ha sido recogida usando otros métodos, provocados, o no, de forma espúrea.

¿Puede un sitio web utilizar un web bug para extraer datos de otro sitio web contra mi voluntad?
Nope, de las tres maquinas que se involucran en el proceso, solo dos están "conchapadas" para ello y hace falta la tuya en particular, si la tuya misma!!, que es la que provoca "inocentenemente" todo el mecanismo.

¿Es capaz un web bug de transportar otra información que no sea la incluida en el banner publicitario?
Nope, pero este nope debería ir entre comillas. ¿Por qué ignotas razones no se hacen visibles al igual que otros elementos de un sitio web? Para mí que deben existir poderosas razones para ello, pero bueno, yo es que soy un poco paranoico con estas cosas. ¿Hago mal?

¿Por qué las políticas de privacidad no mencionan a los web bugs?
Me alegro que me hagas esta pregunta :) Las políticas de privacidad deberían avisar sobre ello, de hecho no solamente de los web bugs sino de cualquier otro tipo de cesión de datos a terceros, pero esto raramente acontece y como la gran mayoría del personal no tiene ni zorra idea sobre estos temas pues así pasa lo que pasa.

Y para terminar aunque el tema da para mucho más decir que BUGNOSIS es una aplicación desarrollada por PKWare que, de momento, nos permite identificar a este tipo de "espías cibernéticos", avisándonos de los niveles de privacidad que ofrecen los diferentes sitios web y poniendo en alerta al usuario común sobre la conveniencia de eliminar periódicamente determinadas cookies o archivos temporales que vamos acumulando en nuestros maquinas en nuestros viajes por la red. De momento, y al ser gratuito, se limita a este cometido pero no me extrañaría que pronto, muy pronto ya lo veréis, asistamos a una nueva versión del producto, esta vez de pago, que permita eliminar los web bugs, o en su defecto evitarlos.

Nota.- Este documento es un composición basada en la traducción más o menos libre realizada, deprisa y corriendo, del FAQ original en inglés Es aconsejable instalar esta aplicación, aunque tan solo sea por observar su funcionamiento, e ir tomando nota de los sitios web que utilizan estos mecanismos para la recopilación de datos. Ya veréis que de sorpresas os vais a llevar.

Sugerencia: Si los que visitéis BUGNOSIS no os sentís cómodos con el idioma de Shakespeare, lo vaís a tener pelín complicado, como suele suceder con estas cosas, así que aprended del tema lo que podaís, y si decidís bajaros la aplicación (aconsejable), sabed que practicamente no requiere ninguna configuración especial. Pesa tan sólo 925Kb. Se puede instalar incluso desde el servidor de BUGNOSIS. Si optaís por bajaros el programa (también aconsejable) e instalarlo vosotros mismos, se trata de seguir intuitivamente el proceso de instalación y cuando esté completado os aparecera un bichito pequeñito, que precisamente es el logo de BUGNOSIS, en la barra de herramientas del navegador (si no fuera así: ver-->barra de herramientas-->personalizar-->localizar al bichito-->agregar-->cerrar) y cada vez que visitéis un sitio web con uno de estos elementos dentro os saltará una pantalla en la parte inferior de vuestro navegador donde figura la información que BUGNOSIS ha recopilado del web bug, indicando el lugar exacto donde se encuentra escondido el espía, seleccionando (highlighted) su posición en la propia página que estáis visualizando.

Y esto ha sido todo amigos, como diría aquel.