Rastreadores web interceptan formularios en línea

Los rastreadores de la web son descubiertos interceptando formularios en línea incluso antes de que los usuarios pulsen el botón de envío

Una nueva investigación publicada por académicos de la Universidad de Lovaina, la Universidad de Radboud y la Universidad de Lausana ha revelado que las direcciones de correo electrónico de los usuarios se filtran a dominios de seguimiento, marketing y análisis antes de que se envíe dicha información y sin consentimiento previo. El estudio incluyó el rastreo de 2,8 millones de páginas de los 100 principales sitios web, y descubrió que hasta 1.844 sitios web permitían a los rastreadores capturar direcciones de correo electrónico antes del envío de formularios en la Unión Europea, una cifra que se elevó a 2.950 cuando el mismo conjunto de sitios web se visitó desde los Estados Unidos.

"Los correos electrónicos (o sus hashtags) se enviaron a 174 dominios distintos (eTLD+1) en el rastreo de Estados Unidos, y a 157 dominios distintos en el rastreo de la UE", señalan los investigadores. Además, se determinó que 52 sitios web recopilaban contraseñas de la misma manera, un problema que ya se ha solucionado tras la revelación responsable. LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak y Oracle serían algunos de los principales dominios de rastreo de terceros a los que se han transmitido direcciones de correo electrónico, mientras que Yandex, Mixpanel y LogRocket encabezan la lista en la categoría de captación de contraseñas.

"Algunos terceros envían las direcciones de correo electrónico carácter por carácter, a medida que el usuario teclea su dirección", afirman los investigadores. "Este comportamiento parece deberse a scripts de repetición de sesión que recogen las interacciones de los usuarios con la página, incluyendo la pulsación de teclas y los movimientos del ratón". Las direcciones de correo electrónico presentan una serie de ventajas. No sólo son únicas, lo que permite a terceros seguir a los usuarios a través de los dispositivos, sino que también pueden emplearse para relacionar sus actividades en línea y fuera de ella, por ejemplo, en los casos en que realizan una compra en una tienda que requiere que compartan su dirección de correo electrónico o se inscriban en una tarjeta de fidelidad.

La idea de recopilar las direcciones de correo electrónico introducidas en los formularios en línea, incluso en los casos en los que los usuarios no envían ningún formulario, también se ha visto impulsada por los intentos continuos de los proveedores de navegadores de dejar de admitir las cookies de terceros, lo que ha obligado a los profesionales del marketing a buscar identificadores estáticos alternativos para seguir a los usuarios. No es la primera vez que se plantea esta preocupación.

En junio de 2017, Gizmodo descubrió que un tercero llamado NaviStone estaba recopilando información personal de los formularios de la calculadora de hipotecas antes de su envío, y muy pocos sitios web revelan explícitamente esta práctica en su política de privacidad. Cinco años más tarde, no han cambiado mucho las cosas, según los investigadores, y los sitios web relacionados con la moda/belleza, las compras en línea, las noticias generales, el software/hardware y los negocios aparecen como las principales categorías con más "formularios con fugas".

"A pesar de rellenar los campos de correo electrónico en cientos de sitios web categorizados como pornográficos, no tenemos ni una sola filtración de correo electrónico", muestran los resultados, señalando cómo se alinea con estudios anteriores que han demostrado que los sitios web para adultos tienen relativamente menos rastreadores de terceros en comparación con los sitios generales con una popularidad comparable.

Además, esta práctica puede infringir al menos tres requisitos del Reglamento General de Protección de Datos (RGPD) de la UE, ya que contraviene los principios de transparencia, limitación de la finalidad y consentimiento del usuario.

En los últimos años, los fabricantes de navegadores, con la notable excepción de Google Chrome, han introducido nuevos mecanismos para restringir las cookies de sitios cruzados, pero se ha descubierto que tanto Apple Safari como Mozilla Firefox no hacen nada para protegerse contra los scripts que exportan direcciones de correo electrónico con fines de seguimiento.

Una medida para contrarrestar este método de rastreo es instalar extensiones del navegador como uBlock Origin o cambiar a navegadores que vienen con la funcionalidad de bloqueo de anuncios incorporada, independientemente del tipo de dispositivo utilizado. "Los usuarios deben asumir que la información personal que introducen en los formularios web puede ser recogida por los rastreadores, incluso si el formulario no se envía nunca", concluyen los investigadores, que piden que los proveedores de navegadores, los desarrolladores de herramientas de privacidad y las agencias de protección de datos sigan investigando.

Janeth Kent

Licenciada en Bellas Artes y programadora por pasión. Cuando tengo un rato retoco fotos, edito vídeos y diseño cosas. El resto del tiempo escribo en MA-NO WEB DESIGN AND DEVELOPMENT.