Una cookie zombie es una cookie HTTP que se vuelve a crear después de la eliminación. El término fue creado por el abogado Joseph H. Malley, quien inició las acciones colectivas de súper cookies en 2010. Las cookies se recrean a partir de copias de seguridad almacenadas fuera del almacenamiento de cookies dedicado del navegador web . Puede almacenarse en línea o directamente en la computadora del visitante, en una violación de la seguridad del navegador . Este mecanismo hace que las cookies de zombies sean muy difíciles de eliminar. Estas cookies pueden crearse en un navegador web que ha optado por no recibir cookies, ya que no dependen completamente de las cookies tradicionales.
Propósito
Las empresas de recopilación de análisis web utilizan cookies para rastrear el uso de Internet y las páginas visitadas para la investigación de mercados . [1] Los sitios que desean recopilar estadísticas de usuarios instalarán una cookie de un sitio de seguimiento de tráfico que recopilará datos sobre el usuario. A medida que el usuario navega por la web, la cookie agregará más información para cada sitio que utilice la cookie de seguimiento de tráfico y la envíe de vuelta al servidor de seguimiento principal.
Las cookies Zombie permiten que las empresas de seguimiento del tráfico web recuperen información como el ID de usuario único anterior y sigan rastreando los hábitos de navegación personales. Cuando la identificación de usuario se almacena fuera del almacenamiento de cookies de un solo navegador, como en un encabezado inyectado por la red en las solicitudes HTTP, las cookies zombies pueden rastrear a los usuarios a través de los navegadores en la misma máquina. [2]
Las cookies de zombies también se utilizan para recordar las identificaciones únicas que se utilizan para iniciar sesión en sitios web. Esto significa que para un usuario que borra todas sus cookies con regularidad, un sitio que lo utilice aún podrá personalizarse para ese usuario específico.
Trascendencia
Un usuario que no quiera ser rastreado puede optar por rechazar las cookies de terceros o eliminar las cookies después de cada sesión de navegación. [3] Eliminar todas las cookies evitará que algunos sitios rastreen a un usuario, pero también puede interferir con los sitios que los usuarios quieren recordar. Eliminar las cookies de seguimiento no es lo mismo que rechazar las cookies. Si se eliminan las cookies, los datos recopilados por las empresas de seguimiento se fragmentan. Por ejemplo, contar a la misma persona como dos usuarios únicos separados aumentaría falsamente la estadística de usuarios únicos de este sitio en particular. Es por eso que algunas empresas de seguimiento utilizan un tipo de cookie zombi.
Implementación
Según TRUSTe: "Puede obtener información valiosa sobre marketing si realiza un seguimiento de los movimientos de los usuarios individuales en su sitio. Pero debe revelar el uso que hace de toda la información de identificación personal para cumplir con las pautas de Prácticas de información justa". [4]
Los posibles lugares en los que se pueden ocultar las cookies de zombies incluyen:
- Cookies HTTP estándar
- Almacenar cookies y leer el historial web
- Almacenamiento de cookies en ETags HTTP
- Almacenamiento de datos de usuario de Internet Explorer (a partir de IE9 , los datos de usuario ya no son compatibles)
- Almacenamiento de sesiones HTML5
- Almacenamiento local HTML5
- Almacenamiento global HTML5
- Almacenamiento de bases de datos HTML5 a través de SQLite
- Almacenamiento de cookies en valores RGB de PNGs forzados y generados automáticamente mediante la etiqueta HTML5 Canvas para volver a leer píxeles (cookies)
- Objetos compartidos locales (cookies Flash)
- Almacenamiento aislado de Silverlight
- Secuencias de comandos de sincronización de cookies que funcionan como cookies de caché y reaparecen la cookie MUID [5]
- TCP de apertura rápida
- ID de sesión de TLS
Si un usuario no puede eliminar la cookie de cada uno de estos almacenes de datos, la cookie se volverá a crear en todos estos almacenes en la próxima visita al sitio que utiliza esa cookie en particular. Cada empresa tiene su propia implementación de cookies zombies y estas se mantienen como propietarias. Está disponible una implementación de código abierto de cookies zombies, llamada Evercookie , [6] .
Controversias
En 2015, TURN, una cámara de compensación de publicidad en línea, [7] introdujo cookies zombies basadas en objetos Flash Local Shared. [8] Los defensores de la privacidad rápidamente denunciaron la tecnología. [9]
Un estudio académico de las cookies zombies se completó en 2009, por un equipo de investigadores de UC Berkeley , [10] donde notaron que las cookies que habían sido eliminadas, volvían una y otra vez. Citaron esto como una violación grave de la privacidad. Dado que la mayoría de los usuarios apenas conocen los métodos de almacenamiento utilizados, es poco probable que los usuarios los eliminen todos. Del informe de Berkeley: "pocos sitios web revelan su uso de Flash en las políticas de privacidad, y muchas empresas que utilizan Flash tienen la certificación de privacidad de TRUSTe". [10]
Ringleader Digital hizo un esfuerzo por mantener una identificación de usuario persistente incluso cuando el usuario eliminó las cookies y sus bases de datos HTML5. La única forma de excluirse del seguimiento era utilizar el enlace de exclusión voluntaria de la empresa, que no proporciona confirmación. [11] Esto resultó en una demanda contra Ringleader Digital.
El término "cookie zombi" fue creado por el abogado Joseph H. Malley, quien inició las acciones colectivas de Super-Cookie en 2010. [ lenguaje promocional ] La etiología de la frase se derivó de su investigación previa en aplicaciones de terceros para iPhone de Apple. Algunas de estas que habían sido criticadas por ser aplicaciones "parecidas a zombies" , como las "supercookies" que "reaparecían" cuando se borraban. El abogado Malley imaginó una galleta que parecía volver de entre los "muertos" . Combinando las dos ideas, primero acuñó la frase Zombie Cookies dentro de sus acciones colectivas presentadas, como un medio para permitir que el tribunal, el jurado y el público comprendan la base del litigio. [ cita requerida ]
Las demandas de Zombie Cookie se entablaron en el Tribunal de Distrito de los Estados Unidos para el Distrito Central de California contra Quantcast , Clearspring , VideoEgg y sitios afiliados propiedad de Walt Disney Internet Group , Warner Bros. y otros. De acuerdo con los cargos, las cookies de Adobe Flash se colocan para "rastrear a los Demandantes y Miembros de la Clase que visitaron sitios web que no pertenecen a Clearspring Flash Cookie Affiliates al interceptar sus transmisiones en línea, sin previo aviso o consentimiento". [12]
En 2011 se encontraron dos mecanismos de " supercookie " en los sitios web de Microsoft, incluida la sincronización de cookies que reaparecieron las cookies MUID. [5] Debido a la atención de los medios, Microsoft luego deshabilitó este código. [13]
La indignación de los consumidores relacionada con las cookies Flash y la violación de la privacidad de los consumidores causaron audiencias en el Congreso de los EE. UU., Encabezadas por los senadores Al Franken y John Rockefeller . Según se informa, la "cookie zombi", también conocida como presentación de cookies flash, obligó a Adobe Systems Inc. a dejar de procesar las cookies flash en el 98% de los dispositivos informáticos de todos los consumidores. [14]
La cámara de compensación de publicidad en línea TURN implementó cookies zombies en los teléfonos móviles de Verizon , utilizando un número oculto e inamovible mediante el cual Verizon podía rastrear a los clientes. Después de que un artículo de ProPublica revelara este hecho en enero de 2015, TURN afirmó que había suspendido el uso de sus cookies zombies. [7]
Referencias
- ^ "Uso de cookies de Google Analytics en sitios web - Google Analytics - Desarrolladores de Google" . Consultado el 29 de marzo de 2014 .
- ^ Mayer, Jonathan. "La galleta zombi Turn-Verizon" . WebPolicy.org . Consultado el 22 de abril de 2015 .
- ^ Dixon, Pam. "Consejos para el consumidor: cómo excluirse de las cookies que lo rastrean" . Foro mundial de privacidad . Archivado desde el original el 13 de enero de 2013 . Consultado el 10 de noviembre de 2010 .
- ^ "Mejores prácticas de privacidad en línea de TRUSTe" . truste.com . Consultado el 29 de marzo de 2014 .
- ^ a b Mayer, Jonathan. "Seguimiento de los rastreadores: publicidad de Microsoft" . El Centro de Internet y la Sociedad . Consultado el 28 de septiembre de 2011 .
- ^ "evercookie - cookies persistentes virtualmente irrevocables" . samy.pl . Consultado el 29 de marzo de 2014 .
- ^ a b "Galleta zombi: la galleta de seguimiento que no puedes matar"
- ^ "La empresa evita a los consumidores que eliminan cookies - InformationWeek" . informationweek.com. Archivado desde el original el 30 de abril de 2014 . Consultado el 10 de abril de 2017 .
- ^ "Página de cookies flash de EPIC" . epic.org . Consultado el 29 de marzo de 2014 .
- ^ a b Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (11 de agosto de 2009). "Cookies Flash y Privacidad" . Diario electrónico SSRN . doi : 10.2139 / ssrn.1446862 .
- ^ Cheng, Jacqui (22 de septiembre de 2010). "Guerras de galletas zombies: API de seguimiento malvado destinada a" crear conciencia " " . Ars Technica . Consultado el 29 de marzo de 2014 .
- ^ "Los usuarios de la Web demandan a las empresas que afirman que el uso de cookies Flash es un truco" . out-law.com . Consultado el 29 de marzo de 2014 .
- ^ Burt, David. "Actualización sobre el tema de las 'supercookies' utilizadas en MSN" . Consultado el 28 de septiembre de 2011 .
- ^ Malley, Joseph H. "(perfil de LinkedIn)" . LinkedIn . Consultado el 10 de abril de 2017 .
Mis presentaciones de cookies Flash obligaron a Adobe a dejar de procesar las cookies flash en el 98% de los dispositivos + la primera frase "acuñada" de la queja: "COOKIES ZOMBI".
enlaces externos
- Huella digital del dispositivo : sitio que demuestra la forma en que se restauran las cookies zombies