Los 'Favicons' del navegador se pueden usar como 'supercookies' imborrables para rastrearte online

Los favicons son una de esas cosas que básicamente usan todos los sitios web pero nadie piensa en ellas. Cuando tienes 100 pestañas abiertas, el pequeño ícono al comienzo de cada pestaña del navegador proporciona un logotipo para la ventana que has abierto. Twitter usa el pajarito azul, Gmail es un ícono de correo rojo y Wikipedia es la W en negrita. Es una abreviatura conveniente que nos permite a todos tener claro por donde estamos navegando cuando tenemos miles de pestañas abiertas. Sin embargo, según hemos podido saber, estos iconos también pueden ser una vulnerabilidad de seguridad que podría permitir que los sitios web rastreen tu movimiento y eviten las VPN, el estado de navegación de incógnito u otros métodos tradicionales para encubrir tus movimientos online.

Este revolucionario método de seguimiento se llama Supercookie y es obra del estudiante y diseñador de software alemán Jonas Strehle.

“Supercookie usa favicons para asignar un identificador único a los visitantes del sitio web. A diferencia de los métodos de seguimiento tradicionales, esta identificación se puede almacenar de forma casi persistente y el usuario no puede borrarla fácilmente”, dijo Strehle en su Github. El método de seguimiento funciona incluso en el modo de incógnito del navegador y no se borra al vaciar el caché, cerrar el navegador o reiniciar el sistema, usar una VPN o instalar AdBlockers.

Strehle explica en su Github que se interesó en la idea de usar favicons para rastrear a los usuarios después de leer un artículo de investigación sobre el tema de la Universidad de Illinois en Chicago.

“La complejidad y la naturaleza rica en funciones de los navegadores modernos a menudo conducen al despliegue de una funcionalidad aparentemente inocua que los adversarios pueden abusar fácilmente”, explica el documento. “En este documento, presentamos un mecanismo de seguimiento novedoso que hace un mal uso de una característica simple pero omnipresente del navegador: los favicons”. Para ser claros, se trata de una prueba de concepto y no algo que Strehle haya descubierto por sí solo. El programa de Strehle (que utiliza un favicon de un Cookie Monster) es tan solo el desarrollo de la prueba del concepto descrito por los investigadores de la universidad.

El navegador debe hacer que los favicons sean fácilmente accesibles. Por lo tanto, se almacenan en caché en una base de datos local separada en el sistema, llamada caché de favicon (F-Cache). Las entradas de F-Cache incluyen una gran cantidad de datos sobre dónde ha estado un usuario, todo al servicio de la entrega de un pequeño ícono en tu ventana de navegación.

Cuando un usuario visita un sitio web, el navegador verifica si se necesita un favicon buscando la fuente de la referencia del enlace del icono de acceso directo de la página web solicitada. El navegador inicialmente verifica el F-caché local en busca de una entrada que contenga la URL del sitio web activo. Si existe una entrada de favicon, el icono se cargará desde el caché y luego se mostrará. Sin embargo, si no hay ninguna entrada, por ejemplo porque nunca se ha cargado un favicon en este dominio en particular, o porque los datos en el caché no están actualizados, el navegador realiza una solicitud GET al servidor para cargar el favicon del sitio.

Estos datos permiten que el servidor web descubra bastante sobre su visitante. Al combinar el estado de los favicons entregados y no entregados para rutas de URL específicas para un navegador, se puede asignar un patrón único (número de identificación) al cliente. Cuando se vuelve a cargar el sitio web, el servidor web puede reconstruir el número de identificación con las solicitudes de red enviadas por el cliente para los favicons que faltan y así identificar el navegador.

Strehle ha creado un sitio web que demuestra lo fácil que es rastrear a un usuario online usando un favicon. Dijo que es con fines de investigación, ha publicado su código fuente online y ha detallada con una larga explicación cómo funcionan las supercookies en su sitio web.

La parte más aterradora de la vulnerabilidad de favicon es la facilidad con la que pasa por alto los métodos tradicionales que la gente usa para mantenerse privados online. Según Strehle, su Supercookie se salta el modo "privado" de Chrome, Safari, Edge y Firefox. Borrar su caché, navegar detrás de una VPN o usar un Ad-Blocker no impedirá que un favicon malicioso te rastree.

Los investigadores de la Universidad de Illinois llegaron a conclusiones similares. “Descubrimos que la combinación de nuestra técnica de seguimiento basada en favicon con atributos inmutables de huellas dactilares del navegador que no cambian con el tiempo permite que un sitio web reconstruya un identificador de seguimiento de 32 bits en 2 segundos”, dijeron. “Debido a la gravedad de nuestro ataque, proponemos cambios en el comportamiento de almacenamiento en caché de favi de los navegadores que pueden evitar esta forma de seguimiento, y hemos divulgado nuestros hallazgos a los proveedores de navegadores que actualmente están explorando estrategias de mitigación adecuadas”.

Os dejamos un video (en inglés) donde se puede ver cómo funciona:

Fuente: VICE