13 mar. 2020

Brave, el navegador más "privado" según estudio

Los usuarios que buscan un navegador centrado en la privacidad pueden considerar Brave primero, según un estudio publicado esta semana. Douglas Leith, profesor de sistemas informáticos en la Universidad de Trinity, examinó seis navegadores para su informe: Privacidad del navegador web: ¿qué dicen los navegadores cuando llaman a su casa?

Descubrió que el navegador basado en Chromium de Brave es el que tiene menos probabilidades de revelar información de identificación única sobre la computadora que lo usa.

El estudio examinó seis navegadores: Chrome, Firefox, Safari, Brave, Edge y Yandex. Utilizó varias pruebas para deducir si el navegador puede rastrear la dirección IP del usuario a lo largo del tiempo y si se filtran detalles de las visitas a la página web. Para hacer esto, examinó los datos compartidos en el inicio después de una nueva instalación, en un reinicio y después de pegar y escribir una URL en la barra de direcciones. También exploró lo que hacía el navegador cuando estaba inactivo.

A pesar de que Mozilla hace un tema de privacidad en Firefox, fue Brave, desarrollado por el fundador de Mozilla (y creador de JavaScript) Brendan Eich, quien ganó. Brave, que ha acusado a Google de violaciones de privacidad, es "con mucho el más privado de los navegadores estudiados" cuando se usa con su configuración lista para usar, según el periódico.

El estudio colocó a los navegadores en una de las tres clases de privacidad, en función del período de tiempo durante el cual retienen los identificadores. Brave consigue la mejor clase para sí misma porque usa lo que el estudio llama identificadores "efímeros" que vinculan un puñado de transmisiones y luego se reinicia. Esto significa que no recuerda su identificador en los reinicios del navegador.

El papel agrupa Safari, Firefox y Chrome juntos en la segunda banda. Estos navegadores comparten algunos problemas de privacidad, advierte el documento, incluido el etiquetado automático de cada instancia del navegador con identificadores únicos de sesión e instancia de navegador que pueden persistir durante los reinicios. Estos comportamientos se pueden deshabilitar, pero se activan silenciosamente de forma predeterminada, según el documento.

La investigación selecciona cuatro identificadores que usa Firefox. Dos creados por el navegador persisten durante los reinicios del navegador, mientras que el tercero cambia entre las sesiones del navegador, pero podrían vincularse entre sí porque los valores antiguos y nuevos se envían juntos en un mensaje de telemetría, según el periódico. El cuarto identificador, creado por el servidor, está asociado con un socket web abierto utilizado para los servicios push de Firefox. Firefox también envía direcciones IP de usuario con estos identificadores.

El documento de Leith reconoce que Mozilla elimina las direcciones IP enviadas con estos identificadores después de 30 días, pero se preocupa de que la empresa "guarde silencio sobre los usos que se le dan a los datos IP". Le preocupa que esto pueda usarse para rastrear la ubicación del usuario y agrega: "Eso no significa que dicha vinculación realmente tenga lugar, solo que existe el potencial para que se haga".

Leith le había preguntado a Mozilla si usaba direcciones IP para el seguimiento de la ubicación, y también preguntó por la política de uso de direcciones IP de la compañía como parte de su servicio push. No recibió respuesta. El portavoz de Mozilla, Justin O'Kelly, no abordó esos problemas específicamente con nosotros, pero respondió:
Firefox recopila algunos datos técnicos sobre cómo los usuarios interactúan con nuestro producto, pero eso no incluye el historial de navegación del usuario. Estos datos se transmiten junto con un identificador único generado aleatoriamente. Las direcciones IP se retienen por un período corto para la detección de seguridad y fraude y luego se eliminan. Se eliminan de los datos de telemetría y no se utilizan para correlacionar la actividad del usuario en las sesiones de navegación.
El documento de Leith también llama a Safari, que dice que permite que todos los sitios de terceros que figuran en su página de inicio establezcan cookies sin el consentimiento del usuario. También llama a casa a icloud.com incluso desde máquinas que no están registradas con ese servicio de Apple, advierte el periódico, llamando a esta conexión "espuria".

Apple también fue el navegador más agresivo a la hora de enviar datos que los usuarios escribieron en la barra de direcciones a los servidores de Apple con fines de autocompletar, advirtió el periódico: "Las solicitudes a Apple incluyen identificadores que persisten en los reinicios del navegador y, por lo tanto, se pueden usar para vincular las solicitudes y reconstruir el historial de navegación".

Apple no respondió a ninguna solicitud de comentarios.

Los teléfonos Chrome de Google muestran casi todas las letras escritas en la barra de búsqueda con fines de autocompletar, según el periódico. Incluso después de desmarcar la casilla "permitir telemetría", el navegador configura una cookie con el servidor de Google que luego se comunica cada vez que se abre el navegador, encontró Leith, y esto sucede incluso si el usuario no ha iniciado sesión en Google. Google declinó hacer comentarios para nuestro artículo, pero nos señaló su Libro Blanco de Privacidad de Chrome.

El problema para muchos de estos navegadores parece no ser tanto lo que están haciendo, sino el hecho de que lo hacen de manera predeterminada, dejando a los usuarios que no son expertos en tecnología o que no lo saben, están abiertos a más información. Del artículo de Leith:
En resumen, Chrome, Firefox y Safari se pueden configurar para que sean mucho más privados, pero esto requiere conocimiento del usuario (ya que las configuraciones intrusivas están habilitadas silenciosamente) e intervención activa para ajustar las configuraciones.
El periódico reserva las preocupaciones más graves para el tercer grupo menos privado que identificó, que contiene Edge y Yandex. Estos identificadores de uso vinculados al hardware del dispositivo, dijo, persisten en las nuevas instalaciones del navegador. También se pueden usar para vincular diferentes aplicaciones que se ejecutan en el mismo dispositivo. Edge también se pone en contacto con un servidor de publicidad de Microsoft, dijo el periódico, que envía varios identificadores que Edge luego repite en solicitudes posteriores a ese servidor. Agregó:
La carga de la página de bienvenida de Edge establece una serie de cookies. En particular, esto incluye una cookie para vortex.data.microsoft.com, que parece ser un servidor de registro de datos, y permite que los datos transmitidos a este servidor se vinculen a la misma instancia del navegador.
Incluso pegar (en lugar de escribir) una URL en la barra de direcciones contiene lo que el paper llama "consecuencias no deseadas", incluida la filtración del historial de navegación del usuario a Bing a través de la API de autocompletado del motor de búsqueda, y una vez más contactando vortext.data.microsoft.com.

La página de privacidad de Microsoft Edge dice que envía identificadores de dispositivo como parte de un servicio de informes de diagnóstico que los usuarios pueden desactivar. Los usuarios también pueden eliminar estos datos en el servidor. De acuerdo con su documento técnico de privacidad de Edge, las personas pueden desactivar las Sugerencias de búsqueda para evitar que envíe sus términos de búsqueda a Bing, que de lo contrario los mantiene durante seis meses.

Yandex no respondió a las acusaciones del paper de que su navegador, popular entre los hablantes de ruso, envía datos de navegación del usuario a los servidores de Yandex como parte de su API de autocompletado, junto con el texto de las páginas web a su servicio de traducción. También envía la dirección MAC hash SHA-1 de una máquina a Yandex, junto con los identificadores del navegador, lo que les permite unirse, dijo el periódico de Leith.

Fuente: NakedSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!