Nuestra privacidad en una Cookie

Nuestra privacidad en una Cookie

Ha pasado mucho tiempo desde junio de 1994, cuando Lou Montulli se inventó las cookies para que en su aplicación de e-commerce mantuviera los artículos seleccionados en el carrito sin tener que usar recursos del servidor para esto. Convirtiendo es el mecanismo que por defecto todos los servicios web utilizan para individualizar las preferencias de los usuarios y mejorar la experiencia de los mismos en los portales, por lo que desde el principio han recibido la atención de todo slos implicados en Internet y de las autoridades , por su potencial capacidad de invasión a la privacidad.

Por esto en 1997 la IETF genero el RFC2109 , que buscaba las regulaciones en el uso de cualquier mecanismo de seguimiento implementado sobre HTTP y que fue regulado de forma definitiva conel RFC6265 en abril de 2011. Sin embargo, más allá de todos los tecnicismos, es importante entender que las cookies son archivos almacenados en nuestros navegadores , pero no son ningún tipo de código o software que pueda permitir un ataque.

¿Por qué generación tanta preocupación?

Existen varios tipos de cookies, pero las que generan más preocupación en cuanto a la privacidad son las llamadas Cookies Persistentes y las Cookies de terceros. En el caso de las persistentes la preocupación se genera porque almacenan durante muchos años información de como es el comportamiento de un usuario en una web especifica, datos como que color de fondo usa y como interactuá con diferentes anuncios, durante el periodo que tenga confirmagurado, pero en muchos casos supera los 2 años recomendados por la normatividad.

En el caso de las de terceros o terceras partes, son las que más importan en cuanto a la privacidad, porque no son gestionadas por el sitio al que esta accediendo el usuario, sino que pertenecen a otras entidades, como anuncios o imágenes. Cada navegador tiene una particular forma de gestionar este tipo de cookies, pero debido a que son las más usadas en marketing y en tiendas on-line, un ejemplo común de este uso son los sitios web que incluyen Google Analytics para medir la interacción de los usuarios con su contenido.

Existen además un tipo de cookies llamadas supercookies o cookies zombie, que aunque técnicamente no son un cookie porque no se almacenan en el navegador, pero recopilan información de las preferencias de navegación no solo de un sitio en particular sino de la interacción de varios y pueden ser usadas sin importar el navegador, esto sin duda es una amenaza para la privacidad del usuario.

Sin embargo, el control de esa información puede ser realizada directamente por el usuario eliminando las cookies de navegación y controlando que no se puedan usar cookies de terceras partes, con excepción de las supercookies, las cuales no depende directamente del navegador.

¿Por qué ahora toca aceptarlas?

En algunos países la legislación de privacidad de datos se dio cuenta que el uso no controlado y no informado de las cookies, puede poner en riesgos de privacidad a los usuarios de Internet, por lo que opto por generar reglamentos que obligan a todas las paginas del país a informar plenamente a los usuarios que tipos de cookies usan y dar la posibilidad de aceptar o rechazar el uso de las mismas.

Esto solo aplica a las cookies que contengan un identificador del usuario, que puede ser nombre o correo electrónico o Id de publicidad, las demás están exentas de tener que solicitar la aceptación o rechazo, pero se recomienda por transparencia que sean informadas al usuario, esto implica que cada sitio web debe entregar un mecanismo para que el usuario decida de forma directa la adopción de cad tipo de cookie.

Pero esto no es algo que muchos portales les sea conveniente, pues dependen en gran medida de la publicidad y de información recopilada de los usuarios para la personalización y generar mejores experiencias en sus portales, por lo que estudios que hemos realizado en ElevenPaths confirman que aunque se cumple la ley no es sencillo para el usuario realizar el rechazo, por ejemplo en las 100 paginas más visitadas en España, solo el 8% permiten este rechazo de forma directa.

Y en algunos casos, como el uso de cookies de terceros para analítica de datos son instalados y configurados previamente a la aceptación o rechazo y calificados como técnicos, lo cual claramente incumple las normas y expone la privacidad de usuario.

¿Qué podemos hacer?

Como se menciona anteriormente, las opciones que tiene el usuario es gestionar personalmente la eliminación de las cookies en los navegadores que use, implementar en la configuración el bloqueo a cookies de terceras partes y en algunos casos donde quiera proteger aun más su información usar plugins para bloqueo de publicidad o para generar diferentes sesiones en el mismo navegador.

El navegar en modo incógnito no tienen ningún tipo de eficacia en cuanto al manejo de las cookies, pues quedan almacenadas y gestionadas en el mismo navegador, este modo solo evita que el historial quede almacenado las paginas visitadas y que no sea posible leer algunas de las configuraciones previas.

Diego Samuel Espitia Montenegro

CSA de ElevenPaths

@dsespitia