Desmontando el mito de la pestaña de incógnito: no te hace invisible en la Red

“Tus acciones no serán totalmente invisibles”, advierte Google Chrome cada que se inicia una sesión de incógnito. Pero, ¿qué es exactamente lo que queda oculto? Según revelaron unos hackers en la última convención Defcon de Las Vegas, prácticamente nada. Los piratas informáticos consiguieron los datos de tres millones de usuarios alemanes que empleaban la navegación privada y destaparon muchos de sus secretos: desde las preferencias pornográficas de un juez hasta la medicación utilizada por un diputado.

“La navegación privada no es navegación cifrada” explica Yago Jesús, especialista en ciberseguridad y editor de Security By Default. “Tu proveedor de Internet y todos aquellos nodos que se interpongan en tu conexión van a saber los datos”, continúa el experto. En la misma línea se sitúa el programador José Carlos Norte, quien descubrió una vulnerabilidad en el navegador TOR Browser que permitía seguir el rastro de sus usuarios. “Lo único para lo que sirve el modo incógnito es para que tu pareja no vea en qué web has entrado”, declara el informático.

Para conseguir los datos de miles de personas, a los hackers alemanes les bastó con suplantar la identidad de una empresa de marketing ficticia. En su página se ofertaban como una compañía capaz de aumentar la efectividad de los comercios gracias a un algoritmo automático. Así, fue tan fácil como llamar a los supuestos interesados y preguntarles por los datos anónimos de los internautas.

“Mientras haya un ser humano en medio, va a empezar a hablar y soltar datos”, afirma José Carlos. Continúa diciendo que “si ahora mismo llamas a un hotel donde tienes una reserva y dices tu nombre, comienzan a decirte todo sobre ti”. Los datos terminan saliendo a la luz y no importa si son personales. Esto tiene graves consecuencias sobre la privacidad, ya que basta con muy poca información para comenzar a indagar sobre alguien. “Hay tantas maneras de rastrearte que ni lo imaginas”, dice el programador. De hecho, los piratas de la Defcon indican que solo es necesario conocer las 10 páginas que visita un usuario para detectar quién se esconde tras el ordenador.

La navegación privada sirve de poco para prevenirlo porque, como menciona Yago Jesús, “no evita que alguien de tu misma red pueda deducir dónde estás navegando”. Cuando se accede a una página como Facebook, el usuario realiza una petición de acceso a su servidor que no está cifrada. “Podría deducir lo que la gente está haciendo solo con sentarme en un Starbucks e investigar quiénes están conectados a la red local”, menciona el experto. Añade que “en los 10 minutos de tomarme un café puedo saber que una mujer tiene Instagram, Facebook, o que revisa su correo de Gmail”.

La “huella dactilar” de Internet

Sin embargo, no conectarse a redes públicas tampoco certifica que nadie pueda investigar el rastro. En el artículo de The Guardian señalan que los métodos para hacerlo son múltiples y diversos, y que ni siquiera empleando seguridad es suficiente para escapar de los mecanismos de seguimiento.

Como indican en el medio británico, es el caso de un detective que utilizó Google Translate para comunicarse con fuerzas policiales extranjeras. No importó que utilizara Web of Trust, una herramienta que aumenta la seguridad de navegar por Internet. Los hackers pudieron conocer muchas de sus consultas y averiguar detalles sobre un caso de ciberdelincuencia alemana.

“Tu navegador es más chivato de lo que tú crees”, garantiza el colaborador de Security By Default. Continúa diciendo que “revela configuraciones, plugins y una serie de patrones que son únicos en tu navegación”.

En el mundo del Big data, empresas como Facebook o Google emplean la correlación de millones de datos de personas para comercializar productos o mandar sugerencias personalizadas. Pero, como se pregunta José Carlos, “¿dónde acaba la línea entre el robo de identidad y empieza la de la segmentación publicitaria?”

Aunque hay soluciones protegerse de los trackers publicitarios, como extensiones para navegadores, a algunos usuarios no les preocupa tanto su anonimato como la capacidad para transferir datos entre páginas que, como indica Norte, “no tendrían por qué estar conectadas”.

La navegación privada sí que puede ser una solución puntual para evitar que ciertas cookies se almacenen de forma local. “La uso para única cosa: hacer búsquedas en Google que no quiero que queden en mi registro”, comenta Yago Jesús. De esta forma, se podrían evitar que ciertas páginas bombardeen con publicidad del viaje que se está planeando o el reloj que se va a comprar.

El factor humano tras la máquina

No siempre es necesaria una brecha de seguridad para investigar a alguien. En ocasiones, solo basta con conocer sus hábitos. Desde la forma de hacer click hasta el orden de visitar páginas, todo puede servir para reconocer un usuario que se conecte incluso desde diferentes conexiones IP.

El rastro en la Red se puede seguir porque, como señala José Carlos, “hay un humano detrás del ordenador”. Además, las técnicas de rastreo se multiplican y cada vez existen más métodos para desmontar el anonimato. “Yo en su momento hablé de la rueda del ratón, pero hay gente que investiga hasta la velocidad a la que haces los clicks”, indica el programador.

Así, aunque parece que la forma de desplazarse por una web es casual y arbitraria, los patrones de navegación pueden ser analizados por un software capaz de mostrar con precisión cada pequeño detalle. “Imagina que siempre haces click igual y te queda un centímetro desde la izquierda y cuatro a la derecha”, apunta Yago Jesús. “No puedes pedirte a ti mismo que seas aleatorio porque eres un humano”, comenta el especialista en ciberseguridad.

Cuando ni Tor garantiza el anonimato

Uno de los navegadores anónimos por excelencia es Tor browser, el cual utiliza una técnica de cifrado que permite enmascarar la identidad. A pesar de ello, pueden darse situaciones en las que la privacidad no esté asegurada. “La gente olvida que ese mismo navegador puede ser vulnerable”, comenta el redactor de Security By Default. “Hay un rico mercado brechas de seguridad en el que el FBI es uno de sus principales compradores”, continúa el especialista. Añade que “si tienes dinero puedes quebrantar a cualquiera”.

Como advierte Yago Jesús, es muy difícil no dejar rastro en la red incluso si se utiliza Tor y una máquina virtual para navegar. “Yo tendría bastante reparo a la hora de decir que existe un método hiperparanoide que me garantiza la privacidad”, revela el profesional en seguridad.

Además, el uso generalizado de Internet pasa por utilizar servicios que ya de por sí no son anónimos y que, según apunta José Carlos, “por mucho que utilices el Tor Browser no van a serlo”. Como indica el especialista, no sirve de nada si la IP es privada, o si el navegador está “configurado en modo maniático”, ya que al final “escribes comentarios en Facebook con tu nombre y apellidos”.

Por tanto, aunque algunas herramientas logran preservar parte de la identidad, esto se complica cuando la mayoría de usuarios, según Norte, “lo que quieren hacer es hablar con sus amigos o escribir comentarios que muy difícilmente sean anónimos”. Asimismo, como declara Yago Jesús, eliminar toda presencia resulta difícil porque “desde un punto de vista forense es sorprendente la cantidad datos en teoría eliminados que se pueden recuperar”.

Entonces, ¿se puede navegar de forma totalmente anónima? Como afirma el especialista de Security By Default, “yo creo que la privacidad te la da ponerte unas gafas de sol, irte a un locutorio, hacer lo que tengas que hacer, y marcharte”. Incluso si las acciones en la red fueran invisibles, para garantizar el anonimato habría que prescindir de redes sociales o expresar opiniones porque, según José Carlos, también podrían rastrearse. “imagina que escribo comentarios en eldiario.es a mi manera, con mis faltas de ortografía y todos mis hábitos. ¿Hasta qué punto Tor pinta nada aquí?”, indica el informático.

No obstante, las actualizaciones automáticas de navegadores como Chrome han logrado que se avance en materia de privacidad. Norte dice que “antes un bug duraba muchísimos años” y que existían muchos internautas con versiones antiguas de exploradores, con todos los riesgos de seguridad que esto conlleva. Ahora, según el programador, “Google siempre reacciona muy rápido con su equipo”.

A pesar de que existen algunos métodos para eliminar el rastro digital, como señala Yago Jesús, el anonimato difícilmente estaría garantizado. Entonces, ¿cómo hay que actuar en la Red? “No creas nunca que navegas de forma privada ni pretendas ser más listo que los demás”, dice el experto en ciberseguridad. Sobre todo, si la única protección es utilizar el modo incógnito.

“Yo tendría bastante reparo a la hora de decir que existe un método hiper paranoide que me garantiza la privacidad”, opina el experto en ciberseguridad Yago Jesús