Nueva técnica para identificar navegadores web y usuarios en línea [Paper]

Los sitios web, los bancos, anunciantes supervisan las actividades en línea de los usuarios utilizando diferentes técnicas denominadas de forma general "fingerprinting", incluso en modo incógnito.

Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de "huellas dactilares de navegadores". Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea. 

La nueva técnica se puede encontrar en un trabajo de investigación titulado (Cross-)Browser Fingerprinting via OS and Hardware Level Features [PDF] por Yinzhi Cao y Song Li de Lehigh University y Erik Wijmans de la Universidad de Washington en St. Louis. 

Los métodos de huellas digitales conocidos anteriormente usualmente sólo funcionan en un único navegador, pero este nuevo método utiliza las características del sistema operativo y de hardware y es capaz de funcionar en varios navegadores. La nueva técnica se basa en muchas nuevas características del sistema operativo y del hardware, especialmente en las propiedas de la placa gráficas.

Por ejemplo, la tecnología puede utilizarse para identificar la máquina mediante la realización de 20 tareas de WebGL utilizadas para renderizar gráficos 3D en navegadores web. Las características probadas actualmente incluyen la zona horaria, el número de núcleos de la CPU, la GPU, los valores de hash de los resultados de renderizado de la GPU, los complementos, las fuentes, el audio, la proporción y la profundidad de la pantalla, WebGL, bloqueo de anuncios, lienzo, cookies, codificación y lenguaje.

Los investigadores proporcionaron una demostración práctica y el código fuente en GitHub. Realizaron una prueba que incluyó 3.615 huellas dactilares y 1.903 usuarios y encontró que su método identificó con éxito el 99.2% de los usuarios. Por otro lado, la técnica para identificar el navegador, llamada AmIUnique, tuvo una tasa de éxito del 90,8%.

Además de los comercios, los bancos pueden utilizar esta técnica para comprobar si un usuario que inicia sesión en una cuenta en línea utiliza el mismo equipo que ha utilizado en visitas anteriores, asegurando de que el inicio de sesión es legítimo, incluso si el usuario utiliza una máquina diferente a la habitual.

Los investigadores planean presentar su trabajo en el Network and Distributed System Security Symposium programado para el 26 de febrero al 1 de marzo en San Diego, California.

Fuente: The Hacker News