Guillem Alsina Gonzàlez
Alguna vez, antes de rellenar algún tipo de formulario online o validar mis credenciales de nombre de usuario y contraseña estando en un lugar público, he echado un vistazo a mi espalda antes de hacerlo, por si acaso alguien estaba mirando qué es lo que tecleaba. Y, si bien ya tenía razón en hacerlo, también debería haber pensado que me quedaba corto porque podía tener otro espía, este, no obstante, desde el interior: los llamados keyloggers, que no hacen otra cosa que capturar pulsaciones de teclado.
Habitualmente programas que se instalan en el sistema operativo, ayudan a los cibercriminales a obtener nombres de usuario, contraseñas, y las correspondientes direcciones de páginas web con las cuales utilizarlos, ya que lo que hacen los keyloggers es capturar todas y cada una de las teclas que pulsamos los usuarios, independientemente de si al final validamos la interacción por teclado, o no.
Una reciente investigación académica (Every Keystroke You Make: A Tech-Law Measurement and Analysis of Event Listeners for Wiretapping) se centra en una técnica concreta del ecosistema de rastreo web: el uso de funciones de JavaScript que escuchan eventos del teclado —los llamados event listeners— para registrar pulsaciones en tiempo real.
Tras analizar 15.000 sitios web seleccionados de entre una lista llamada Tranco, con 125.355 páginas y 312.741 formularios, los autores del estudio utilizaron el navegador web Google Chrome (el más utilizado por los usuarios actualmente, con el 70% del mercado en navegadores de sobremesa), interceptando el registro e invocación de escuchas de eventos (como keydown, keyup y keypress), simulando interacción en formularios y rastreando si los datos introducidos se envían a dominios de terceros.
La conclusión es que estamos sometidos a escuchas con mayor frecuencia de lo que pensamos: hasta el 91,48% de los sitios de la muestra utiliza event listeners, con una media de 48,8 por web, y el 81,3% de estas escuchas los instalan scripts de terceros.
No todos los usos son problemáticos, pero los autores aíslan los eventos de teclado por ser los que permiten interceptar el contenido de la comunicación entre usuario y sitio en el mismo instante en el que ocurre e, incluso, la información que no mandamos al sitio web; porqué ¿cuántas veces no habremos empezado a rellenar un formulario pero, antes de mandarlo, nos lo hemos pensado mejor y lo hemos dejado a medias?
Quienes, tras eso, han recibido un correu electrónico promocional en la dirección que habían tecleado, pero no había llegado a enviar, ya tienen una posible explicación al fenómeno, que podría no ser casual.
Con este filtro conservador, el 38,52% de los sitios instala escuchas de terceros capaces de capturar pulsaciones y, al menos, el 3,18% transmite lo capturado a servidores externos, lo que, según sus criterios, encaja con “intercepción + divulgación” tal y como se interpreta en parte de la jurisprudencia californiana sobre grabaciones ilícitas.
Dicha legislación, que previene la grabación y uso ilícitos de comunicaciones de carácter personal, nació para proteger a los ciudadanos de escuchas y, con el tiempo, se ha ido adaptando a los tiempos y las nuevas tecnologías, incluido el correu electrónico y otras comunicaciones digitales y, por ello, los investigadores la han tomado como referencia.
La mayor parte de estas transmisiones se apoya en keydown (3,10% de sitios) y keyup (1,42%), mientras que keypress, ya en desuso, aparece en menor medida (0,46%). En cuanto al tipo de datos, se observa exfiltración de texto libre (2,09% de los sitios), direcciones de correo electrónico (1,09%), números de teléfono (0,15%) e, incluso de forma marginal, contraseñas (0,01%) y URL (0,01%).
Pero, sin lugar a dudas, el hallazgo más relevante para los equipos de TI y compliance es lo que explicaba antes: que las direcciones de correo introducidas en formularios pueden capturarse y reutilizarse para envíos comerciales no solicitados aun sin llegar a pulsar “enviar”, con mensajes que pueden proceder de dominios ajenos al sitio visitado, lo que dificulta la atribución del origen de la filtración.
Por lo tanto, a partir de ahora, mucho cuidado no ya con lo que enviamos, sino con lo que escribimos en los formularios online aunque no acabemos pulsando el botón de enviar.
