¿CUALES SON LOS
RIESGOS DE LAS COOKIES INFORMÁTICAS Y POR QUE AHORA MUCHAS WEBS AVISAN DE SU USO?
Antes que nada, ¿Qué es
un cookie?
Una Cookie (informática) no es mas que un pequeño lote de información
que se envía y recibe desde por un sitio web. El propósito de este lote de información
es poder recordar al cliente (user) del
sitio web.
Generalmente cuando
un sitio web no utiliza cookies, simplemente envía la información solicitada
por la petición al usuario y luego cierra la conexión. Esto hace que el sitio
web olvide completamente de dicho usuario. Esto acarrea alguno problemas de
eficiencia ya que la próxima vez que el
usuario ingrese entrara como si fuese la primera conexión con dicho sitio, lo
que implica nuevamente la carga del proceso completo. Las cookies se almacenan
en el navegador del usuario, lo que implica que también se almacenen en el
dispositivo
La solución que se le dio a este problema fue la creación de
las cookies, las cuales tienen el propósito de almacenar información de
la sesión o acceso anterior a dicho sitio web, además de conocer otros aspectos
del comportamiento del usuario en la web.
¿Cuales son los problemas y riesgos de las cookies?
Cuando un sitio web envía o recibe una cookie, dicha cookie
contiene información privada del usuario del sitio web. Por ejemplo las contraseñas
o actividades previas del usuario, lo que ya de por si pone en cierto riesgo la
privacidad frente al sitio web que toma la información como por cuenta de posibles atacantes externos. El
hecho de que las cookies puedan almacenar información de los hábitos y
comportamiento del usuario en la web, ya de por si las hace una importante
herramienta de espionaje y vulneración de la privacidad. Además de ello existen
las cookies tipo “zombie” la cuales tiene la capacidad de reconstruirse una vez
han sido borradas del sistema ya que no se alojan directamente en el navegador.
Cookies Inyección
Las cookies son cadenas de estructura “Nombre=valor” que se envían a través de las cabeceras HTTP.
Esto las hace en cierta medida accesibles
a inyecciones que puedan modificar del DOM o el Front del sitio web. Por
ejemplo utilizando un script en javascript seria posible obtener una lista de cookies
del sitio web y modificarlas.
Ejemplo:
>>alert(document.cookie);
‘sesionID=juan’
>>document.cookie=’sesionID=jhonatan’
>>alert(document.cookie);
’sesionID=jhonatan’
De esta forma a través de una pequeña funcionalidad de
javascript podemos intercambiar las sesiones suplantando a otro usuario del
sitio web. Este solo es un pequeño ejemplo de las muchas cosas que se podrían hacer
aprovechando los fallos de seguridad con cookies.
Es importante por esto que se utilicen las Secure Cookies, debido
a que con este método se cifra la información que almacenan las cookies impidiendo así que estas estén expuestas a los
usuarios maliciosos. Sin embargo esto no impide
que el sitio tenga acceso excesivo a la privacidad del usuario. Es por
este motivo que cada vez son mas la legislaciones que le exigen a los sitios
web que avisen a los usuarios sobre la utilización de cookies e incluso les
exige que se les pida su consentimiento.
ARTICUL0
