Esta herramienta protege sus datos privados mientras navega

Un equipo de científicos informáticos de la Universidad de California en San Diego y Brave Software han desarrollado una herramienta que aumentará la protección de los datos privados de los usuarios mientras navegan por la web.

La herramienta, llamada SugarCoat, apunta a los scripts que dañan la privacidad de los usuarios, por ejemplo, al rastrear su historial de navegación en la Web, pero son esenciales para que funcionen los sitios web que los integran. SugarCoat reemplaza estos scripts con scripts que tienen las mismas propiedades, menos las características que dañan la privacidad. SugarCoat está diseñado para integrarse en navegadores existentes centrados en la privacidad como Brave, Firefox y Tor, y extensiones de navegador como uBlock Origin. SugarCoat es de código abierto y actualmente se está integrando en el navegador Brave.

«SugarCoat es un sistema práctico diseñado para abordar el dilema perder-perder al que se enfrentan hoy las herramientas centradas en la privacidad: bloquear los scripts que dañan la privacidad, pero romper los sitios web que dependen de ellos; o mantener los sitios en funcionamiento, pero renunciar a la privacidad», dijo Deian Stefan, profesor asistente en el Departamento de Ingeniería y Ciencias de la Computación de UC San Diego. «SugarCoat elimina esta compensación al permitir que los scripts se ejecuten, preservando así la compatibilidad, mientras evita que los scripts accedan a datos privados del usuario».

Los investigadores describirán su trabajo en la Conferencia ACM sobre Seguridad Informática y de las Comunicaciones (CCS) que tendrá lugar en Seúl, Corea, del 14 al 19 de noviembre de 2021.

«SugarCoat se integra con las herramientas de bloqueo de contenido existentes, como los bloqueadores de anuncios, para permitir a los usuarios navegar por la Web sin renunciar a su privacidad», dijo Michael Smith, Ph.D. estudiante del grupo de investigación de Stefan, que dirige el proyecto.

La mayoría de las herramientas de bloqueo de contenido existentes toman decisiones muy generales: bloquean totalmente o permiten que se ejecute un script, en función de si aparece en una lista pública de scripts que dañan la privacidad. Sin embargo, en la práctica, algunos scripts perjudican la privacidad y son necesarios para que los sitios web funcionen, y la mayoría de las herramientas eligen inevitablemente hacer una excepción y permitir que estos scripts se ejecuten. Hoy en día, existen más de 6.000 reglas de excepción que permiten el paso de estos scripts que dañan la privacidad.

Sin embargo, hay un enfoque mejor. En lugar de bloquear un script por completo o permitir que se ejecute, las herramientas de bloqueo de contenido pueden reemplazar su código fuente con una versión alternativa que preserva la privacidad. Por ejemplo, en lugar de cargar scripts de análisis de sitios web populares que también rastrean a los usuarios, las herramientas de bloqueo de contenido reemplazan estos scripts con versiones falsas que tienen el mismo aspecto. Esto garantiza que las herramientas de bloqueo de contenido no rompan las páginas web que incorporan estos scripts y que los scripts no pueden acceder a datos privados (y, por lo tanto, informarlos a las empresas de análisis). Hasta la fecha, la elaboración de dichos scripts de reemplazo que preservan la privacidad ha sido una tarea lenta y manual, incluso para los expertos en ingeniería de privacidad. uBlock Origin, por ejemplo, mantiene reemplazos para solo 27 scripts, en comparación con las más de 6,000 reglas de excepción.

Cómo SugarCoat cambia el juego

Los investigadores desarrollaron SugarCoat precisamente para abordar esta brecha al generar automáticamente scripts de reemplazo que preservan la privacidad. La herramienta utiliza el marco de seguimiento PageGraph (Smith fue clave para el desarrollo del marco) para seguir el comportamiento de los scripts que dañan la privacidad en todo el motor del navegador.

SugarCoat escanea estos datos para identificar cuándo y cómo los scripts se comunican con las API de la plataforma web que exponen datos sensibles a la privacidad. SugarCoat luego reescribe el código fuente de los scripts para hablar con API falsas «SugarCoated» en su lugar, que se parecen a las API de la plataforma web pero en realidad no exponen ningún dato privado.

Para evaluar el impacto de SugarCoat en la funcionalidad y el rendimiento de la Web, el equipo integró los scripts reescritos en el navegador Brave; descubrieron que SugarCoat protegía eficazmente los datos privados de los usuarios sin afectar la funcionalidad o el rendimiento de carga de la página. SugarCoat ahora se está implementando en producción en Brave.

«Brave está emocionado de comenzar a implementar los resultados del proyecto de investigación SugarCoat de un año», dijo Peter Snyder, investigador senior de privacidad y director de privacidad de Brave Software. «SugarCoat le da a Brave y otros proyectos de privacidad una nueva y poderosa capacidad para derrotar a los rastreadores en línea y ayuda a mantener a los usuarios en control de la Web».