Una nueva investigación da a los usuarios otra razón para odiar los anuncios no deseados

Una nueva investigación publicada esta semana revela que los adversarios en línea pueden ver o manipular el proceso utilizado por los anunciantes externos para dirigirse a los usuarios en línea utilizando solo la dirección de correo electrónico de su objetivo.

Un equipo de investigadores de cuatro personas del Instituto de Tecnología de Georgia, la Universidad de Illinois Chicago (UIC) y la Universidad de Nueva York (NYU) presentó sus hallazgos el miércoles en la Conferencia ACM sobre seguridad informática y de las comunicaciones (CCS), un lugar de seguridad de primer nivel. .

Hoy en día, gran parte de la publicidad que aparece en línea se adapta específicamente a las personas en función de su historial de navegación, ubicación y una variedad de otros factores que han sido recopilados por redes publicitarias de terceros.

Estos datos se recopilan mediante cookies de seguimiento, que envían redes publicitarias de terceros y se correlacionan con identificadores únicos, como direcciones de correo electrónico. Estas cookies permiten a los anunciantes crear perfiles extensos de usuarios de Internet; sin embargo, como descubrieron los investigadores, este sistema puede verse influenciado por malos actores.

Una vez que un atacante conoce la dirección de correo electrónico de un usuario, puede acceder a la información recopilada por cualquier anunciante externo que observe el flujo de anuncios dirigido de un usuario específico. Esto podría permitir a los delincuentes obtener información sobre el historial de navegación detallado de un individuo, como minoristas en línea y sitios web de viajes.

«Las redes publicitarias de terceros no tienen una relación directa con los usuarios. Por lo tanto, si quieren rastrear la actividad de los usuarios en todos los dispositivos, deben confiar en la información de identidad, como las direcciones de correo electrónico, que se les proporciona desde otros sitios web», dijo Paul Pearce, asistente profesor en la Escuela de Ciberseguridad y Privacidad (SCP) de Georgia Tech. «Nuestro trabajo muestra que la forma en que la información se transmite a las redes publicitarias es insegura y difícil de verificar. Si un atacante conoce la dirección de correo electrónico de una víctima, puede mentirle a la red publicitaria haciéndose pasar por un usuario, lo que genera problemas de privacidad muy reales. .»

Los investigadores describen esta susceptibilidad como un enredo de la identidad publicitaria y ocurre cuando los atacantes confunden las redes publicitarias para que correlacionen las cookies de seguimiento del atacante con la dirección de correo electrónico de una persona objetivo, integrándolas en los datos recopilados por terceros. Como afirman Pearce y sus colegas en su artículo, los adversarios también pueden aprovechar el proceso para enviar anuncios de cualquier tipo a sus objetivos.

«Cuando uso Internet en mi propio dispositivo privado, como un teléfono o una computadora portátil, no espero que nadie que conozca mi correo electrónico personal pueda manipular lo que veo», dijo Chris Kanich, profesor asociado de la UIC. «Este ataque es particularmente perturbador, y me alivia usar bloqueadores de publicidad y seguimiento en mis navegadores web».

Para probar la escala de este problema, los investigadores crearon usuarios y perfiles artificiales para su experimento, en ningún momento se apuntó a una persona real. Al conocer solo la dirección de correo electrónico del usuario experimental, el equipo pudo identificar elementos y sitios web específicos con los que interactuaba la víctima.

Junto con los hábitos de compra, la prueba también mostró que los anuncios redirigidos pueden contener información de ubicación confidencial. Por ejemplo, si una víctima interactuaba con algunos sitios web de hoteles y viajes, el atacante podría recibir anuncios redirigidos para el hotel específico que vio la víctima.

«Una red publicitaria que potencialmente filtra planes de viaje a cualquiera que tenga la dirección de correo electrónico de un objetivo es una amenaza importante para la privacidad y potencialmente peligrosa para las personas acosadas», dijo Damon McCoy, profesor asociado de la Universidad de Nueva York.

Los investigadores indican que combatir este problema sin el apoyo de las redes publicitarias es un desafío, pero los bloqueadores de anuncios brindan una opción inicial razonable para limitar la exposición de los datos privados de un usuario. Sin embargo, la mitigación de esta amenaza no debería recaer únicamente en los usuarios. El equipo también sugiere que si las redes publicitarias de terceros encriptaran el proceso de intercambio de información de identidad y se aseguraran de que los datos fueran verificados y correctos, ayudaría a mitigar la amenaza.

La investigación se presentó en ACM CCS 22. El documento, «Cart-ología: interceptación de publicidad dirigida a través del enredo de identidad de la red publicitaria», es coautor de SCP Ph.D. estudiante ChangSeok Oh, Kanich, McCoy y Pearce. De acuerdo con las pautas de investigación ética, la amenaza se reveló a Criteo, una de las redes publicitarias de terceros más grandes del mercado, así como a Yahoo.