Como cada mes, volvemos con un nuevo boletín en el que conoceremos más en detalle qué son las cookies y algunas sanciones a las que se han enfrentado grandes empresas por estas.
Con la entrada en vigor del Reglamento General de Protección de Datos, de 2016, todas las páginas webs que recaben información sobre la navegación de los usuarios han sido obligadas a informar de esto a través de las conocidas cookies. El incumplimiento de ello o la falta de detalles puede derivar en sanciones económicas, desde 2018. Así lo hemos podido ver en casos como el de la famosa red social TikTok que, según informa TechRadar, se enfrenta a una multa enorme por información insuficiente sobre las cookies. La multa asciende a un total de 5 millones de euros, como consecuencia de la dificultad que se detectó para rechazar el uso de cookies, considerando que la aceptación de estas era más sencilla.
Otro de los ejemplos más recientes y más comentado fue la sanción que aplicó la Agencia Española de Protección de Datos (AEPD), el pasado año 2022 al gigante Google LLC, por ceder datos a terceros sin legitimación y obstaculizar el derecho a la supresión, así lo informa la propia AEPD. El organismo español detectó dos infracciones graves e impuso una sanción que supone un total de 10 millones de euros, adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen y suprimir todos los datos personales que así hayan sido solicitados e instar a este último a hacerlo también.
Un estudio realizado por la empresa Avast concluye que el 60% de los españoles acepta las cookies sin tener conocimientos sobre ellas. Por todo ello, es importante que todo el mundo conozca qué son las cookies y cómo funcionan.
Se conocen como cookies a pequeños archivos de datos que se almacenan en los ordenadores de los usuarios cuando visitan páginas web. Estas pueden almacenar datos como credenciales de usuario o el comportamiento en la navegación por la página.
Como bien describen desde ayudaley, estos archivos tienen diversas funcionalidades. Una de las más importantes es que permiten a las páginas web reconocer a los usuarios y almacenar sus credenciales evitando que deban identificarse en cada acceso que realizan.
Otro de los usos más comunes de estos ficheros es recordar el comportamiento y los hábitos que tienen los usuarios en su navegación, permitiendo mejorar la experiencia de estos y adaptar los anuncios a las necesidades de estos.
Con el fin de facilitar la incorporación de las cookies a las páginas web, la AEPD, ha creado una guía de referencia en la que podemos identificar además los tipos de cookies que existen y ejemplos de aplicación de estas. Así pues, la AEPD divide las cookies en función de quién las gestione, que pueden ser propias o de terceros y, por otro lado, en función de su finalidad, que pueden ser técnicas, de preferencias o personalización, análisis o medición y de publicidad. Finalmente, la AEPD también las divide en función del tiempo que se mantienen, que pueden ser de sesión o persistentes.
Además, en esta guía, y con la finalidad de evitar que los organismos puedan ser sancionados, establece una ayuda sobre qué información deben facilitar las cookies. Para ello, y basándose en el artículo 22 de la ley LSSI, se define que estos archivos deben facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.
Debemos tener en cuenta que toda esta información almacenada, puede ser vulnerada y aprovechada por atacantes cibernéticos también. Actualmente, existen diversos métodos para extraer estos archivos y obtener información como credenciales de usuario o datos personales.
Algunos de estos, los podemos identificar en el blog de esedsl, entre los que destacan:
- Session sniffing: a través de un analizador de paquetes, los atacantes pueden extraer las cookies que forman parte del tráfico de red.
- Redes Wifi: Con la conexión a redes públicas, se puede analizar el tráfico y robar cookies de los usuarios.
- Session fixation: A través de técnicas como el phishing, se pueden enviar enlaces maliciosos y conocer el ID de sesión del usuario.
Incidentes ya visibles relacionados con ciberataques por cookies los hemos podido ver con la alerta de una campaña de phishing que obtiene las cookies de sesión para lanzar un ataque BEC con el que robar dinero, así lo informa el periódico europapress. Para ello, los atacantes establecieron un punto medio entre el usuario y el servidor destino y pudieron interceptar el inicio de sesión del usuario, con el que extrajeron además la cookie. Con esta, los atacantes pueden replicar el inicio de sesión.
Finalmente, os dejamos una serie de recomendaciones descritas por esedsl:
- Cerrar sesión de todos los sitios web
- Eliminar cookies de navegación
- Mantener los sistemas actualizados.
- No acceder a enlaces desconocidos.