Política de cookies

Una cookie es una pequeña información mandada por un sitio web y almacenada en el navegador del usuario, de forma que el sitio puede preguntar la actividad previa del usuario.

Sus principales funciones son:

Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se guarda una cookie a fin de que no deba estar introduciéndolas para cada página del servidor. No obstante, una cookie no identifica solo a una persona, sino más bien a una combinación de PC-navegador-usuario.
Lograr información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por la parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus opositores.
Las cookies pueden ser borradas, admitidas o bloqueadas según desee, para ello solo debe configurar adecuadamente el navegador web.

Finalidad:

Las cookies son usadas frecuentemente por los servidores web para distinguir usuarios y para actuar de diferente forma en dependencia de éstos.

Un empleo de las cookies es identificarse en un sitio web. Los usuarios en general se identifican introduciendo sus credenciales en una página de validación; las cookies permiten al servidor saber que el usuario ya está validado, y por ende se le puede permitir acceder a servicios o bien efectuar operaciones que están limitadas a usuarios no identificados.

Otros sitios emplean las cookies para personalizar su aspecto según las preferencias del usuario. Los sitios que requieren identificación de manera frecuente ofrecen esta característica, aunque asimismo está presente en otros que no la requieren. La personalización incluye tanto presentación como funcionalidad.

Las Cookies se emplean también para efectuar seguimientos de usuarios durante un sitio. El seguimiento en un mismo sitio en general se hace con la intención de sostener estadísticas de empleo, mientras que el seguimiento entre sitios generalmente se orienta a la creación de perfiles de usuarios anónimos por la parte de las compañías de publicidad, que luego se usarán para orientar campañas de publicidad (decidir qué tipo de publicidad utilizar) basadas en perfiles de usuarios.

Mentiras:

Desde su introducción en Internet han circulado ideas equivocadas acerca de las cookies. En dos mil cinco Jupiter Research publicó los resultados de una investigación, conforme el cual un esencial porcentaje de entrevistados creían cierta alguna de las siguientes afirmaciones:

Las cookies son afines a gusanos y virus en que pueden borrar datos de los discos duros de los usuarios.
Las cookies son un tipo de spyware pues pueden leer información personal almacenada en el computador de los usuarios.
Las cookies generan popups.
Las cookies se usan para generar spam.
Las cookies sólo se usan con fines publicitarios.
Realmente, las cookies son solo datos, no código, luego no pueden borrar ni leer información del ordenador de los usuarios. No obstante, las cookies permiten advertir las páginas visitadas por un usuario en un lugar determinado o bien conjunto de sitios. Esta información puede ser compendiada en un perfil de usuario. Estos perfiles son habitualmente anónimos, es decir, no poseen información personal del usuario (nombre, dirección, etc). En verdad, no pueden contenerla salvo que el propio usuario la haya comunicado a ciertos sitios visitados. Pero si bien anónimos, estos perfiles han sido objeto de algunas preocupaciones relativas a la privacidad.

Según exactamente el mismo informe, un gran porcentaje de los usuarios de Internet no saben cómo borrar las cookies.

Configuración:

La mayoría de los navegadores modernos soportan las cookies. No obstante, un usuario puede normalmente elegir si las cookies habrían de ser empleadas o no.

El navegador asimismo puede incluir la posibilidad de especificar mejor qué cookies tienen que ser aceptadas y cuáles no. Concretamente, el usuario puede por norma general admitir alguna de las siguientes opciones: rechazar las cookies de determinados dominios; rechazar las cookies de terceros; admitir cookies como no persistentes (se eliminan cuando el navegador se cierra); permitir al servidor crear cookies para un dominio diferente. Además de esto, los navegadores pueden también permitir a los usuarios ver y borrar cookies individualmente.

Seguridad:

Las cookies tienen implicaciones esenciales en la privacidad y el anonimato de los usuarios de la página web. Aunque las cookies solo se envían al servidor que las definió o bien a otro en exactamente el mismo dominio, una web puede contener imágenes y otros componentes guardados en servidores de otros dominios. Las cookies que se crean durante las peticiones de estos componentes se llaman cookies de terceros.

Las compañías promocionales usan cookies de terceros para realizar un seguimiento de los usuarios a través de múltiples sitios. En concreto, una compañía promocional puede seguir a un usuario a través de todas y cada una de las páginas donde ha puesto imágenes promocionales o web bugs. El conocimiento de las páginas visitadas por un usuario deja a estas compañías dirigir su publicidad conforme las presuntas preferencias del usuario.

La posibilidad de crear un perfil de los usuarios se ha considerado como una potencial amenaza a la privacidad, aun cuando el seguimiento se restringe a un solo dominio, mas especialmente cuando es mediante múltiples dominios a través de el uso de cookies de terceros. Por esa razón, algunos países tienen legislación sobre cookies.

La directiva de la Unión Europea de 2002 sobre privacidad en las telecomunicaciones contiene reglas sobre el uso de cookies. Específicamente, en el artículo cinco, párrafo tres establece que el almacenaje de datos (como cookies) en el computador de un usuario solo puede hacerse si:

el usuario recibe información sobre de qué manera se emplean esos datos;
el usuario tiene la posibilidad de rehusar esa operación.
Sin embargo, este artículo asimismo establece que almacenar datos que son necesarios por motivos técnicos está tolerado como excepción.

Aparte de lo tocante a la privacidad que ya se ha mentado, hay otras razones por las que el uso de cookies ha recibido cierta oposición: no siempre y en toda circunstancia identifican correctamente a los usuarios, y se pueden emplear para ataques de seguridad.

Identificación imprecisa

Si se emplea más de un navegador en un computador, cada uno tiene su almacenaje de cookies. Por tanto, las cookies no identifican a una persona, sino a una combinación de cuenta de usuario, ordenador y navegador. De esta manera, cualquiera que utilice varias cuentas, múltiples ordenadores, o múltiples navegadores, tiene también múltiples conjuntos de cookies.

De exactamente la misma manera, las cookies no diferencian entre múltiples personas que empleen exactamente el mismo computador o bien navegador, si éstos no emplean diferentes cuentas de usuario.

Hurto de cookies

Durante el funcionamiento normal, las cookies se mandan en los dos sentidos entre el servidor (o bien grupo de servidores en exactamente el mismo dominio) y el ordenador del usuario que está navegando. Puesto que las cookies pueden contener información sensible (nombre de usuario, un testigo utilizado como autenticación, etc.), sus valores no habrían de ser accesibles desde otros ordenadores. No obstante, las cookies enviadas sobre sesiones HTTP normales son perceptibles a todos y cada uno de los usuarios que pueden percibir en la red utilizando un sniffer de bultos. Estas cookies no deben contener por ende información sensible. Este problema se puede solucionar a través de el empleo de https, que invoca seguridad de la capa de transporte para cifrar la conexión.

El scripting entre sitios permite que el valor de las cookies se envíe a servidores que normalmente no recibirían esa información. Los navegadores modernos dejan la ejecución de segmentos de código recibidos del servidor. Si las cookies están accesibles durante la ejecución, su valor puede ser comunicado de alguna manera a servidores que no deberían acceder a ellas. El proceso que deja a una parte no autorizada recibir una cookie se llama hurto de cookies, y el cifrado no sirve contra este tipo de ataque.

Esta posibilidad es explotada en general por atacantes de sitios que dejan a los usuarios el envío de contenido HTML. Introduciendo un segmento de código adecuado en un envío HTML, un atacante puede recibir las cookies de otros usuarios. El conocimiento de estas cookies puede después ser explotado mediante la conexión a los sitios en los que se utilizan las cookies robadas, siendo de esta manera identificado como el usuario a quien se le birlaron las cookies.

Falsificación de cookies

Aunque las cookies deben ser guardadas y enviadas de vuelta al servidor sin alterar, un atacante podría alterar el valor de las cookies antes de devolverlas. Si, por poner un ejemplo, una cookie contiene el valor total de la adquisición de un usuario en un sitio web, cambiando ese valor el servidor podría permitir al atacante pagar menos de lo debido por su compra. El proceso de alterar el valor de las cookies se denomina falsificación de cookies y de manera frecuente se realiza tras un hurto de cookies para hacer un ataque persistente.

Sin embargo, la mayoría de los sitios web solo guardan en la cookie un identificador de sesión —un número único usado para identificar la sesión del usuario— y el resto de la información se almacena en el propio servidor. En un caso así, el problema de la falsificación de cookies queda prácticamente eliminado.

Cookies entre sitios (cross-site cooking)

Cada lugar debe tener sus propias cookies, de manera que un sitio malo.net no tenga posibilidad de alterar o delimitar cookies de otro lugar como bueno.net. Las vulnerabilidades de cross-site cooking (cookies entre sitios) de los navegadores permiten a sitios maliciosos romper esta regla. Esto es similar a la falsificación de cookies, pero el atacante se aprovecha de usuarios no malintencionados con navegadores vulnerables, en vez de atacar el sitio de forma directa. La meta de estos ataques puede ser efectuar una fijación de sesión (robo de sesión en un sitio).