Cookies: ¿funcionalidad o amenaza?

La entrada en nuestras vidas de internet ha supuesto una revolución que ha facilitado el intercambio de información, las relaciones a distancia, pero… ¿es realmente seguro? En ÁUDEA, Seguridad de la información encontrarás productos de análisis y detección de riesgos y, lo más importante: cómo solucionarlo de la mano de los mejores profesionales.

Seguramente hayas oido hablar de las cookies, unos pequeños archivos de texto que se cuelan en nuestro ordenador y que nos facilita la navegación por internet. Jesús Sánchez, director de ÁUDEA, Seguridad de la información, analiza en nuestro blog cuánta facilidad otorgan a los internautas y cuánto hay de riesgo.

———————————————————-

Las cookies son pequeños archivos de texto que se generan a través de las instrucciones que los servidores Web envían a los programas navegadores y que se guardan en directorios del disco duro del ordenador del usuario. Las cookies nacieron como una potente herramienta empleada por los servidores web para almacenar y recuperar información de sus visitantes. Dado que el http es un protocolo sin estados (no almacena el estado de la sesión entre las peticiones sucesivas), las cookies proporcionan una manera de conservar información de entre las peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente / servidor basadas en la web.

El almacenamiento se produce mediante una orden que envía el servidor visitado al navegador, por la cual se indica la creación en el disco de un pequeño fichero. En la mayoría de los casos, -ya que es la opción que se configura por defecto en los navegadores más utilizados en el mercado- este proceso se produce sin que el individuo tenga conocimiento del hecho, e incluso cuando lo tiene, ciertamente se encuentra coaccionado en su decisión, puesto que un rechazo de las mismas provocará la imposibilidad, en la mayoría de los casos, de acceder a los respectivos contenidos de los sitios web.

De esta forma, los administradores de sitios web que utilicen las cookies pueden acceder directamente desde el ordenador o a través de una red de área local y conocer todos los datos que se han obtenido, en la mayoría de los casos sin el consentimiento del usuario, mediante esta técnica.

Lo que en principio puede representar todo un abanico de ventajas al usuario, al permitir que los sitios web conservaran información con el fin de proporcionarle un servicio personalizado y eficiente en la navegación y acceso a la información, puede constituir también un poderoso instrumento capaz de vulnerar la intimidad, siempre que los datos obtenidos puedan asociarse a una persona identificada o identificable.

El sistema permite captar los accesos del usuario y almacenar datos con el fin de crear perfiles de usuario y remitir publicidad personalizada. Los datos obtenidos por estas técnicas pueden asociarse entre sí y a su vez vincularlos a otros obtenidos de fuentes diversas (como el nombre, dirección y teléfono extraídos de un directorio telefónico o el tipo de tarjeta de crédito extraído de un formulario anteriormente cumplimentado por el mismo sujeto para la compra de un producto). El administrador puede de este modo elaborar el perfil de un usuario perfectamente identificado, con sus gustos, preferencias, estilos de vida, etc.

En la actualidad se discute la propuesta de Directiva del Parlamento Europeo y del Consejo, relativa al tratamiento de datos personales y protección de la intimidad en el ámbito de las comunicaciones electrónicas, el uso de las cookies. La propuesta del Parlamento ha consistido en la prohibición del uso de las mismas, salvo que exista autorización previa del usuario, matizándose determinadas excepciones por motivos de seguridad nacional, defensa o investigación de delitos.

Por tanto, en base a estas tendencias legislativas y a que el derecho a la preservación de los datos personales es renunciable, merece una especial atención el modo en que se solicita el consentimiento para la obtención de información por medio de las cookies. En caso de existir una relación contractual entre el sujeto propietario de los datos y el administrador del sitio, el mismo puede otorgarse mediante una cláusula por la que se autoriza su tratamiento automatizado.

Otro modo de obtenerlo –esta vez de manera implícita- puede darse mediante una advertencia previa a la visualización de la página que ponga de manifiesto que el sitio contiene cookies o la previa exposición de la política de privacidad que rige los contenidos de la página web con el link de aceptación al final del mismo.