Una reciente investigación ha demostrado que diversas empresas de seguimiento, marketing y análisis estadístico han recolectado las direcciones email de los usuarios que llenan formularios web antes de que sus respuestas sean enviadas y sin consentimiento previo.
Para esta investigación, a cargo de expertos de la Universidad de Radbound y la Universidad de Lausana, se analizó la forma en que los formularios web en 100,000 sitios web populares administran los datos recibidos en sus formularios.
En este proyecto, el equipo creó un software capaz de medir la recopilación de datos de emails y contraseñas de formularios web. En caso de que no recuerde, un formulario web es un cuadro de entrada a través del que los usuarios de un sitio web pueden ingresar sus datos y enviarlos a una aplicación local o remota.
El hecho de que los usuarios ingresen sus datos en un formulario y los envíen al sitio web en cuestión implica que se ha otorgado consentimiento para recolectar esta información; no obstante, algunos sitios web ejecutando código JavaScript pueden responder a eventos antes de que el usuario termine de enviar un formulario, recolectando información sin consentimiento previo.
Los investigadores concluyeron que las direcciones email de los usuarios de sitios web se filtran a los dominios de marketing y análisis antes de seleccionar la opción “Enviar” en al menos 2,920 sitios web en E.U., y en unas 1,844 plataformas en línea en la Unión Europea. En algunos casos, esta información se envía a los operadores de los sitios web sin codificación, cifrado o cualquier otra medida de seguridad.
Según el estudio, la mayoría de las direcciones email recolectadas de esta forma se enviaron a dominios de seguimiento conocidos, aunque los expertos reportan haber identificado 41 dominios de seguimiento que no se encuentran en ninguna de las listas de bloqueo populares.
Otro hallazgo interesante es la recopilación incidental de contraseñas en al menos 52 sitios web mediante scripts de reproducción de sesiones operados por terceros. Estos scripts están diseñados para registrar movimientos clave de los usuarios en un sitio web, incluyendo pulsaciones del teclado, patrones de movimiento del mouse y otras características.
Estas prácticas no pasarán desapercibidas para los reguladores de protección de datos. En sus conclusiones, los investigadores mencionan que esta recolección de direcciones email podría violar diversas disposiciones del Reglamento General de Protección de Datos de la Unión Europea (GDPR), lo que equivaldría a multas millonarias contra las empresas infractoras.
Actualmente E.U. no tiene una ley federal de privacidad de datos, aunque existen leyes estatales bajo las cuales podría sancionarse a las empresas infractoras. Aún así, los investigadores creen que estas legislaciones tienen un alcance limitado para abordar este problema adecuadamente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.