cookies

HHaabbii ll ii ttaacciióónn

PPrrooffeessiioonnaall

CCOOOOKKIIEESS

� José Daniel Muccela �

H A B I L I T A C I Ó N P R O F E S I O N A L

A

HHaabbii ll ii ttaacciióónn PPrrooffeessiioonnaall

Temas:

� Cookies. Descripción. Usos.

� Seguridad ante las Cookies. Riesgos. ¿Cookies = Violación de la Privacidad?

� Aspecto Legal Relacionado a las Cookies.

Profesor: Ing. Wilo Carpio Cáceres

Alumno: � José Daniel Muccela

Legajo: 11-20196 Fecha de Presentación: 08/08/2005

Universidad Tecnológica Nacional Facultad Regional Tucumán



A

Índice

Pág.

� Prologo A � Cookies. Descripción. Usos. Descripción 1 ¿Dónde se almacenan? 1 Composición de las cookies 2 Mas componentes 2 Componentes en JavaScript 3 Componentes en ASP 3

� Usos. 5 Marketing Personalizado 5 Usos bien vistos 6 Usos no tan bien vistos 6

� Seguridad ante las Cookies. Riesgos. ¿Cookies = Violación de la Privacidad? Seguridad ante las cookies 7 Riesgos 8 Riesgos Imaginarios 8 Riesgos Reales 9 ¿Cookies = violación de la privacidad? 10 El reverso tenebroso de las cookies 10

� Aspecto Legal Relacionado a las Cookies 11

� Bibliografía 13



A

PRÓLOGO: En los últimos meses las cookies han atraído un interés considerable en publicaciones sobre temas relacionados con los ordenadores, la Internet y la seguridad. A pesar de que los grupos de anunciantes mantienen una guerra particular con ciertas organizaciones que promueven la intimidad en la Red, lo cierto es que las cookies continúan usándose extensivamente. La mayoría de los usuarios ya pueden rechazar a voluntad las cookies desde sus navegadores o bien desde un número cada vez mayor de programas y extensiones al navegador que las bloquean. De esta manera son libres de elegir si prefieren la navegación con cookies o sin ellas, de decidir si desean arriesgar su intimidad a cambio de ciertas comodidades y de una navegación más individualizada. Con el tiempo se verá cuál es el destino de las cookies, si caerán en el olvido o se convertirán en estándar aceptado para extender las posibilidades del protocolo HTTP. Lo más importante es que entretanto los usuarios de Internet sean informados acerca de la naturaleza real de las cookies, quiénes las usan y para qué, y qué riesgo real suponen para su intimidad. Mientras no surjan estándares al respecto, nada como la información para combatir los miedos irracionales.

1


� COOKIES. DESCRIPCIÓN. USOS � Descripción: Las cookies constituyen una potente herramienta empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes. Dado que el Protocolo de Transferencia de HiperTexto (HTTP) es un protocolo sin estados (no almacena el estado de la sesión entre peticiones sucesivas), las cookies proporcionan una manera de conservar información entre peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente/servidor basadas en la Web. Mediante el uso de cookies se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc. Una cookie no es más que un fichero de texto que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro, con información acerca de lo que hemos estado haciendo por sus páginas. Entre las mayores ventajas de las cookies se cuenta el hecho de ser almacenadas en el disco duro del usuario, liberando así al servidor de una importante sobrecarga. Es el propio cliente el que almacena la información y quien se la devolverá posteriormente al servidor cuando éste la solicite. Además, las cookies poseen una fecha de caducidad, que puede oscilar desde el tiempo que dure la sesión hasta una fecha futura especificada, a partir de la cual dejan de ser operativas. � ¿Dónde se almacenan? Las cookies no las escribe el servidor, sino que es el propio navegador del cliente quien almacena la cookie en su disco duro.

Si queremos ver exactamente dónde se esconden las cookies veamos varias instrucciones para distintos sistemas operativos que nos permitirán rastrearlo:

Win 3.x En el Administrador de archivos, en Archivo, selecciona Buscar y en la ventanita a tal efecto escribe cookies.txt

Win95 o WinNT Pulsa Inicio, selecciona Buscar y luego Archivos o carpetas…, escribe cookies.txt

Unix Escribe en la línea de comandos: find . -name cookies

Ahí tienes dónde se almacena la graciosa cookie con Netscape. Si todavía usas Microsoft Internet Explorer, busca en el directorio Win95 o WinNT, y encontrarás un directorio llamado Cookies. Ahí se esconden las pícaras. Verás que a diferencia del Netscape, existe un fichero por cada cookie, con el siguiente aspecto: <identificador de usuario>@<dominio.txt>, donde dominio

2


es la dirección de la máquina o bien el directorio (si es que no es el raíz) desde donde se envió la cookie. Bueno, otra filosofía de implementación, que no tiene mayor importancia.

Para ver qué se cuece dentro de la caja de las cookies no tienes más que editarlas con cualquier editor de texto. Sin embargo, debido a que las cookies se almacenan en memoria hasta que sales del navegador, momento en que se escriben en el disco, no es posible ver qué cookies has aceptado en tu fichero cookies.txt hasta que sales. Pero si escribes el siguiente comando JavaScript en la barra de direcciones:

JavaScript:alert(document.cookie);

mientras estás conectado al sitio sospechoso, aparecerá un cuadro informándote de las cookies que te han colocado.

� Composición de las cookies:

Vamos a examinar a continuación la lista de componentes de una cookie. Tomaremos como ejemplo la cookie de Netscape.

Cada cookie representa una pequeña porción de información con una fecha de caducidad opcional, que se añade al fichero o directorio de cookies con el siguiente formato:

nombre = valor; expires = fechaCaducidad;

donde “nombre” es el nombre del dato almacenado, y “valor” representa su valor. La fecha de caducidad es un parámetro opcional que indica el tiempo que se conservará la cookie. Si no se especifica el valor de “expires”, la cookie caduca cuando el usuario sale de la sesión en curso con el navegador. Por consiguiente, el navegador conservará y recuperará la cookie sólo si su fecha de caducidad aún no ha expirado.

� Más componentes:

No obstante, si editamos el fichero de cookies, veremos que aparecen muchos más datos, algunos bastante crípticos. Bien, vamos a analizarlos uno por uno.

Un dominio: Se trata de un nombre de dominio parcial o completo para el cual será válida la cookie. El navegador devolverá la cookie a todo host que encaje con el nombre de dominio parcial. Por ejemplo, si especificas un nombre de dominio de la forma “.ehu.es”, entonces el navegador devolverá la cookie a servidores Web alojados en cualquiera de las máquinas “www.bi.ehu.es”, “bidx01.bi.ehu.es”, “www.lg.ehu.es”, etc. Los nombres de dominio deben incluir al menos dos puntos para evitar intentos fraudulentos de encajar dominios de alto nivel como “.es”. Si no se especifica ningún dominio, entonces el navegador sólo devolverá la cookie a la máquina que la originó. Además, este atributo viene acompañado de un flag que indica si todas las máquinas dentro del dominio especificado pueden acceder a la variable.

3


Un camino: Cuando se suministra el atributo de camino para la cookie, el navegador lo contrastará con el URL de tu script antes de devolver la cookie. Por ejemplo, si especificas el camino “/cgi-bin”, entonces la cookie será devuelta a scripts de la forma “/cgi-bin/pedido.pl”, “/cgi-bin/datos.pl” y “/cgi-bin/ficha_cliente/credito.pl”, pero no al script “/cgi-administrador/webmaster.pl”. Por defecto, el camino se establece al camino del documento HTML o guión CGI que emitió la cookie, lo que hace que la cookie se envíe a cualquier guión en CGI o documento HTML que cuelgue de ese directorio. Secure: Este atributo indica que la cookie sólo será transmitida a través de un canal seguro con SSL.

El fichero cookies.txt se lee al abrir el navegador. A partir de ese momento el uso de cookies se gestiona en memoria y al cerrar el navegador se almacenarán en el fichero aquellas cookies que no hayan caducado (las que no especifican fecha de caducidad caducan al terminar la sesión).

Componentes en JavaScript:

Las cookies son fácilmente accesibles a través de la propiedad cookie del objeto document, tanto para leerlas como para escribirlas. document.cookie devuelve una cadena conteniendo los cookies existentes en nuestra página. Manipulando esta cadena con las funciones de manejo de Strings disponibles es posible localizar la información a extraer, en caso de lectura, o a escribir, en caso de enviar una cookie.

La forma más sencilla de enviar una cookie es mediante la siguiente instrucción en JavaScript:

document.cookie='ejemplo=cookie'

Como ya hemos explicado, la forma de visualizar esta propiedad es mediante un sencillo mensaje de alerta:

JavaScript : alert(document.cookie); Componentes en ASP:

Las Páginas Activas de Servidor (Active Server Pages) o ASP para abreviar, representan el paradigma de la filosofía de Microsoft en su estrategia para Internet. A diferencia de otros productos de Microsoft, como los controles ActiveX o los guiones en VisualBasic (VBScript), las aplicaciones ASP se procesan y ejecutan en el servidor y no en el cliente, siendo en este sentido parecidas a las aplicaciones CGI, pero integrando otros servicios y aplicaciones Microsoft, todo ello utilizando el lenguaje Visual Basic como aglutinante.

El bloque básico de construcción de las aplicaciones ASP lo constituyen los objetos de Servidor Activo. En particular, las cookies pertenecen a la colección Cookies y se utilizan dos objetos del servidor, Response y Request, para enviarlas y recibirlas, respectivamente.

4


En una primera instancia, las cookies se podrían leer recuperando la variable de entorno HTTP_COOKIE por medio de Request.ServerVariables ("HTTP_COOKIES") , como hacíamos en CGI, pero en cambio utilizaremos la llamada a Request.Cookies, que extrae de la colección de cookies todas aquellas que el servidor esté autorizado a leer del disco duro del usuario (en función del valor del campo domain ). La sintaxis es muy sencilla:

Request.Cookies ("nombre_cookie") [("nombre_clave") ]

Las claves son opcionales (por eso están entre corchetes, indicando que si quieres las pones y si no, pues no) y su concepto se asemeja al de las entradas en un diccionario, es decir, un nombre y su valor (o definición). Veamos un ejemplo concreto: queremos una cookie que almacene el nombre y apellido de un usuario, para lo cual mandaremos la siguiente cookie:

cliente = "nombre=Gonzalo&apellido=Alvarez"

donde cliente es el nombre de la cookie, nombre es la primera clave, de valor igual a Gonzalo y apellido es la segunda clave, de valor igual a Alvarez. La forma de recuperar en el servidor esas claves será:

Request.Cookies ("cliente") ("nombre") Request.Cookies ("cliente") ("apellido")

Una llamada a Request.Cookies directamente devolverá todas las cookies (todas las parejas nombre-valor) de la colección de cookies, en forma de cadena:

strQuery = Request.Cookies

Ojo, que estará codificado en el formato URL (escapando caracteres como ñ, ~, &, etc.).

Fácil, ¿verdad? Pasemos a ver cómo hace el servidor para enviar cookies. Para ello utilizaremos la llamada a Response.Cookies . Hay que tener en cuenta que Response.Cookies pertenece a las cabeceras HTTP, lo cual significa que se debe enviar antes que el contenido de la página. Es decir, debe ir antes que las etiquetas <HTML>, <HEAD>, etc. En este caso, la sintaxis es:

Response.Cookies ("nombre_cookie") [("nombre_clave" )] = "valor de la cookie"

Ahora el nombre de clave ya nos es familiar. Por supuesto es opcional y si queremos incluir varias claves en la misma cookie, se podría hacer de la siguiente forma:

Response.Cookies("cliente")("nombre") = "Gonzalo" Response.Cookies("cliente")("apellido") = "Alvarez"

Para dar valor al resto de atributos, se utiliza la sintaxis:

Response.Cookies ("nombre_cookie").Expires = fecha Response.Cookies ("nombre_cookie").Domain = "domini o"

5


Response.Cookies ("nombre_cookie").Path = "camino" Response.Cookies ("nombre_cookie").Secure = valor

Por ejemplo, para enviar la cookie, con el nombre y apellido del cliente y que caduque en un año, para nuestro dominio y a partir del directorio raíz, haremos:

Response.Cookies ("cliente")("nombre") = "Gonzalo" Response.Cookies ("cliente")("apellido") = "Alvarez " Response.Cookies ("cliente").Expires = Date + 365 Response.Cookies ("cliente").Path = "/" Response.Cookies ("cliente").Domain = ".iec.csic.es " Response.Cookies ("cliente").Secure = 1

� Usos:

Cuando se crearon, las cookies tenían como objetivo favorecer al usuario. Al permitir que los sitios Web “recordasen” a los visitantes, se les podía ofrecer un servicio individualizado, avisarles de novedades y liberarles de ciertas tareas engorrosas de identificación. Algo parecido a entrar en un restaurante y que el camarero nos llame por nuestro nombre, nos siente en nuestra mesa favorita, nos sirva nuestro vino preferido y nos sugiera el nuevo menú que según nuestros gustos seguramente nos agradará. Sin embargo, esa capacidad de recordar constituye el instrumento del que se sirven para rastrearnos. De ahí surge la preocupación por la intimidad y el potencial para violarla de las cookies.

Marketing personalizado:

¿A quién no le ha sucedido recibir una cookie por ejemplo, de una compañia mientras visitaba un sitio que aparentemente nada tenía que ver con ella? Que tú sepas, nunca has visitado sus páginas ni has mantenido relación con ellos. El navegador te ha avisado de que vas a recibir una cookie de esa empresa, pero no sabes muy bien por qué, si en realidad no estás visitando su sitio ni lo has hecho anteriormente.

La respuesta, sin embargo, es bien sencilla. Si miras en la cabecera de la página, verás que aparece un espacio publicitario o banner. Pues bien, siguiendo con el ejemplo, este anuncio ha sido cargado desde un servidor de dicha compañia. Según ellos, su labor consiste en centralizar la planificación, ejecución, control, rastreo y presentación de informes para campañas publicitarias en línea de fuerte impacto, combinando para ello las últimas tecnologías de red y su experiencia en los medios de comunicación de masas. En definitiva, buscan crear soluciones que ayuden a los anunciantes y casas publicitarias a sacar el máximo partido del potencial de la Web para promoción de marcas, venta de productos y creación de relaciones comerciales con clientes.

Usos bien vistos Personalización de las páginas

6


A menudo se nos presenta la posibilidad de elegir entre navegar con o sin frames. A veces nos dan a elegir incluso el color del fondo o el tipo de letra. Toda esta información queda almacenada en una cookie, para que en visitas posteriores las páginas aparezcan a nuestro gusto, sin el engorro de ir apretando botones de configuración. Idioma Nos hemos topado más de una vez con páginas que nos ofrecen la posibilidad de elegir entre varios idiomas. Pues bien, si la primera vez que me conecto y elijo un idioma determinado, esta información se almacena en una cookie, las próximas veces que acceda a esas páginas, el texto aparecerá en el idioma seleccionado. Tiendas electrónicas Se han desarrollado sistemas de venta que almacenan en una cookie los gustos del usuario basándose en las páginas visitadas cuando accede para efectuar sus pedidos. Así, en lo sucesivo, cuando se conecte de nuevo, se le puede informar de las últimas novedades en aquellos artículos de su preferencia. Carritos de la compra Permiten recordar los artículos que un cliente va adquiriendo a medida que se mueve por las páginas del catálogo, como si los estuviera cargando en un carrito de la compra virtual, de manera que no tenga que ir pagándolos uno a uno, sino pagarlos todos de una vez cuando vaya a la página de pago Usos no tan bien vistos Seguimiento de las visitas a un Web He aquí una aplicación controvertida. Su objetivo es mantener un historial de las páginas visitadas por los usuarios dentro del servidor con el fin de conocer cuáles son las páginas menos visitadas, páginas a las que llega la gente pero de las que luego no sabe salir o de las que salen por falta de interés. También permiten recabar registros más exactos sobre el número de visitantes a una página, ya que las cookies permiten diferenciar 30 personas distintas visitando un sitio de una misma persona pulsando 30 veces el botón de recargar. Sin embargo, muchos piensan que se trata de una violación de la intimidad. Carteles publicitarios Muchas páginas muestran distintos anuncios o espacios publicitarios (banners) cada vez que nos conectamos a ellas. La forma de hacerlo es guardar en una cookie el identificador del último anuncio que nos han mostrado, de manera que la cada vez que nos conectemos nos presenten uno distinto. Marketing personalizado Se trata de la aplicación con fines comerciales más extendida. Las cookies se pueden emplear para construir un perfil de usuario con los lugares visitados, los anuncios (banners) que se

7


han seguido, los productos comprados, etc. Esta información es posteriormente usada para enviarle anuncios que ellos creen le pueden interesar, así como para variar los anuncios mostrados (ver párrafo anterior). Ahora bien, ¿y si la compañía vende esta información a terceros? La polémica está servida. Almacenamiento de nombre y contraseña Todos hemos visitado sitios en los que nos piden nombre y contraseña para poder acceder a su contenido. Algunos de estos sitios además almacenan estos datos en una cookie que se guarda en el disco duro del usuario. De esta forma, la siguiente vez que acceda no se le volverá a pedir su nombre y contraseña. Si bien ningún otro servidor puede acceder a esta información, cualquier usuario accediendo físicamente al ordenador puede leer la cookie que contiene estos datos. Por ello, conviene almacenarlos cifrados, y también que caduquen al poco tiempo, días o incluso horas. Almacenamiento de información sensible Aunque parezca mentira, existen sitios que almacenan nuestro número de tarjeta en una cookie, para que en futuras transacciones comerciales con ellos no tengamos que introducirlo. Mejor no tener transacciones con gente así. Si bien las cookies podrían enviarse sobre SSL, también deberían cifrarse en el disco duro del usuario.

� SEGURIDAD ANTE LAS COOKIES. RIESGOS. ¿COOKIES = VIOLACIÓN DE LA PRIVACIDAD?

� Seguridad ante las Cookies:

Como vimos, aunque no presentan tanto peligro como los virus, las "cookies" son pequeños archivos que se instalan discretamente durante nuestros recorridos por la Web. Pueden ser espías como Cookie:[email protected]/ pero también pueden conservar datos útiles para ganar tiempo durante la navegación como Cookie:[email protected]/. Más vale saber lo que se hace antes de destruirlas aunque su eliminación total no suele presentar ningún problema grave.

A continuación, algunas medidas de protección, a través de la Configuración de los navegadores:

Microsoft Internet Explorer

Dónde están Suelen estar en la carpeta Temporary Internet Files.

Cómo protegerse A través del menú Herramientas - Opciones Internet - Confidencialidad.

Cómo se visualizan A través del menú Parametros - Presentar archivos

Cómo se eliminan Totalmente a través del menú Herramientas - Opciones Internet - General - Suprimir las cookies.

8


Netscape 7

Dónde están Suelen estar en la carpeta que se decidió en Edición - Preferencias - Avanzado - Cache .

Cómo protegerse A través del menú Edición - Preferencias - Privacidad y seguridad - Cookies.

Cómo se visualizan A través del menú Herramientas - Gestión de las cookies. Elegir Gestión de las cookies memorizados.

Cómo se eliminan

A través del menú Herramientas - Gestión de las cookies. Elegir Gestión de las cookies memorizadas. En la lista que aparece, pinchar sobre Suprimir la cookie o Suprimir todas las cookies. Para impedir definitivamente que vuelvan a aparecer cuando la próxima visita, señalar la casilla No permitir que las cookies suprimidas sean aceptadas otra vez

� Riesgos Riesgos imaginarios

Lo que las cookies no pueden hacer

A pesar de que circulan muchos bulos sobre falsos virus por Internet, una creencia muy extendida entre los usuarios inexpertos es que las cookies nos pueden contagiar un virus (bueno, a nosotros no, al ordenador). Para ello, es requisito indispensable que la cookie contenga código ejecutable, por un lado, y además que luego se le mande ejecutar. En primer lugar, hasta la fecha no se conoce una cookie ejecutable; en segundo lugar, aunque la hubiera, además debería existir una aplicación que la invocase para que el código destructivo se ejecutara, lo cual exigiría una ardua labor de programación. Así que en vez de preocuparse por imaginarios virus transmitidos por las cookies, es mejor estar atento a los agujeros de seguridad tangibles y reales de los navegadores, a los fallos de seguridad de Java, JavaScript, ActiveX, CGI, y demás componentes de la “Familia Dinámica” de la Web.

Otro bulo muy extendido es que una cookie nos desnuda, desvelando nuestra intimidad. Una cookie de HTTP tampoco puede ser usada para extraer datos de tu disco duro, conseguir tu dirección de correo electrónico o robar información sensible acerca de tu persona. Para ello existen otras formas mucho más prometedoras y que ya funcionan bien sin necesidad de cookies. En definitiva, una cookie no almacena más información confidencial que la que le queramos dar al servidor que nos la envía.

Más bulos. También se dice que el servidor consigue acceso a nuestro disco duro gracias a las cookies. No es exacto. No hay que perder de vista que en el caso de las cookies no es el servidor el que lee o escribe en nuestro disco duro, sino el navegador, de la misma forma que lee o escribe en nuestro cache de disco (y nadie se rasga las vestiduras por ello, y eso que el Explorer tuvo un

9


serio agujero de seguridad por su causa). El servidor pide al navegador que lea o escriba las cookies, pero, en ningún caso, tiene a través de ellas acceso directo a nuestro disco duro.

A pesar de todo, si aparentemente son tan inofensivas, entonces, ¿de dónde procede todo el revuelo acerca de las cookies?

Riesgos reales

Lo que las cookies sí pueden hacer

Las cookies son simplemente texto, que se puede editar perfectamente con cualquier editor ASCII, y como tales, son elementos pasivos que no pueden emprender ninguna acción. Sólo pueden ser leídos o escritos, pero no pueden ejecutarse ni mandar ejecutar ningún programa, por lo tanto no representan ninguna amenaza para tu ordenador ni pueden infectarlo con ningún virus.

Es importante comprender que por diseño las cookies poseen las siguientes limitaciones:

• Trescientas cookies en total en el archivo de cookies. Si llega la número 301, se borra la más antigua.

• 4 Kbytes por cookie, para la suma del nombre y valor de la cookie. • Veinte cookies por servidor o dominio (los hosts y dominios completamente especificados

se tratan como entidades separadas y tienen una limitación de 20 cookies cada uno, no juntos).

• Ninguna máquina que no encaje en el dominio de la cookie puede leerla. Es decir, la información almacenada en una cookie no puede ser leída por una máquina distinta de la que la envió. Ahora bien, en Internet Explorer, esto no es del todo cierto debido a un agujero de seguridad que permite a cualquier sitio web visualizar la información almacenada en las cookies.

Aún así, las cookies no son un buen elemento de seguridad, ya que cualquiera que conozca mínimamente su funcionamiento podría acceder físicamente o tal vez a través de red local, pero no a través de Internet, a los datos guardados en las cookies dentro de un ordenador y utilizar todos los servicios a los que permiten acceder los nombres y contraseñas en ellas almacenados.

Por otro lado, sí que es cierto que lo que inicialmente se creó como un mecanismo para beneficiar al usuario ha sido pervertido para beneficiar al anunciante, que husmea nuestras idas y venidas y almacena perfiles de usuario para luego dirigirnos su propaganda personalizada. Esta posibilidad abre las puertas a especulaciones Orwellianas acerca de su venta a terceros o su análisis en oscuros despachos de Interior.

10


� ¿Cookies = Violación de la Privacidad? En cualquier caso, lo más inquietante es toda esa información sobre nuestra actividad en la Red e inclinaciones personales y el uso que se le podría dar. Cada vez que pinchamos en un anuncio o visitamos una página, un registro podría estar actualizándose en alguna parte, anotando cuidadosamente nuestros pasos. El salto hacia la violación de la intimidad consiste simplemente en imaginar toda esta información acerca de los hábitos de navegación y consumo de un usuario centralizada en una oficina. Aunque, como se ha explicado, una cookie no puede ser usada por estas compañías de marketing personalizado para extraer nuestro nombre, teléfono o dirección de correo electrónico, sí que podrían conocerlos por otros mecanismos, combinarlo con la información que sí consiguen de nosotros sobre nuestros gustos y preferencias, y todo ello almacenarlo y procesarlo convenientemente en una gran base de datos. Ahora sí que para algunos se está violando nuestra intimidad. Si se añade el hecho de que en general todo ocurre sin conocimiento del usuario, el anonimato y la intimidad en la Web son un cuento de viejas. Más aún si se sabe que estos perfiles se pueden vender a terceros. Un poco de ficción paranoica: ¿Os imagináis ser rechazados al solicitar un puesto de trabajo por haber visitado un sitio que aboga por la legalización de la marihuana? ¿O tener que pagar más por tu seguro después de visitar un sitio para información a pacientes con SIDA? ¿O encontrarte a la Benemérita en tu puerta después de bajar de la Red un manual sobre cómo fabricar bombas? ¿Extremista? Bueno, la tecnología está sobre la mesa. Aunque no conocemos de casos en que haya sucedido algo semejante, sí que señala ciertas perspectivas de futuro. En nuestra opinión, esta tecnología, a diferencia de lo que voces sensacionalistas, que vocean ejemplos como los anteriores, han querido hacer creer, no abre las puertas a la violación impune de la intimidad, ni taladra agujeros de seguridad en el sistema del usuario. Se corre mucho mayor peligro cuando pagamos en el restaurante de la esquina con nuestra tarjeta de crédito que cuando se acepta una cookie de un sitio respetable. El Reverso Tenebroso de las cookies: Desde los comienzos de esta nueva tecnología, la expansión del uso de las cookies se ha visto seriamente retraída como consecuencia de una oleada de falsos rumores, verdades a medias y ríos de tinta de mala prensa. Aunque las cookies no son más que un simple fichero de texto almacenado por el navegador del usuario en su disco duro, inexplicablemente han suscitado un clamor general en Internet, convirtiéndose tristemente en el centro de cruzadas alarmistas anti-cookie que abogan por la intimidad y el anonimato. Proclaman una serie de doctrinas, que gracias a la esencia abierta y tolerante de Internet se propagan en cuestión de días a cientos de miles de usuarios, más o menos ingenuos.

11


� ASPECTO LEGAL RELACIONADO A LAS COOKIES � Cookies, su legalidad: Ciertamente, estamos ante un tema sobre el cual no hay – por ahora – nada regulado. Lo más que hay son unas meras recomendaciones de la Agencia de Protección de Datos al respecto. � ¿ En qué afectan al que las emite ? Podrían afectarle en el sentido de que la información que obtenga a través de las mismas se pueda considerar un dato de carácter personal, lo cual querría decir que, con la LOPD en la mano (Ley Orgánica de Protección de Datos) podríamos estar incurriendo en más de una ilegalidad si no advertimos al titular de dichos datos de que los estamos obteniendo. � ¿Qué se ha de hacer para respetar la LOPD? Por un lado, no estaría de más aplicar las cautelas que la misma Agencia de Protección de Datos recomienda en tal sentido, y que en síntesis serían : avisar al usuario, antes de comenzar la actividad de la cookie, de que salvo que la autorice, ésta va a ser introducida en su ordenador; también se aconseja indicar qué nombre de dominio tiene el servidor que transmite o activa la cookie; igualmente hay que manifestar el plazo de validez de la misma o de efectos en el tiempo de la misma, e informar de si la aceptación de la misma es necesaria para algo, y en qué podría afectar la negativa a aceptarla. Por otro lado, si la cookie recoge o recaba datos que se pudiesen considerar como de carácter personal, habría que llevar a cabo la inscripción del correspondiente fichero informático ante el Registro General de Protección de Datos, así como elaborar – y aplicar, claro está – las correspondientes medidas de seguridad, aparte de solicitar el consentimiento de la persona de la cual se obtengan los datos. Como ejemplo práctico de medidas de seguridad que habría que aplicar, está la de que, si por ejemplo recabamos datos referentes a la salud o vida sexual, los mismos, en su tránsito desde el ordenador del usuario hasta el servidor de la web que visita, han de ir cifrados, lo cual implicaría tener que usar lo que se llama un certificado de servidor (un certificado digital para sitios web o páginas web). � ¿Qué otras obligaciones hay? Pues, aparte de lo expuesto, hay que advertir al usuario que le asisten determinados derechos en relación a la información que, de carácter personal, se obtiene a su través por medio de las cookies, como son los de acceso, cancelación, rectificación y oposición, especificándole de manera clara, sencilla y gratuita, cómo puede ejercitar los mismos, ante qué instancia, y en qué plazo. También, y simultáneamente a lo anterior, incumbe la obligación de no ceder a terceras personas los datos obtenidos con las cookies, lo cual se incumple de una forma más que sistemática en muchísimas ocasiones. Suele ser habitual, y sobre todo en relación al mundo del marketing, compartir o vender dichos datos, para lo cual se requiere la autorización expresa del afectado. No

12


olvidemos que muchas veces, entre otras informaciones, una de las que se puede obtener es la de la dirección e-mail, dato éste de gran importancia en el mundo de la mercadotecnia cuando, además, y asociado a él, conocemos los hábitos de consumo del titular del mismo. No está de más comentar, como anécdota tal vez graciosa o no muy creíble para el lector, pero que profesionalmente se da con cierta frecuencia y no es nada agradable para el que protagonice la historia, que es la de un empresario de Internet que acude a un abogado experto en estas lides con el fin de que le adapta su web site a la LOPD, y es sólo en ese momento en el que descubre – generalmente para la aplicación del carrito de la compra - que su portal posee cookies, y en su momento no lo sabía. Conclusión: Ha estado un montón de tiempo incumpliendo muy posiblemente la ley, arriesgándose a ser objeto de sanción, y sin saberlo (créanlo o no, ocurre de vez en cuando).

13


Bibliografía:

� Gonzalo Álvarez Marañon – 1997-2000, CSIC � Javier Hernández Martinez, abogado

E-mail : [email protected] Web : www.opinionvirtual.com Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías

� Miguel Angel Álvarez – Director de DesarrolloWeb.com � Webforos

� Gabinete Informático de Galicia, SL – SalaDeNegocios.com – Webalia.com

cookies

Technology