Píxeles espía y formularios que saben lo que escribes aunque no lo envíes: las tecnológicas sofistican sus formas de rastrearte en la red

Lo habitual cuando estás completando un formulario en una página web es intuir que el destinatario no va a acceder a tus datos (tu correo electrónico, tu nombre, tu fecha de nacimiento) hasta que no pulses el botón de 'Enviar'.

Pero una investigación dirigida por expertos de la Universidad de Lausana (Suiza), de la Universidad de Radboud y de la KU Leuven han descubierto que en realidad esa información la obtienen mucho antes de lo que te imagines. Después de analizar los formularios en más de 100.000 portales, al menos 1.844 recopilaron información de usuarios europeos antes de que completaran y enviaran la información.

Si el estudio se detalla sobre páginas dirigidas a un público estadounidense, las cifras aumentan hasta los 2.950 formularios que recopilaban información.

Este comportamiento es habitual en herramientas ciberofensivas conocidas como keyloggers. Estos tipos de programas informáticos tienen la capacidad de registrar absolutamente todo lo que un usuario teclea con su terminal, lo que permite a múltiples ciberdelincuentes a advertir cuáles son las contraseñas de sus víctimas.

En este caso, por supuesto, no se tratarían de keyloggers al uso, aunque su comportamiento sea muy similar. Se trata, en realidad, de herramientas de marketing. Si te equivocas hasta tres veces escribiendo tu nombre y tu correo electrónico, quizá deberías avergonzarte: puede haber una persona al otro lado de la línea que lo sepa.

Tu correo está lleno de "píxeles espía" capaces de detectar si has abierto un email: cómo afecta esta tecnología tan extendida a tu privacidad

Esta información la revela la publicación Wireden este artículo que recoge las conclusiones de la investigación académica antes citada. Además, esas mismas conclusiones pueden ser mucho más preocupantes teniendo en cuenta que hay grandes plataformas digitales, como la rusa Yandex, que tienen esa capacidad de recopilar esa información del usuario incluso con contraseñas.

Aunque todavía no hayas pulsado ese botón de 'Enviar'.

"Si hay un botón de 'Enviar' en un formulario, la expectativa más razonable es que enviará tus datos cuando pulses en él", incide Günes Acar, uno de los profesores que han participado en esta investigación. "Los resultados nos sorprendieron. Pensábamos que encontraríamos este comportamiento en un centenar de sitios". Los resultados "excedieron" sus previsiones.

Esos resultados se presentarán con detalle en agosto, en el marco de un congreso sobre ciberseguridad. Los expertos han bautizado este tipo de formularios con estas herramientas de marketing como leaky forms o "formularios con fugas" a raíz de las primeras reseñas sobre este fenómeno, que se comenzaron a dar en medios como Gizmodo.

Muchos de esos formularios en realidad están compuestos por varias páginas de campos a rellenar, en los que si pulsas el botón "Siguiente" para pasar a los siguientes campos, la información previa ya se va enviando. Pero en otros tantos formularios se remite toda la información que se teclea, desde el momento en el que el ratón pulsa en cualquier espacio en blanco.

Qué son y cómo funcionan los patrones oscuros: así consiguen las redes sociales y las plataformas tecnológicas que te comportes como sus algoritmos esperan

Las diferencias territoriales —hay muchos menos usuarios europeos que sufren estas prácticas que americanos— pueden deberse al Reglamento General de Protección de Gatos que entró en vigor en los 27 en el año 2018, pero los investigadores hacen énfasis en que es solo "una posibilidad".

Mientras completaban su investigación, los expertos también detectaron 'píxeles' rastreadores de usuarios tanto de Meta (antes Facebook) como TikTok. Ese píxel permitía a las apps recoger información de sus usuarios en otras páginas web, recopilando de formularios incluso los correos electrónicos que escriben en sus formularios (al menos, de forma cifrada).

Fruto de ese hallazgo, los investigadores elevaron un reporte a Meta el 25 de marzo que se asignó a un ingeniero de la multinacional, pero desde entonces no ha habido novedades sobre el mismo. "Los riesgos a la privacidad de los usuarios son que cada vez van a ser rastreados de forma más eficaces, a través de distintas páginas, sesiones, y tanto en móvil como en ordenador".

"Y una dirección de correo electrónico es una herramienta para identificar a usuarios mucho más útil, porque es global, es única y es constante. No puedes eliminar una dirección de correo como cuando eliminas las cookies. Es un identificador más poderoso".