Nota del editor: Esta es una publicación invitada por Gary Stevens, propietario de gerystevenswriting.
Si usted es un comerciante que actúa en el negocio de la afiliación, seguramente ya ha oído hablar acerca del cookie stuffing. De lo que tal vez no haya oído es cuán prevalente se ha vuelto esta práctica y cuánto podría afectar a sus propios ingresos de afiliado. Si ha ejecutado un sitio que invita o permite contenido generado por usuarios, probablemente usted ha sido víctima de la técnica, incluso si todavía no se ha dado cuenta.
Aún si usted no es comerciante que actúa en el negocio de la afiliación, sino un humilde comprador en línea, también vale la pena ser consciente de lo que es cookie stuffing y cómo protegerse de él. En el mejor de los casos ser víctima de este tipo de ataques podría bajar la velocidad para que su hardware trabaje a paso de tortuga. En el peor, se arriesga a robo malicioso de su información personal.
Para entender qué es cookie stuffing es necesario que primero demos un paso atrás y miremos el mundo, a veces un poco rebuscado, del negocio de la afiliación. Esta industria está dando vueltas por aquí casi 20 años, y esencialmente permite a propietarios de sitios web que no venden productos por ellos mismos, hacer dinero de aquellos que sí lo hacen.
Aunque nunca haya escuchado el término, seguramente conoce sitios que actúan en base a este sistema. ¿Conoce todos esos sitios de análisis que visita para investigar cuando quiere decidir qué teléfono inteligente nuevo comprar? La mayoría de ellos son, probablemente, sitios afiliados. Cada revisión tendrá seguramente un par de enlaces a Amazon o a otra tienda en línea, que le pagará al dueño del sitio de análisis por cada lector que siga el vínculo y por cada compra que se les remita.
Para seguir las visitas de usuarios y pagar las retribuciones a quien corresponda, la mayoría de los sitios afiliados hace uso de cookies. Estas son archivos de texto muy pequeños que se almacenan en su computadora al visitar algún sitio web, y en tal caso, contendrán información a cerca del lugar desde el cual ha llegado el usuario.
Si usted tiene un sitio de afiliación seguramente es consciente de todo esto. Lo que tal vez no sepa es que algunos elementos de su propia página pueden mandar cookies a usuarios y que éstas pueden ser usadas para pagar retribuciones de afiliación a sus rivales, o (en casos extremos) para sobrescribir las «correctas» cookies en el navegador de algún usuario.
A eso se refiere el término «cookie stuffing»: la inserción de cookies ilegítimas dentro de páginas web sin el consentimiento de los dueños de esas páginas.
Bueno….depende de a qué se refiere con legal.
Podría decirse que el solo uso de anuncios por medio de ventanas emergentes, que están casi omnipresentes en los sitios afiliados, son en sí un ejemplo de cookie stuffing. Aunque la mayoría de las redes de afiliación permiten que anuncios por ventanas emergentes envíen cookies a afiliados, el hecho de que esos anuncios no sean parte de la página web original significa que han sido «metidos», pese a que sea (generalmente) bajo consentimiento.
Sin embargo, en el otro extremo de la escala, el dinero recaudado por ejecutar esquemas de cookie stuffing ha otorgado a ciertos individuos millones de dólares, y algunos han cumplido significantes penas de prisión por haberlo hecho. Los más grandes vendedores en línea ejecutan sus propios programas de afiliación, eBay y Amazon se encuentran entre los mayores, y por lo tanto, la reclamación fraudulenta de comisiones de estos sitios ha sido un importante objetivo para los estafadores.
Un ejemplo de ello es el de Shawn Hogan, fundador y director ejecutivo de Digital Point Solutions, proveedor de software. Allí por el año 2006, Shawn fue aclamado un «héroe» por la revista Wired por haberse defendido solo contra una acusación elevada por Motion Picture Association of America, que alegaba que éste había descargado de forma ilegal una película por medio de la red de BitTorrent.
Su caída de la gloria llegó justo dos años después, cuando en 2008 eBay presentó una demanda en contra de él y de dos asociados acusándolos de haber hecho 28 millones de dólares por medio del uso de un esquema de cookie stuffing. Hogan fue acusado en 2010 por fraude electrónico y confiscación delictiva, y en 2014 fue sentenciado a cinco meses de prisión federal, a 25.000 dólares y a tres años de libertad condicional.
El esquema de Hogan actuaba de un modo bastante ingenioso. Él desarrolló dos widgets que ofrecían información útil a los usuarios, por sí mismos. Sin embargo, donde entraban estos widgets insertaban cookies dentro de los navegadores de los usuarios, incluyendo aquellos que indicaban que un usuario había accedido a eBay. Cuando aquellos mismos usuarios terminaban y salían de eBay, aparecía como que Hogan los había remitido y ganaba su retribución.
A pesar de que las actividades de Hogan fueron consideradas ilegales, vale la pena señalar que solo son ilegales porque infringían el contrato pactado con eBay con relación a su esquema de afiliación. De por sí, teoréticamente no tiene nada de malo enviar a los usuarios cookies de cualquier tipo, siempre y cuando no contengan códigos maliciosos.
El problema para los propietarios de sitio, y por lo tanto para el consumidor medio, es que muchas partes de una página web pueden ser usadas para enviar esas cookies. Entre los más comunes se encuentran iFrames, images, JS scripts, Flash e incluso CSS.
Típicamente, la inserción de cookies dentro de esos elementos ocurre de dos maneras. La más sencilla ocurre en sitios que alojan contenido generado por los usuarios, donde ellos pueden publicar una variedad de características que envían cookies a otros usuarios. Menos común, pero potencialmente más peligroso, es cuando un atacante consigue acceso al fondo del sitio y esconde cookies ilegales en el código mismo del sitio web.
Sin importar el método usado, cookie stuffing puede tener serias consecuencias tanto sobre los propietarios de sitios como sobre los usuarios en general. Por lo general, los malhechores intentarán enviar docenas, tal vez centenas, de cookies fraudulentas de una sola vez, para recibir el pago de tantas maneras como sea posible.
A los propietarios de sitios estas cookies fraudulentas les pueden causar dos problemas. Uno es que otra persona está ganando por los usuarios que usted derivó. El segundo es que las cookies fraudulentas en realidad pueden sobrescribir las suyas afectando de este modo a sus ingresos de afiliación. Para los usuarios las consecuencias pueden ser similarmente nefastas, y van desde el bloqueo de máquinas hasta intentos más directos de robar información personal.
Desafortunadamente, aquí no hay ninguna solución mágica para detener cookie stuffing, y encima, esta práctica solo parece haber aumentado en los últimos años. Las técnicas que puede usar para defenderse contra esta práctica dependen también de si es usted un usuario o un comerciante que actúa en el negocio de la afiliación.
Siendo un usuario estándar, evitar las cookies fraudulentas puede ser algo difícil, pero esta es un área en la cual un poco de conocimiento ayuda bastante. El paso más importante que debe hacer para defenderse es utilizar la búsqueda segura, y de hecho, tomar muchas de las medidas recomendadas para una práctica de seguridad general lo ayudará a defenderse de las cookie stuffing. De particular importancia es usar un navegador que venga con buenas características de seguridad, y limpiar regularmente su memoria caché de cookies.
Como comerciante que actúa en el negocio de la afiliación hay dos tipos de vulnerabilidades de las cuales debe protegerse. La primera y la más directa es que su sitio debe ser impenetrable para la intrusión. Esto implica aplicar básicas medidas de seguridad como https / SSL, sin registro VPN e implementar un fuerte gestor de contraseñas. Si alguien consigue acceso al fondo de su sitio, podría usar esta posibilidad para llenarlo de cookies indeseadas, pero honestamente, si un atacante tiene este nivel de acceso, el cookie stuffing será su preocupación más leve.
Por lo general, usuarios intentarán usar las partes interactivas de su sitio, especialmente tableros de mensajes para enviar cookies fraudulentas a sus usuarios. La protección ante todo esto, dado el rango de elementos que pueden ser utilizados de tal modo, es un tanto engañosa, pero vale la pena señalar que la mayoría de las cookies fraudulentas son enviadas por medio de <img> variable. Como resultado, una efectiva defensa para sitios básicos es permitir que se escriba solamente texto plano en los foros.
Para mayor protección, y especialmente si usted se percata de ser víctima de esquemas de cookie stuffing en forma continua, necesitará implementar herramientas de software que controlen la integridad de su sitio y mantengan entre ojos la manera por la cual sus usuarios interactúan con su sitio web.
Desafortunadamente, cookie stuffing no muestra signos de irse a ningún lado, y la relativa facilidad que implica hacer este tipo de estafa puede significar que la veamos ampliada en los próximos años. De alguna manera, este problema se crea por el modo en el cual trabaja el modelo de negocio de la afiliación mismo, ya que es complicado concebir una forma de pago para los afiliados sin introducir brechas de seguridad. Como fue informado por Mark Cohen en The New York Times hace unos años atrás, «[E]l comercio de afiliación tiene su lado oscuro: Puede ser una senda segura al fraude.»
Sin embargo, esto no tiene que ser así necesariamente. Para los usuarios, el flujo regular de caché de cookies puede limitar el impacto de las cookies fraudulentas. Para comerciantes que actúan en el negocio de la afiliación, el truco es identificar rápidamente cuentas y usuarios que atentan a introducir cookies dentro de su sitio web, y removerlas a la brevedad. Básicamente, la prevención ante cookie stuffing requiere técnicas que cualquier propietario de sitio responsable tomaría de todos modos: control frecuente de contenido y cumplir con los procedimientos de seguridad adecuados.
It need not necessarily be like this, though. For users, regular flushing of cookies caches can limit the impact of fraudulent cookies. For affiliate marketers, the trick is to quickly identify accounts and users who are attempting to stuff cookies into your website, and promptly remove them. Ultimately, preventing cookie stuffing requires techniques that any responsible site owner will undertake anyway: frequent checks of content, and sticking to proper security procedures.
Gary Stevens es un desarrollador de interfaz de usuario. Él es un blockchain geek de tiempo completo y trabaja voluntariamente para la fundación Ethereum, es también colaborador activo de GitHUB.