Para mantener un mecanismo de interacción continuo con el usuario y rastrear las interacciones de este (inicios de sesión, preferencias o carritos de compras), surgieron las cookies como una solución al problema. Al almacenar identificadores de sesión o datos específicos del usuario en el lado del cliente, permite a los servidores reconocerlos, si son recurrentes y mantener estados de sesión a través de múltiples solicitudes.
Las cookies fueron estandarizadas en los años 90 como una solución al problema «del estado» en la web. Su adopción masiva por navegadores y marcos de trabajo de desarrollo (PHP, Ruby on Rails o Django) las consolidó como un pilar técnico, a pesar de existen tecnologías modernas como Web Storage API o JWT que ofrecen funcionalidades similares, pero no reemplazan por completo a las cookies en escenarios de sesión tradicionales.
Las cookies, como se aprecia, son una pieza fundamental en la experiencia de navegación web, pero su manejo inadecuado puede convertirlas en una brecha para ciberataques a pesar de las medidas técnicas que se implementan para protegerlas. Por ello, los usuarios tienen un papel muy importante en la prevención de vulnerabilidades.
Es por tanto una necesidad explorar el funcionamiento de las cookies, su relación con la seguridad y las buenas prácticas a adoptar al respecto.
¿Qué son las cookies y para qué sirven?
Las cookies son pequeños archivos de texto que los sitios web guardan en el navegador del cliente y su función principal es recordar información útil que sirva a una mejor experiencia en los inicios de sesión automáticos, preferencias de idioma o tema o datos de carritos de compra, por solo citar ejemplos.
Sin embargo, las cookies almacenan información sensible, como tokens de autenticación, que las convierte en un objetivo para los ciberdelincuentes.
Los atributos de las cookies son la clave de la seguridad
Los desarrolladores definen atributos en las cookies para controlar su comportamiento. Los más importantes son:
Secure: que garantiza que la cookie solo se envíe mediante conexiones HTTPS (encriptadas)
HttpOnly: que impide que scripts o aplicaciones malignas accedan a la cookie (protege contra ataques XSS)
SameSite: para restringir el envío de cookies en solicitudes cruzadas (mitiga ataques CSRF)
Expires/Max-Age: que definen el tiempo que se almacena la cookie en el navegador.
Estos atributos son configurados por los sitios web, pero su efectividad depende de cómo los usuarios interactúan con ellos.
¿Cómo los usuarios contribuyen a las vulnerabilidades mediante el uso de las cookies?
Aunque las cookies tienen mecanismos de seguridad, la actividad, incluso la inactividad pueden debilitar su accionar.
Muchas veces se aceptan todas las cookies sin revisar ante la solicitud de consentimiento de los sitios, esto incluye las cookies de terceros lo que podría traer como consecuencia la aceptación de un rastreo no autorizado o el almacenamiento de cookies sin atributos seguros, pues se está confiando en lo que define el sitio visitado.
También cuando se ignoran los ajustes de privacidad del navegador que ofrecen opciones para bloquear cookies de terceros o eliminar automáticamente las cookies al cerrar la sesión. Si el usuario no activa estas opciones, aumenta el riesgo de exposición.
Cuando se utilizan navegadores a los que no se realizan actualizaciones y se aplican parches para corregir vulnerabilidades relacionadas con el manejo de cookies se abre el camino a los ciberdelincuentes para explotar estas brechas y someter a sus designios al sistema informático en cuestión.
Cuando no se cierra la sesión y se comparten dispositivos se permite a cualquier persona acceder a las cuentas personales, incluso aunque las cookies posean atributos seguros.
Consecuencias de una utilización de las cookies
Las vulnerabilidades relacionadas con cookies pueden desencadenar ataques en diversas modalidades:
* Ataques CSRF (Cross-Site Request Forgery). Se produce cuando un sitio malicioso engaña al navegador para que realice acciones no deseadas usando cookies de sesión activas, un ejemplo de esta situación es la realización de transferencias de dinero.
* Robo de sesión. Se produce si una cookie sin la protección que brinda el atributo `HttpOnly` es interceptada por un atacante, lo que le permite suplantar la identidad del usuario.
* Rastreo no consentido. Sucede cuando las cookies de terceros son utilizadas sin restricciones, lo que expone los hábitos de navegación a empresas de publicidad, por ejemplo.
Buenas prácticas en torno al uso de las cookies.
La seguridad es una responsabilidad compartida, donde la persona que opera un terminal debe asumir el cuidado de la información y para ello se seleccionar adecuadamente que cookies utilizar y durante que tiempo. De ello se derivan acciones concretas que deben ser práctica cotidiana.
1. Configuración del navegador bloqueando cookies de terceros. Esta acción se desarrolla a través de la «Configuración» en el acápite de «Privacidad y seguridad». A ello se debe sumar la habilitación de la opción de «Borrar cookies al cerrar el navegador».
2. Utilizar el modo de navegación privada. Al usar pestañas privadas (Incognito/InPrivate), las cookies se eliminan automáticamente al cerrar la sesión.
3. Mantener el navegador actualizado para corregir fallos críticos y mejorar el soporte para atributos como `SameSite`.
4. Realizar una selección adecuada en el consentimiento de cookies, por lo que las que no resulten esenciales, en especial las vinculadas al marketing deben ser rechazadas cuando se solicita la definición por el navegador. Por tal motivo, se debe suprimir la práctica facilista de responder: Si a todas, que de manera habitual desarrollan muchos usuarios.
5. Realizar una limpieza regular de las cookies para eliminar las que están almacenadas y reducir con cierta periodicidad la acumulación de datos antiguos.
Reafirmando aspectos importantes:
– Revisar siempre los permisos de cookies que se aceptan.
– Usar configuraciones de privacidad estrictas en el navegador.
– No dejar nunca sesiones abiertas en dispositivos públicos.
– Combinar prácticas seguras con el uso de herramientas, donde los antivirus actualizados son vitales.