Pasajero oculto: cómo Taboola redirige usuarios a sitios maliciosos sin que lo notes

Taboola y la Ruta Secreta de los Datos de los Usuarios

En un reciente informe publicado por The Hacker News, se revela una preocupante práctica de la conocida plataforma de recomendaciones de contenido Taboola. La investigación destapa cómo Taboola implementa una ruta oculta para recopilar datos de usuarios sin un consentimiento explícito, exponiendo así a millones a riesgos de privacidad y posibles brechas de seguridad.

¿Qué es Taboola y cómo opera?

Taboola es una plataforma popular que se integra en numerosos sitios web para ofrecer contenido sugerido, anuncios y otros elementos personalizados. Utiliza algoritmos que analizan el comportamiento del usuario para mostrar recomendaciones relevantes con la intención de aumentar el compromiso y, por ende, los ingresos publicitarios. Sin embargo, el modo en que maneja la recopilación y transmisión de datos resulta ser mucho más intrusivo de lo esperado.

La Ruta Oculta de los Datos

El informe revela que, además de la funcionalidad visible y consentida, Taboola ejecuta scripts y redireccionamientos que envían información personal y de navegación a servidores externos de forma encubierta. Esta transferencia no solo ocurre sin informar adecuadamente a los usuarios, sino que también evade las normativas básicas de privacidad y control de datos.

Mediante técnicas de «fingerprinting» y seguimiento entre dominios, Taboola logra identificar patrones de uso e incluso vincular datos a perfiles específicos. Estas prácticas, que se mantienen fuera del radar de la mayoría de operadores web y reguladores, comprometen la transparencia y el derecho a la protección de datos personales.

Impacto y Riesgos para Usuarios y Empresas

Las implicaciones técnicas y de seguridad son significativas:

Violación de privacidad: Los usuarios no otorgan un consentimiento informado ni un control real sobre sus datos, lo que puede vulnerar legislaciones como el GDPR o CCPA.
Exposición a ataques: La exposición innecesaria de información sensible genera vectores adicionales para actividades maliciosas, como el phishing dirigido o el robo de identidad.
Reputación y cumplimiento: Los sitios que integran Taboola pueden ser indirectamente responsables de estas prácticas, enfrentando riesgos legales y daños reputacionales.

Medidas Recomendadas

Para mitigar este problema, se aconseja a las organizaciones que utilizan las soluciones de Taboola o similares:

Auditorías regulares de seguridad y privacidad: Revisar el código incorporado y los flujos de datos asociados para identificar posibles filtraciones.
Implementar controles estrictos de privacidad: Garantizar que todos los scripts externos cumplen con las políticas de consentimiento y transparencia.
Monitoreo continuo: Usar herramientas de análisis de tráfico y seguridad para detectar actividades no autorizadas.
Comunicación clara con usuarios: Informar adecuadamente sobre la recopilación de datos y ofrecer opciones de control efectivas.

Conclusión

La investigación de The Hacker News pone en evidencia un claro ejemplo de cómo plataformas de recomendación y publicidad digital pueden comprometer la seguridad y la privacidad de los usuarios mediante rutas ocultas de datos. Este caso subraya la importancia crítica de realizar evaluaciones técnicas y legales profundas al integrar servicios externos y mantener un enfoque riguroso en la protección de la información.

Fuente original: The Hacker News – Hidden Passenger: How Taboola Routes User Data Without Consent

← Cisco lanza parche urgente para cuatro vulnerabilidades críticas en sistemas de identidad Peligroso abuso de plugin en Obsidian entrega malware avanzado a usuarios desprevenidos →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil