Al parecer, si es posible saber en qué otros sitios se ha iniciado sesión gracias a una pequeña vulnerabilidad conocida desde hace varios años. Este sistema no funciona con todos los sitios, pero sí con la mayoría, como por ejemplo Facebook, Amazon, Gmail, Twitter, YouTube, entre otros

Pero ¿Qué funcionalidad tiene esta vulnerabilidad? Primero que todo, esta información es muy útil para obtener estadísticas con el fin de invertir publicidad, es decir, si vemos a usuarios iniciando sesión  en Facebook, por ejemplo, podemos invertir más dinero en publicidad en esta red social.

Además, nos entrega información relevante de los gustos del usuario. Obtener información de intereses  sus interese, que red social consumen y el orden de preferencias del usuario para iniciar sesión.  Por ejemplo, si un usuario ha iniciado sesión con Facebook, podemos sugerirle iniciar sesión con Facebook en el sitio web que administramos para que sea más sencillo el proceso.

De acuerdo a una columna publicada por Antonio Tajuelo de Havas Media Group, indica que esto se puede saber debido a que los navegadores web (Chrome, Safari, etc) admiten el uso de cookies third-party, es decir, de dominios diferentes al de la página activa.

Es muy frecuente que los sitios web dispongan de una página de iniciar sesión con capacidad para redirigir posteriormente al usuario hacia una página determinada, especificada como parámetro de URL.

La idea  es generar una URL correspondiente a la página de iniciar sesión de cada plataforma, empleando un parámetro donde se especifique que -una vez iniciada la sesión- el usuario sea redirigido a una imagen dentro del mismo dominio.

A través de JavaScript es posible realizar una llamada de este tipo y analizar la respuesta. Cuando el usuario haya iniciado sesión, el sitio web devolverá una imagen, mientras que en el caso contrario devolverá la página con el formulario de iniciar sesión. De este modo, sabremos si el usuario activo ha iniciado sesión en cada uno de los diferentes servicios de terceros.

¿De quién es la responsabilidad de esta vulnerabilidad? Para el autor, la responsabilidad recae de cada una de las plataformas, puesto que es una técnica conocida hace muchos años y que se ha aprovechado para generar nuevas estrategias digitales.

Hay algunas plataformas que continúan con esta vulnerabilidad, pero hay otras como Instagram y Microsoft que la han corregido.

¿Consideras que es ético no hacer nada frente a esta vulnerabilidad?