Google Analytics no sirve solo a muchos, sino que potencialmente perjudica a cada página web. Con Google Analytics, el robo de datos es más fácil que nunca, ya que permite enviar datos a piscinas de datos de hackers.
Introducción
La ciberdelincuencia es un sector en crecimiento. Quien obtenga datos de tarjetas de crédito o otras informaciones sensibles, puede utilizarlas para obtener beneficios. Con Google Analytics, el popular herramienta de análisis de Google, robar datos se vuelve aún más fácil.
Para entender esto, ayuda mirar detrás de escena. Una ataque cibernético a una página web sigue a menudo este esquema:
- Se introduce una lógica de programación perjudicial en la página web
- La software dañino lee datos de visitantes del sitio web, como de formularios
- Los datos que se han llevado consigo son enviados a un servidor propio para ser explotados allí.
El tercer de estos pasos falla principalmente a menudo porque los navegadores o las firewalls locales bloquean muchos intercambios de datos. Con Google Analytics, este problema se puede eliminar casi completamente para el hacker.
Métodos para robar datos
Una común método para robar datos de un tercero es engañar al objetivo a visitar una página web preparada. Idealmente se trata de una página web conocida por el objetivo. Las atenciones que imitan páginas web conocidas o las basadas en sitios web autoalojados no serán consideradas aquí.
¿No también le darían su contraseña o números de tarjeta de crédito en una tienda en línea si conocieran la tienda, confiaran en ella y se les pidiera que lo hicieran?
¿Pero cómo se prepara una página web de un tercero para que pueda enviar datos a desconocidos?
Para ello, los hackers utilizan debilidades en la lógica del programa en el frontend (la vista de la página web en el navegador) o backend (el software que se ejecuta en el servidor) para sacar partido. Representantes conocidos de métodos de ataque son:
- SQL Injection
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Fugas de seguridad en códigos de servidores / Backdoors
- Toma de Sesión
Por ejemplo, mediante un enlace preparado se puede introducir una porción de JavaScript en una página web. Se envía el enlace preparado al víctima. Al hacer clic en el enlace, la víctima llama a la página web conocida. Además, se ejecuta un código dañino en la página web sin que nadie lo note.
Si logran introducir un código dañino en una página web, el registrador está listo para funcionar. Ahora solo necesita grabar y enviar los datos obtenidos al criminal.
Así funciona el hacking con Google Analytics
¿Qué hay de más sencillo que enviar los datos capturados a su cuenta de Google Analytics?
Las ventajas de Google Analytics desde la perspectiva de los hackers son enormes. La dominio google-analytics.com está a menudo desbloqueado para transferir datos. En una página web que utiliza Google Analytics, un transferencia de datos a otro cuenta de análisis no se nota para el lector común. Incluso los profesionales tendrían que buscar con mucha atención para detectar un exploit.
Con Google Analytics se pueden enviar cualquier tipo de datos a una piscina propia de datos. Para ello, por ejemplo, se utilizan parámetros o la URL del referente, a la que se pueden adjuntar valores sin llamar la atención. Es fácil enviar los datos con Analytics antes de su envío para cifrarlos o codificarlos. De esta manera, los flujos de datos son difíciles de detectar.
El envío de datos a través de Google Analytics funciona incluso en el denominado Consent Mode de Google. Si el usuario aún no ha dado su consentimiento, Google Analytics envía aún así un llamado de atención (ping) a los servidores de Google. El ping es igual a un evento de seguimiento normal. La diferencia radica en que los datos no llegan al pool de datos de Analytics. La salida para los hackers es establecer el parámetro gcs con un valor adecuado, siempre y cuando la página web utilice activamente el Consent Mode.
El Google Analytics es la herramienta perfecta para los hackers para robar datos sensibles de manera inocua.
La realidad actual.
Si el hacker quiere saber si su ataque ha tenido éxito, simplemente se loguea en su cuenta de Google Analytics y mira en la consola de control para ver qué datos se han registrado. Con la función de exportación y la API de Informes de Analytics, los datos incluso pueden ser extraídos en grandes cantidades y con gran comodidad.
Dado que muchas páginas web utilizan Google Analytics, la oportunidad para el hacker es alta, de encontrar este mecanismo efectivo y difícil de detectar para el abuso de datos.
Recomendaciones
Menos es más. Menos código de programa significa en promedio menos vulnerabilidades. La protección del código existente es costosa. Sobre todo, las interfaces (cliente llama al servidor) son vulnerables. Quien aquí quiera o deba profundizar, deberá contar con mayores gastos.
Sin Google Analytics una página web es más segura que con este herramienta. Me pregunto regularmente quién puede aumentar sus ventas mediante Google Analytics. En primer lugar, me viene a la mente Google. En segundo lugar, se me ocurren empresas grandes con un presupuesto de publicidad alto. A menudo me cuesta creer en el milagro de la enriquecedora de dinero a través de productos de Google para pequeñas y medianas empresas.
La discusión de marketing no la seguiré aquí más adelante. Algunos conversaciones constructivas con marketers en línea me muestran que, por lo general, es necesario un gran esfuerzo y una gran cantidad de conocimiento así como un gran presupuesto para que los productos de Google sean realmente rentables para una empresa.
La publicidad en línea es a menudo un reflejo de la desesperación y/o falta de creatividad.
Mi experiencia, que no es para todos, pero parece aplicarse a muchos anunciantes.
Claramente se puede ver en la publicidad en línea cuándo no funciona. Al contrario de la publicidad impresa, donde comienza a adivinar después de su publicación. Sin embargo, muchos no quieren saber que una medida de publicidad ha fracasado, sino que la medida fue exitosa. En este contexto me vienen a la mente algunas excelentes conversaciones sobre publicidad impresa, artículos en línea o contactos personales, pero ninguna excelente conversión sobre publicidad en línea. Lo digo como alguien que antes de la introducción del RGPD tuvo mucha experiencia con Google Ads y Facebook Werbung.
Antes de utilizar Anuncios de Google o Google Analytics como solución milagrosa, es recomendable intentar con métodos más tradicionales, sencillos, legales y técnicamente controlables y en su mayoría gratuitos. ¿Por qué no hacer un Publicación de redes sociales a una excelente entrada suya (lo mejor es que no sea en Facebook o Twitter_? Esto puede generar, a largo plazo, según el mercado, más ingresos que los productos milagrosos de Google. Hablo aquí por experiencia propia, pero no puedo hablar para todos los mercados. Comercios locales no necesitan en absoluto _Google Analytics. Primero, no entienden nada sobre protección de datos y suelen no tener a nadie que los asesore adecuadamente. Segundo, tienen demasiado pocos visitantes como para que el motor de análisis se ponga en marcha. Tercero, carecen de presupuesto suficiente para promocionarse eficazmente en línea. Cuarto, pueden hacer otras cosas mejor que estar flotando por Internet.
Con Google Analytics se desordena una página web con el siempre necesario popup de consentimiento. Sin este herramienta de Google incluso es posible prescindir de los popups de cookies. ¡Qué bendición para los visitantes! Por lo tanto, como propietario de una página web estarían también equipados para el TTDSG, que rige en Alemania desde el 01.12.2021.
La autoridad francesa de protección de datos ha determinado que Google Analytics es ilegal incluso con la autorización. La razón es que Google no hace lo suficiente para proteger adecuadamente los datos personales de los usuarios. Las agencias y servicios secretos estadounidenses pueden acceder fácilmente a ellos y obtener más información sobre su comportamiento en Internet.
Quien quiera saber cuántos visitantes han visitado la página web y qué es el artículo más popular, tiene a su disposición gratuitamente Matomo. Esto se puede hacer incluso sin los molestos Popups de Cookies. Quien además desee conocer las palabras clave con las que los visitantes encontraron la página web utiliza la Search Console, un producto de Google, que por una vez es compatible con el cumplimiento de la normativa de protección de datos. Es recomendable activar un bloqueador publicitario antes para evitar que Google siga su actividad en la Search Console a un ritmo excesivo.
El sindicato de la industria BITMi ofreció un webinar gratuito sobre este tema, que fue impartido por Klaus Meffert/IT Logic GmbH.
Mensajes clave
Google Analytics puede ser usado por hackers para robar datos de sitios web de forma fácil y casi invisible.
Google Analytics puede ser usado por hackers para robar datos sensibles de forma oculta y difícil de detectar.
En lugar de depender de herramientas de publicidad online como Google Ads, que pueden ser costosas y no siempre efectivas, se recomienda probar métodos tradicionales como publicaciones en redes sociales o el uso de herramientas gratuitas como Matomo para analizar el tráfico web.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
