Las personas a menudo se clasifican según su grupo social—deportistas, fanáticos de la informática, madres de familia. Lo mismo puede decirse de nuestra identidad por internet: Si poseemos una cuenta en Facebook o LinkedIn, puede que también pertenezcamos a varios grupos en cada sitio.

En la actualidad, un equipo de investigadores del Instituto de Tecnología de Viena, el Institut Eurecom y la Universidad de California en Santa Barbara ha descubierto una forma en que los sitios web maliciosos podrían averiguar a qué grupos pertenecemos y utilizar esa información para identificarnos. Estos sitios web pueden utilizar el resultado para robar la identidad o crear estafas personalizadas.

Los investigadores descubrieron que un sitio malicioso podría "capturar" los grupos sociales de una persona a través de su navegador con un truco conocido como robo del historial. Al llevar a cabo una serie de referencias cruzadas de estos grupos, podrían revelar el perfil de red social de una persona—y por lo tanto su identidad en la vida real—el 42 por ciento de las veces. Esto significa que un usuario de internet anónimo podría ser identificado correctamente por un sitio malicioso simplemente porque el usuario visitó dicho sitio.

"El navegador puede preguntar si estas personas son miembros del grupo del iPhone, o el grupo de seguridad del PC, o del grupo XYZ, y mediante el cálculo de las intersecciones, podemos identificar a las personas en muchas ocasiones", afirma Gilbert Wondracek, candidato postdoctoral en ciencias informáticas en el Instituto de Tecnología de Viena, y que además dirigió el trabajo.

Facebook, MySpace, LinkedIn y otras redes sociales importantes permiten que cualquier persona vea quién pertenece a determinados grupos. Otros atributos también pueden contribuir a la agrupación de las personas. Por ejemplo, Facebook no sólo tiene grupos sino que también permite a los usuarios expresar si les "gustan" ciertos enlaces o contenidos.

La mayoría de las personas se unen a estos grupos sin pensar en cómo podría afectar a su privacidad, afirma Elena Zheleva, candidata a doctorado en la Universidad de Maryland, y que se ha dedicado a la investigación de las cuestiones de privacidad y las redes sociales. "La gente no piensa en ello, pero los grupos son una forma de transferir información sobre una persona", afirma.

Esto no tendría importancia si no fuera por un ataque bien conocido que permite a una página web comprobar si existen ciertos vínculos en el historial del navegador de un usuario. El así llamado robo del historial consiste en comprobar si un usuario ha visitado un enlace concreto. Mediante el uso del robo del historial, un atacante puede utilizar un fragmento de código en una página web para preguntar al navegador de un usuario si ha visitado ciertos enlaces. La técnica puede consultar miles de enlaces por segundo. Wondracek y sus colegas utilizaron el robo del historial para descubrir qué personas pertenecían a qué grupos en la red social Xing, mediante la comprobación de si su historial contenía un enlace a la página del grupo.

"Es un uso perfecto de la captura del historial", asegura Jeremiah Grossman, director de tecnología de la firma de seguridad web WhiteHat Security.

La mayoría de las redes sociales ofrecen enlaces relativamente simples a los grupos, de manera que los usuarios puedan compartirlos fácilmente, afirma Wondracek. "Las redes sociales tienen dificultades para derrotar este tipo de acciones", haciendo que los vínculos sean menos claros, afirma, porque eso haría que fueran más difíciles de compartir.

Los fabricantes de navegadores han comenzado a abordar el tema del robo de historiales mediante la limitación del número de enlaces que un sitio puede comprobar por segundo. Sin embargo, el ataque "funcionará y seguirá funcionando hasta que la mayoría del mundo actualice su navegador a la última versión", afirma Grossman.