Al crear un nombre de usuario distintivo-y volver a utilizarlo en varios sitios web-podría estar dando a los responsables de marketing en línea y a los estafadores una forma simple de hacerle un seguimiento. Cuatro investigadores del Instituto Nacional Francés de Ciencias de la Computación (INRIA) estudiaron más de 10 millones de nombres de usuario-recogidos de perfiles públicos de Google, cuentas de eBay, y varias otras fuentes. Encontraron que aproximadamente la mitad de los nombres de usuario utilizados en un sitio podían ser vinculados a otro perfil en línea, permitiendo potencialmente a los responsables de marketing y a los estafadores construir un perfil más complejo de los usuarios.
"Estos resultados muestran que algunos usuarios se pueden perfilar sólo por sus nombres de usuario", afirma Claude Castelluccia, director de investigación del grupo de investigación de seguridad y privacidad en el INRIA, y uno de los autores de un estudio sobre la labor realizada. "Más específicamente, un generador de perfiles podría utilizar nombres de usuario para identificar todos los perfiles web que perteneciesen al mismo usuario, y después usar toda la información contenida en estos sitios para hacer el perfil de la víctima".
Un estafador podría utilizar esta información para crear un perfil de una persona y, a continuación, dirigirse a ella con convincentes mensajes de phishing-tal vez refiriéndose a compras específicas en otro sitio web. Los investigadores de INRIA han desarrollado una forma de determinar el grado en que un nombre de usuario es único, y un método de conexión de nombres de usuario basado en la información publicada en diferentes sitios.
Aquellos que poseen nombres de usuario más únicos son más vulnerables. "El otro 50 por ciento de los usuarios son más difíciles de vincular debido a que sus nombres de usuario poseen 'bajos' niveles de entropía y podrían, de hecho, estar vinculados a varios usuarios", afirma Daniele Perito, candidato a doctorado en el INRIA, que participó en el trabajo. Los investigadores del INRIA han creado una herramienta que puede comprobar el grado en que un nombre de usuario es único, y por lo tanto la facilidad con que un atacante podría utilizarlo para construir el perfil de una persona.
Los investigadores están explorando formas en que las huellas de datos que los usuarios dejan en diferentes páginas web y dispositivos pudieran ser combinadas y usadas para hacerles un seguimiento. Un documento de 2010 mostraba que los grupos en línea a los que pertenecían las personas podían ser utilizados para inferir su verdadera identidad en un 42 por ciento de los casos. Otro equipo de investigación descubrió que más de la mitad de todas las aplicaciones de teléfono inteligente filtraban identificadores de usuario únicos que podían ser utilizados para rastrear los intereses del usuario y, potencialmente, su ubicación.
La construcción de perfiles de consumidores usando información procedente de Internet ya se ha convertido en una industria importante para los responsables de marketing, así como para los cibercriminales. El año pasado, por ejemplo, PatientsLikeMe.com, un sitio web para personas que utilizan servicios de pruebas genéticas, descubrió que la empresa de marketing Nielsen estaba extrayendo información de las publicaciones de sus usuarios.
Los expertos afirman que los usuarios deben evitar los sitios web que publiquen sus datos abiertamente. "No es sorprendente que la gente utilice el mismo nombre de usuario en diferentes lugares", asegura Avi Rubin, profesor de ciencias informáticas en la Universidad Johns Hopkins, y que se encuentra actualmente en un año sabático como becario Fulbright en la Universidad de Tel Aviv. "Lo importante es que la gente elija diferentes contraseñas para diferentes sitios de Internet, y que el conocimiento de su contraseña para un sitio no proporcione ninguna pista útil para deducir sus contraseñas en otros sitios".
FUENTE :http://www.laflecha.net/canales/blackhats/noticias/la-traicion-de-nuestro-nombre-de-usuario-en-internet