La inmensa mayoría de la gente no sabe realmente la función de las llamadas "cookies informáticas".

Las cookies se utilizan normalmente por los servidores de aplicaciones para diferenciar entre usuarios y para actuar de diferente forma dependiendo de éstos. Las cookies se inventaron para ser utilizadas en una cesta de compra virtual, que sirve para el usuario vaya añadiendo los elementos que desea adquirir, de forma que estos puedan navegar por el sitio donde se muestran los objetos a la venta y añadirlos y eliminarlos de esta cualquier momento. Las cookies permiten que el contenido de la cesta de la compra dependa de las acciones del usuario y que esta quede registrada en la web para no perderla aunque cerremos o reiniciemos sesión.

Fueron usadas en informática cuando el programador Lou Montilli tuvo la idea de utilizarlas en las comunicaciones web en junio de 1994.En ese momento era un empleado de Netscape communications, que estaba desarrollando una aplicación de comercio electronico.

La primera versión fue publicada el 13 de octubre de 1994. El primer uso de las cookies (fuera del laboratorio) fue validar si los visitantes del website de Netscape ya habían visitado anteriormente el sitio.

Y ahora llegamos al dilema, ¿las cookies son útiles para nuestro día a día o realmente nos son más perjudiciales, en el ámbito de privacidad, que beneficiosas?

Es decir, ¿nos sale rentable utilizarlas cuando navegamos por la red?.

Yo voy a resaltar ahora los inconvenientes de utilizarlas y os invito a comentar que pros veis vosotros a las cookies.

Robo de cookies

Cuando utilizamos cookies estas se envían a al servidor de la página y a al propio ordenador del usuario.

Dado que pueden transportar datos sensibles como contraseñas, nombre del usuario...esta información no debería ser accesible desde otros dispositivos.

Sin embargo si estas en una sesión normal las cookies pueden ser visibles a todas las personas que escuchen en la red un programa de captura de tramas de paquetes.

Aunque podemos resolverlo si usamos HTTPS, que produce seguridad en la capa de transporte para cifrar la conexión.

Los navegadores modernos permiten la ejecución de segmentos de código recibidos del servidor. Si las cookies están accesibles durante la ejecución, su valor puede ser comunicado de alguna manera a servidores que no deberían acceder a ellas. El proceso que permite a una parte no autorizada recibir una cookie se llama robo de cookies, y el cifrado no sirve contra este tipo de ataque.

Falsificación de cookies

Aunque las cookies deben ser almacenadas y enviadas de vuelta al servidor sin modificar, un atacante podría modificar el valor de las cookies antes de devolverlas. Si, por ejemplo, una cookie contiene el valor total de la compra de un usuario en un sitio web, cambiando ese valor el servidor podría permitir al atacante pagar menos de lo debido por su compra. El proceso de modificar el valor de las cookies se denomina falsificación de cookies y a menudo se realiza tras un robo de cookies para hacer un ataque persistente.

Sin embargo, la mayoría de los sitios en la web solo almacenan en la cookie un identificador de sesión ?un número único utilizado para identificar la sesión del usuario? y el resto de la información se almacena en el propio servidor. En este caso, es muy complicado que se de una falsificación de cookies.

Cookies entre sitios

Cada sitio debe tener sus propias cookies, de forma que un sitio nose.com no tenga posibilidad de modificar o definir cookies de otro sitio como sise.com.

Las debilidades de los navegadores permiten a los sitios maliciosos romper esta regla realizando así cross-site cooking (cookies entre sitios) . Esto es similar a la falsificación de cookies, pero el atacante se aprovecha de usuarios no malintencionados con navegadores vulnerables, en vez de atacar el sitio web directamente. El objetivo de estos ataques puede ser realizar una fijación de sesión (robo de sesión en un sitio web) esto quiere decir que tiene total libertad dentro de tu cuenta por ejemplo de correo, facebook o tweeter por ejemplo.