Menú
ASUS
QNAP
AVM
Aruba
Descifra el tráfico HTTPS con Bettercap 2 en Linux fácilmente
  1. Portada
  2. Tutoriales
  3. Seguridad
  4. Descifra el tráfico HTTPS con Bettercap 2 en Linux fácilmente
Seguridad

Descifra el tráfico HTTPS con Bettercap 2 en Linux fácilmente

Sergio De Luz
HTTPS

El protocolo HTTPS (Hypertext Transfer Protocol Secure) nos permite navegar por Internet con seguridad, ya que el navegador web establece una comunicación segura que está cifrada y autenticada punto a punto, desde nuestro navegador web hasta el servidor web donde nos estemos conectando. HTTPS es la versión segura de HTTP, ya que, en HTTP toda la información se envía sin ningún tipo de cifrado, por lo que, si cualquiera intercepta las comunicaciones, podrá ver absolutamente todo lo que se está enviando y/o recibiendo, incluido las contraseñas. Pero, con esta herramienta que te presentamos hoy es posible descrifrar el tráfico HTTPS.

Hay un motivo claro por el que se quiere descifrar el tráfico de HTTPS: tener una visión de los contenidos para analizarlos y así poder comprobar si hay indicios de posibles ataques o no. Para ello, en RedesZone os vamos a enseñar cómo hacer un ataque Man in the Middle para capturar tráfico de red, y descifrar el tráfico HTTPS configurando un proxy HTTP/HTTPS haciendo uso de la popular herramienta bettercap para Linux.

 

¿Qué es HTTPS y para qué sirve?

Actualmente, la gran mayoría de páginas web como RedesZone, webs de bancos, comercio electrónico en general y un largo etcétera, disponen del protocolo HTTPS para proporcionar seguridad a los clientes. HTTPS es la versión segura de HTTP, donde todas las comunicaciones van cifradas y autenticadas punto a punto, además, también se comprueba la integridad de todos los datos. Debemos recordar que el cifrado nos proporciona confidencialidad, es decir, aunque alguien capture el tráfico de datos, no podrán descifrarlo porque todo está encriptado punto a punto, aunque hay técnicas para colocarnos en el «medio» de la comunicación y proceder a descifrar dicho tráfico.

La autenticación significa que nosotros somos quienes decimos ser, es decir, nosotros establecemos una comunicación con el servidor web, y un tercero no podrá hacerse pasar por nosotros para que también se le envíe la información. Por último, la integridad es una característica de la criptografía muy importante, esto nos permite comprobar que todos los datos que salen desde un origen, llegan hasta un destino sin ningún tipo de modificación. Si alguien es capaz de interponerse en la comunicación de los datos, y los modifica, automáticamente el protocolo HTTPS (y todos los protocolos que participan) lo detectarán y no aceptarán dichos datos.

HTTPS hace uso del protocolo TLS para dotar de seguridad a sus comunicaciones, la gran mayoría de conexiones HTTPS hacen uso de TLSv1.2 y TLSv1.3, este último protocolo es mucho más rápido y también más seguro que TLSv1.2, ya que solamente admite ciertas suites de cifrado seguras, no permite la incorporación de suites de cifrados menos seguras como sí ocurre con TLSv1.2. Por supuesto, al utilizar TLS, por debajo hacemos uso del popular protocolo de la capa de transporte TCP en su puerto 443 por defecto. En el caso de HTTP, se hace uso directamente de TCP en su puerto 80 por defecto, esto es muy importante que lo sepáis para lo que os explicaremos próximamente.

 

Inspección de HTTPS

La mayor parte del tráfico se produce mediante HTTPS. En cualquier caso, con herramientas como la que te presentamos hoy, en este caso la segunda versión del programa Bettercap, podemos conseguir descrifrar el tráfico con el fin de que los administradores de red y los profesionales en general de seguridad puedan tener en su poder la información necesaria para protegerse frente a posibles amenzadas.

De ahí que sea importante descrifrar el tráfico de HTTPS. Y todo porque los profesionales tienen en su poder la opción de analizar los contenidos con el objetivo de ver si hay algún tipo de señal que se esté dando un ataque o no. En general, se lleva a cabo una labor de insepcción. Y gracias a este tipo de herramientas que nos dejan hacer auditorías.

 

Auditorías con Bettercap 2

Bettercap 2 es una herramienta que también nos permite realizar auditorías de seguridad en la red. Siendo esta asegunda versión, mucho más fiable en estos casos. Para ello, los desarrolladores realizaron una reescritura completa de la versión anterior. Todo buscando que la herramienta fuera más rápida, estable y sencilla de utilizar. Por lo cual se hace mucho más accesible para que cualquier administrador pueda llegar a utilizarla.

Este servicio es muy versátil para que los profesionales de la seguridad, puedan realizar amplias tareas como la captura de los paquetes, suplantación de identidades, interceptación del tráfico, inyección de paquetes, escaneo de puertos, entre otras muchas. Por lo cual puede ser un entorno muy bueno para realizar las auditorias. Pero algo que incorpora esta herramienta, es la capacidad de integrarse con otros servicios de código abierto, como puede ser Metasploit. Estos proporcionan soluciones de seguridad completa.

Por lo cual estamos ante una solución, que es muy válida para los profesionales de la seguridad. Con ella pueden realizar las auditorías de seguridad de las redes, y así ayudar en la protección contra las amenazas cibernéticas. En cambio, es importante conocer que Bettercap 2 se debe utilizar con precaución, y solo pro los profesionales capacitados o administradores. Siendo esto, algo que puede llegar a tener algunas implicaciones legales, siempre y cuando se utilice de una forma ilegal o malintencionada. Utilizar esta herramienta con fines adecuados, puede ser un buen beneficio para la empresa, ya que, al estar en un entorno protegido, ayuda a mejorar la confianza que tienen los clientes. Siendo esto algo que puede repercutir de forma considerable en la econocmía de la compañía.

Con Bettercap 2, podremos cubrir cuatro campos principales, y vitales en la estructura de todas las empresas. Estos son:

  • Identificación de vulnerabilidades.
  • Protección frente a ataques.
  • Análisis de seguridad.
  • Protección de datos sensibles.
 

Características de Bettercap e instalación

Bettercap es una herramienta muy potente que es compatible con las principales distribuciones basadas en Linux, algunas de sus principales características son las siguientes:

  • Escáner de redes WiFi, permite hacer ataques de desautenticación, también permite realizar ataques sin clientes a asociaciones PMKID, permite capturar handshakes de clientes que usan protocolo WPA y WPA2.
  • Escáner de dispositivos BLE (Bluetooth Low Energía) para leer y escribir información.
  • Escáner de dispositivos inalámbricos que usen la banda de 2.4GHz, como los ratones inalámbricos, también permite realizar ataques MouseJacking con inyección de datos.
  • Permite hacer ataques pasivos y activos a redes IP
  • Permite realizar ataques MitM basados en ARP, DNS y también DHCPv6, con el objetivo de capturar toda la información.
  • Permite crear un proxy HTTP/HTTPS para levantar el tráfico seguro HTTPS, y facilita enormemente el uso de scripts.
  • Sniffer de red muy potente para recolección de credenciales de usuario.
  • Escáner de puertos muy rápido, aunque para esto, mejor usar Nmap que el rey de los escáneres de puertos.
  • Tiene una potente API REST para realizar ataques fácilmente.
  • Incorpora una interfaz gráfica de usuario para facilitar los ataques, aunque el terminal de comandos es muy potente.
  • Tenemos una gran cantidad de módulos de diferentes categorías para ampliar funcionalidades.

Esta segunda versión de Bettercap se ha vuelto más sencilla, ya que es una herramienta que ya no trabaja con parámetros, sino que se ejecuta de manera interactiva. Por lo que es una de esas alternativas flexibles con diferentes opciones de configuración que es más sencilla de usar.

En las distribuciones de Linux orientadas a la seguridad informática es posible que bettercap venga instalada por defecto. De lo contrario, tendremos que instalarla nosotros mismos con todas las dependencias. Bettercap es claramente uno de los mejores softwares para la realización de auditorías a nivel de redes locales, obteniendo el tráfico HTTP, HTTPS o cualquier otro tipo de tráfico haciendo uso de cualquier tipo de protocolo de la capa de aplicación, y también independientemente del protocolo de la capa de transporte utilizado. Gracias a la comunidad y a los desarrolladores del software Bettercap, disponemos de una gran cantidad de funcionalidades realmente interesantes para la realización de todos los ataques. Seguramente el tipo de ataque más interesante es el poder crear un proxy HTTP/HTTPS, con el cual, podremos «descifrar» las comunicaciones HTTPS y ver todos los credenciales y el tráfico que está intercambiando la víctima, y todo ello de forma fácil y rápida con unos cuantos comandos.

Otra característica muy interesante de este programa es que incorpora una interfaz gráfica de usuario realmente intuitiva y muy avanzada, desde la que podremos ejecutar cualquier tipo de orden y ver en detalle todo lo que está ocurriendo en la red local. Lo más fácil para usar Bettercap es hacer uso de Docker (versión 17.05 o superior), ya que está en los repositorios de software de Docker, no obstante, nuestra recomendación es utilizar Bettercap instalado en tu PC de forma nativa, para tener el mejor rendimiento.

Si estás interesado en instalar Bettercap directamente a través de Docker, basta con ejecutar los siguientes comandos y automáticamente descargaremos el Docker de Bettercap.

docker pull bettercap/bettercap docker pull bettercap/dev

Y lo ejecutamos con:

docker run -it --privileged --net=host bettercap/bettercap -h

En caso de no tener Docker, lo tendremos que compilar desde el código fuente y necesitaremos las siguientes dependencias:

  • build-essential
  • libpcap-dev
  • libusb-1.0-0-dev
  • libnetfilter-queue-dev

Por ejemplo, en sistemas operativos basados en Debian, se instala de la siguiente forma:

sudo apt update

sudo apt install golang git build-essential libpcap-dev libusb-1.0-0-dev libnetfilter-queue-dev

Posteriormente, tendremos que descargarnos el código fuente y compilarlo:

git clone https://github.com/bettercap/bettercap

cd bettercap

make build

Una vez que tengamos instalada esta herramienta Bettercap, ya podremos empezar a utilizarla, ejecutamos vía consola «bettercap» veremos la versión. Lo más recomendable a la hora de utilizar este programa de forma avanzada, es ejecutar los diferentes comandos, porque en la consola nos saldrá toda la información relevante, sin necesidad de hacer uso de interfaz gráfica de usuario. Además, debemos tener en cuenta que este programa también se puede usar en servidores con el objetivo de realizar auditorías, de esta forma, tendremos que ejecutar sí o sí este programa a través de consola porque en escenarios de servidores no disponemos de interfaz gráfica de usuario.

Antes de empezar, también podríamos ejecutar Bettercap con la interfaz gráfica de usuario web UI, para hacerlo debemos ejecutar la siguiente orden:

bettercap -eval "caplets.update; ui.update; q"

Y para lanzar el entorno gráfico, hacemos lo siguiente:

sudo bettercap -caplet http-ui

Si abrimos el navegador web y ponemos http://127.0.0.1 podremos acceder a la interfaz gráfica de usuario:

El nombre de usuario de bettercap web UI es «user», y la contraseña es «pass», tal y como aparece en el fichero de configuración:

Una vez que accedamos al menú de administración de bettercap a través del navegador, podremos ver los siguientes menús:

Hay muchos ataques que se pueden ejecutar directamente desde la interfaz gráfica de usuario, pero nosotros os lo vamos a poner por comandos porque es casi igual de sencillo, no obstante, también os vamos a enseñar a hacer ciertos ataques a través de la interfaz gráfica de usuario.

 

Ventajas de Bettercap

Bettercap es una herramienta de seguridad de código abierto, que nos da algunas ventajas frente a sus competidores. Las ventajas más reconocidas son:

  • Flexibilidad: Se trata de una herramienta altamente flexible, que se puede personalizar para que esta se adapte a las necesidades que vamos a tener, o a las necesidades de seguridad que tiene una organización. Por otro lado, es compatible con una gama muy amplia de sistemas operativos. Entre ellos, los más famosos como Windows, MacOS y Linux.
  • Potencia: Bettercap es una herramienta muy potente, la cual puede realizar una amplia variedad de diferentes ataques de intercepción. Esto incluye la captura de contraseñas, suplantación de direcciones o la manipulación de paquetes. Esto hace de Bettercap, una completa herramienta de seguridad y muy robusta.
  • Interfaz: Toda la interfaz de la herramienta resulta sencilla de utilizar, siendo muy intuitiva y accesible. Por lo cual estamos ante una solución muy accesible, sobre todo para aquellos usuarios que no cuentan con una gran experiencia en el apartado de la seguridad informática. En la interfaz gráfica de usuario, se permite a los usuarios ver y realizar análisis de los resultados de los ataques de una forma sencilla y rápida.
  • Costo: Se trata de una solución de código abierto y gratuita. Por lo cual es muy accesible para pequeñas o medianas empresas, las cuales buscan herramientas de seguridad potentes, sin la necesidad de gastar grandes cantidades de dinero.
  • Comunidad: Bettercap tiene una gran comunidad de usuarios y desarrolladores, que trabajan de forma conjunta para mejorar la aplicación y solucionar los problemas que pueda tener. Esto también indica, que en caso de problemas podemos acudir a sus foros a buscar respuesta. O incluso soporte por parte de algún usuario.

Por lo cual, estamos ante una solución muy potente, flexible, y accesible para que todo el mundo la pueda utilizar. Su gran variedad de funciones, nos sirve tanto para asegurar nuestra red, como para realizar auditorías de la misma.

 

Así puedes descifrar las comunicaciones HTTPS

El escenario de pruebas donde hemos realizado todas las pruebas, son dos VM en VMware en un entorno NAT, con la subred 192.168.248.0/24, y puerta de enlace predeterminada 192.168.248.2.

  • Equipo atacante: Kali Linux con IP 192.168.248.131
  • Equipo víctima: Debian con IP 192.168.248.129

Lo primero que vamos a hacer, es ejecutar el típico ataque de ARP Spoofing para capturar todo el tráfico, el tráfico HTTPS estará cifrado y no podremos descifrarlo. También capturaremos el tráfico ICMP, tráfico TCP y UDP, y tráfico HTTP. Para poder hacer esto, simplemente debemos ejecutar los siguientes comandos:

sudo bettercap

Una vez dentro de bettercap, debemos ejecutar varias órdenes para configurar el software. Lo primero que debemos hacer es definir el objetivo, en nuestro caso la máquina Debian con IP 192.168.248.129. No es necesario poner también la puerta de enlace predeterminada.

set arp.spoof.targets 192.168.248.129

arp.spoof on

Si ejecutamos el comando «help», bettercap nos indicará todo lo que está funcionando:

Una parte interesante es si ejecutamos «help arp.spoof», ya que nos aparecerán todas las opciones disponibles en este módulo. Una de las opciones más interesantes es «arp.spoof.fullduplex», esta opción permite hacer un ARP Spoofing tanto al objetivo como a la puerta de enlace predeterminada (gateway), pero si el router tiene protección frente a ataques ARP Spoofing fallará el ataque. Nuestra recomendación es que lo activéis siempre, por tanto, el listado de comandos sería el siguiente:

set arp.spoof.targets 192.168.248.129
arp.spoof.fullduplex true
arp.spoof on

Una vez hecho esto, si en Kali Linux ejecutamos el Wireshark para capturar todos los paquetes de la interfaz eth0, podremos ver todo el tráfico que va y viene hacia y desde la víctima. Si os fijáis, tenemos el tráfico ICMP de 192.168.248.129, es decir, el equipo con Debian que estamos atacando.

También capturaremos todo el tráfico de DNS, TCP, UDP y todos los protocolos, incluyendo el tráfico cifrado, pero no lo podremos descifrar solamente con el ARP Spoofing.

Si nos metemos en bettercap a través del entorno gráfico, podremos hacer esto mismo, e incluso podremos seleccionar hacer un ARP Spoofing a la puerta de enlace predeterminada.

Para hacer este ataque a través de la interfaz gráfica, nos vamos a LAN, seleccionamos el objetivo o los objetivos, los añadimos a «arp.spoof.targets» y pinchamos en «Full-Duplex spoofing». Nos aparecerá el listado de equipos disponibles en la red local, si no nos aparecen, pinchamos en el icono de «Play» en recon module.

Una vez que ya sabemos hacer el típico ataque ARP Spoofing, ahora vamos a hacer lo mismo, pero habilitando el proxy HTTP con ssltrip activado, para levantar todas las comunicaciones HTTPS.

Ejecutamos en Kali Linux el bettercap como siempre:

bettercap

Una vez dentro, debemos configurar bettercap de la siguiente forma:

set http.proxy.sslstrip true
set net.sniff.verbose false
set arp.spoof.targets 192.168.248.129
arp.spoof.fullduplex true
arp.spoof on
http.proxy on
net.sniff on

Cuando lo hayamos hecho, si la víctima visita un sitio con HTTPS, automáticamente se convertirá a HTTP, y podremos capturar las credenciales de usuario. A continuación, se puede ver perfectamente cómo he intentado iniciar sesión en pccomponentes, y ha capturado tanto el usuario (email) como también la contraseña. Lógicamente, hemos introducido credenciales falsas para no mostrar los nuestros reales, por este motivo nos devuelve un error 401.

Si navegamos por otras webs, también podremos ver todo el tráfico.

Si la web tiene habilitado HSTS (HTTP Strict Transport Security) no podremos «levantar» el tráfico HTTPS, por tanto, todo el tráfico estará cifrado.

 

Capturar contraseñas de un modo sencillo

La parte divertida de esta aplicación radica aquí, en este preciso punto, Bettercap usa sslstrip para cambiar las páginas web https a simples páginas http, lo que garantiza que las contraseñas se transfieran en texto claro y que pueda leerlas sin ningún problema. Apuntaré a mi teléfono Lenovo desde mi máquina Kali. Primero, debes encontrar la IP de tu objetivo. Esto se puede hacer simplemente ejecutando bettercap y esperando que aparezcan todas las máquinas en su red. Una vez que lo hagan, puedes identificar el que está tratando de atacar y anotar su IP. Luego use esta IP como la IP de destino. Veamos primero los pasos.

Por cierto, asumimos que te conectaste a la red que estás atacando usando la interfaz wlan0. Si no, especifique su interfaz usando la opción -I.

  • Ejecuta el comando bettercap en la terminal
  • Espera a que bettercap adquiera objetivos.
  • Cuando bettercap descubra el objetivo que está buscando, anota su dirección IP. Llamémoslo TARGET_IP.
  • Presiona ctrl+c para detener bettercap (si se pierde la conectividad a Internet, reinicia su interfaz wlan0)
  • Ejecuta este comando:  bettercap -T TARGET_IP –proxy -P POST (reemplaza TARGET_IP  con la IP apropiada)

Ahora tu máquina atacante está lista y escuchando el tráfico en la red. Una vez que tu víctima abra cualquier página de inicio de sesión, bettercap usará sslstrip para eliminar el https de la URL, y una vez que el objetivo ingrese sus credenciales de inicio de sesión, las verás en texto sin cifrar.

 

¿Qué es HSTS y para qué sirve?

Tal y como habéis visto, descifrar las comunicaciones HTTPS es muy sencillo, pero no siempre es posible. Actualmente muchas webs hacen uso del protocolo HSTS para proteger aún más las comunicaciones de sus usuarios. HSTS, o también conocido como HTTP Strict Transport Security, es una política de seguridad web que evita este mismo ataque que os acabamos de enseñar, gracias al uso de cookies, el servidor web le «dice» al navegador web, que siempre que vuelva a acceder a su página web, haga uso del protocolo HTTPS, por lo que la comunicación estará cifrada punto a punto, y aunque interceptemos la comunicación sniffeando el tráfico, no podremos ver el tráfico intercambiado porque no podemos usar bettercap para «levantar» el cifrado TLS. Estas cookies tienen una caducidad, pero una buena política de configuración (de cara al servidor web) es poner un valor muy alto, por ejemplo, un año (max-age=31536000).

El funcionamiento de HSTS es muy sencillo, hay algunos navegadores web que incorporan ciertas cookies HSTS por defecto, sobre todo los «grandes» de Internet como Google y muchos otros tienen en la lista «preload» de HSTS sus dominios, por tanto, nunca podremos acceder a estos dominios a través del protocolo HTTP. Si el navegador detectar que no se puede acceder vía HTTPS a ese dominio, rechaza la conexión y no podremos conectarnos. Si el navegador detecta que el certificado digital del servidor es autofirmado, también denegará la conexión y no podremos conectarnos. De hecho, ni siquiera si accedemos en modo incógnito podremos conectarnos. Todos los navegadores actuales suelen incorporar esta lista para proteger a los usuarios.

En el caso de «el resto de Internet» como webs de comercio electrónico, bancos, medios de comunicación y muchos otros, nos tendremos que meter como mínimo una vez, para que la cookie de HSTS se descargue en nuestro navegador web y obtengamos esta protección. En este caso, si a partir de la segunda vez, el navegador detecta que no se puede acceder vía HTTPS a ese dominio, rechazará la conexión y nos dará un error al conectarnos. Además, si el navegador detecta que el certificado digital del servidor es autofirmado, también se denegará la conexión y no podremos conectarnos. En caso de querer acceder a esta web (por el motivo que sea), deberás usar otro navegador web con el que nunca hayas accedido antes, pero esto no es recomendable porque podrían estar atacándote, es mejor no conectarte a la web.

Si queremos realizar un ataque a un usuario y se mete en una web con HSTS, el único momento en el que se podría descifrar la conexión es antes de la primera conexión histórica del usuario (porque sea un navegador nuevo, ordenador recién formateado, nunca se ha metido en esa web etc.) Imaginemos que el usuario víctima se ha comprado un ordenador portátil nuevo, se va a un hotel y se conecta por primera vez al banco con su navegador recién instalado, en este caso sí podríamos atacarle porque aún no tiene la cookie HSTS en su navegador web. Para evitar esto, tenemos la directiva «preload» en los servidores web, pero hay que usarla con cuidado porque tenemos que darnos de alta en la lista de HSTS Preload, de lo contrario los usuarios tendrán problemas para conectarse.

Tal y como habéis visto, la política de HSTS ayuda a proteger a los usuarios de webs de los ataques pasivos y activos, esta medida de seguridad es una de las más importantes que se deben configurar en un servidor web, porque un atacante MitM tendrá una capacidad mínima para interceptar las peticiones y respuestas entre la víctima y el servidor web.

Bettercap incorpora un «caplet» que nos permite hacer un ataque HSTS Hijack y eludir esta protección, se basa en hacer un DNS Spoofing y reenviar a la víctima a otro dominio bajo nuestro control, para posteriormente capturarle toda la información. Los caplets son scripts en Bettercap que vienen preconfigurados, pero que nosotros podemos modificar fácilmente, para descargarlos tenemos que ejecutar las siguientes órdenes en el terminal Linux:

git clone https://github.com/bettercap/caplets.git

cd caplets

sudo make install

Una vez hecho, lo ejecutamos poniendo:

bettercap -caplet RUTA

En la siguiente captura se puede ver la ejecución del caplet por defecto:

Y aquí el registro del ataque realizado:

 

Limitaciones de Bettercap

A partir de la ejecucion de las pruebas que hemos puesto anteriormente, estas son las limitaciones de la herramienta que observamos:

  • El mayor problema: no funciona en todos los sitios, antes de probar, por ejemplo, capturar en Outlook, intentamos ver si se podía llevar a cabo este ataque MITM en Facebook, Gmail, Twitter, etc. Desafortunadamente, no pudimos porque utilizan el protocolo HSTS y está la cookie en el navegador web. Solo parece funcionar con algunos sitios web.

La diferencia en la URL sí es fácilmente visible. Cualquiera que sepa qué es https, notará la falta de este. Nosotros, por nuestra parte, nunca ingresaríamos nuestras credenciales en una página http. Las W adicionales en www tampoco ayudan, y son mas de lo mismo, alguien con un mínimo de conocimiento notará fácilmente que algo no anda bien.

Os recomendamos visitar la web oficial de Bettercap donde encontraréis toda la información sobre esta gran herramienta.

¡Sé el primero en comentar!
Logo redeszone.net
Navega gratis con cookies…

Navegar por testdevelocidad.es con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias./p>

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

Elección de cookies
O sin cookies desde 1,67€ al mes

Por solo 1,67€ al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin cookies.

Suscribirme desde 1,67€ al mes
Consulta nuestra Política de Privacidad.