RC3
Ya sea analizando las crestas y surcos de la yema de un dedo o la información del navegador análogamente única, el uso de una huella digital es una forma muy precisa de identificar a alguien. Es muy complicado obtener la huella digital de una persona sin su conocimiento, pero resulta que ahora hay servicios en Internet que identifican a los usuarios mediante la “huella digital” de su navegador, y no teniendo en cuenta sus intereses.
Un equipo de la Universidad Bundeswehr de Múnich ha desarrollado una extensión de navegador que permite rastrear qué sitios web recopilan las huellas digitales de tu navegador y cómo lo hacen. El equipo también analizó 10,000 sitios web populares para ver qué tipo de información recopilan. La presentación de uno de los miembros del equipo, Julian Fietkau, en el Remote Chaos Communication Congress (RC3) trató sobre este tema y el trabajo del equipo al respecto.
¿Qué es una huella digital de navegador?
Una huella digital de navegador es un conjunto de datos que un sitio web puede obtener sobre tu computadora y navegador cuando se solicita la carga de una página. La huella digital incluye docenas de tipos de datos, desde el idioma que usas y la zona horaria en la que te encuentras, hasta las extensiones que tienes instaladas y la versión de tu navegador. También puede incluir información sobre tu sistema operativo, RAM, resolución de pantalla, configuración de fuente y mucho más.
Los sitios web recopilan diferentes cantidades y tipos de información y la utilizan para generar un identificador único para ti. La huella digital del navegador no es una cookie, pero se puede utilizar de forma similar. Y, aunque tengas que dar tu consentimiento para el uso de las cookies (probablemente ya estés harto de cerrar este tipo de notificaciones), la toma de huellas digitales de navegador no requiere tu consentimiento.
Además, ni siquiera el modo incógnito impedirá la recopilación de las huellas digitales de tu navegador. Casi todos los parámetros del navegador y del dispositivo siguen siendo los mismos y se pueden utilizar para determinar a la persona que navega.
¿Cuál es el uso de las huellas digitales de navegador?
El primer propósito de una huella digital de navegador es confirmar la identidad de un usuario sin ningún esfuerzo por su parte. Por ejemplo, si un banco puede saber por la huella digital de tu navegador si eres tú el que está realizando una transacción, no necesita molestarse en enviar un código de seguridad a tu teléfono y puede centrar sus esfuerzos en acciones en las que alguien, incluso tú, inicie sesión en su cuenta con una huella digital de navegador diferente. En este ejemplo, las huellas digitales de navegador mejoran tu experiencia.
El segundo propósito es mostrar anuncios dirigidos. Si lees un artículo en un sitio web sobre cómo elegir una plancha y después te diriges a otro sitio web que use la misma red publicitaria, esta red te mostrará anuncios de planchas. Básicamente, se realiza un seguimiento sin tu consentimiento, por lo que el odio y la sospecha de los usuarios hacia esta práctica es bastante comprensible.
Dicho esto, muchos sitios web con componentes integrados de varias redes publicitarias y servicios de análisis recopilan y analizan tus huellas digitales.
Cómo saber si un sitio está analizando la huella digital de tu navegador
Para obtener la información y recopilar la huella digital de un navegador, un sitio web envía varias solicitudes a través del código JavaScript incrustado al navegador. La suma de las respuestas del navegador constituye tu huella digital.
Fietkau y sus colegas analizaron las bibliotecas más populares con este tipo de código JavaScript, recopilando una lista con 115 técnicas distintas que se utilizan con más frecuencia para trabajar con huellas digitales de navegador. Luego crearon una extensión de navegador llamada FPMON que analiza las páginas web en busca de esas técnicas y le dice al usuario exactamente qué datos está tratando de recopilar un sitio en particular para hacerse con la huella digital de navegador.
Los usuarios que tengan FPMON instalado recibirán una notificación cada vez que un sitio web solicite información del navegador. Además, el equipo dividió los tipos de información en dos categorías: sensible y agresiva.
La primera categoría incluye la información que un sitio web puede solicitar por motivos legítimos. Por ejemplo, conocer el idioma del navegador permite que un sitio aparezca en tu idioma preferido y la información sobre tu zona mostrará la hora correcta. Sin embargo, esa información aún podría decir algo sobre ti.
La información agresiva es irrelevante para el sitio, probablemente se utiliza con el único propósito de recopilar la huella digital de tu navegador. Puede incluir la cantidad de memoria del dispositivo o una lista de complementos instalados en tu navegador, por ejemplo.
¿Con qué agresividad recopilan los sitios las huellas digitales del navegador?
FPMON puede detectar solicitudes de 40 tipos de información. Casi todos los sitios web solicitan al menos algún tipo de información sobre el navegador o el dispositivo. ¿En qué momento deberíamos asumir que un sitio web realmente está intentando recopilar una huella digital? ¿En qué momento deberías preocuparte?
Los investigadores utilizaron sitios existentes como el proyecto Panopticlick (también conocido como Cover Your Tracks) de la EFF, que el grupo de defensa de la privacidad creó para demostrar cómo funcionan las huellas digitales de navegador. Panopticlick requiere 23 parámetros para funcionar y puede identificar a un usuario con más del 90 % de seguridad. Fietkau y su equipo establecieron 23 parámetros como su valor mínimo; si se igualan o se superan, podemos dar por hecho que un sitio web está rastreando a los usuarios.
Los investigadores analizaron los 10,000 sitios web principales (según la clasificación de Alexa) y descubrieron que la mayoría de ellos, casi el 57 %, solicita de entre 7 a 15 parámetros, lo que supone un valor medio de 11 parámetros. Aproximadamente el 5 % de los sitios web no recopila un solo parámetro y el número máximo recopilado fue 38 de los 40 posibles. Sin embargo, solo tres de los 10,000 solicitaron esa cantidad.
Los sitios web de su estudio utilizaron más de un centenar de scripts para recopilar los datos y, aunque muy pocos scripts recopilaron mucha información de la categoría agresiva, descubrieron que se utilizan en algunos sitios web muy populares.
Cómo protegerse contra las huellas digitales
Hay dos métodos que pueden evitar que los scripts de un sitio web recopilen la huella digital de tu navegador: bloquearlos y darles información incompleta o incorrecta. Los softwares de privacidad utilizan un método u otro. En cuanto a los navegadores, Safari recientemente comenzó a proporcionar solo información básica e impersonal, protegiendo así a los usuarios del rastreo a través de las huellas digitales.
Algunas organizaciones también han aportado su granito de arena con extensiones de navegador. Por ejemplo, Privacy Badger, un complemento de privacidad desarrollado por la EFF, intenta bloquear los scripts, aunque no todos. El complemento no afecta a los scripts que solicitan datos que pueden ser necesarios para que una página se muestre correctamente o para que funcionen algunas de sus funciones (pero que también pueden contribuir a la recopilación de una huella digital).
Usamos esta misma estrategia en nuestra extensión de navegador Kaspersky Protection, evitando que los sitios web recopilen demasiada información del usuario y, por tanto, generen una huella digital. Kaspersky Protection forma parte de nuestras principales soluciones de seguridad para consumidores. Eso sí, no te olvides de habilitarlo.
