Fingerprinting o huella digital de nuestros dispositivos

Total
0
Shares

Durante mucho tiempo hemos oído hablar de cómo las cookies invaden nuestra privacidad cuando navegamos en Internet y recopilan y almacenan nuestros datos para que, entre otras cosas, se nos muestre publicidad más acorde a nuestras necesidades. Se supone que con una serie de configuraciones que ya se trataron anteriormente en el artículo Cookies: qué son, para qué sirven y cómo borrarlas, lograremos que las webs que visitamos y/o terceras partes no sean tan invasivas y no recopilen (tantos) datos que pueden comprometer nuestra privacidad.

Sin embargo, en ese mismo artículo se explicaba que existen cookies que no se pueden borrar realmente, que se recrean a sí mismas, las zombie cookies. Pero, ¿son las cookies la única forma mediante la que se puede individualizar a un usuario en Internet?

En este artículo vamos a hablar sobre el fingerprinting o huella digital del dispositivo; es decir, cómo se puede crear un perfil único de cada individuo que lo diferencia del resto de millones de usuarios que usan Internet, todo ello a través del acceso a las características de los dispositivos que usan.

Hace poco más de una semana la Agencia Española de Protección de Datos (AEPD) publicó su estudio “Fingerprinting o Huella digital del dispositivo”, el cual es bastante claro y conciso, y del que aquí haremos un breve resumen para simplificar y facilitar el acceso a esta información que resulta ser de radical importancia en un mundo donde cada vez se comercializa más con la privacidad del usuario.

En primer lugar, ¿qué es la huella digital del dispositivo? La AEPD la define como “una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario del mismo con el propósito de perfilarlo”.

En segundo lugar, ¿por qué quieren las empresas individualizar a los usuarios? La respuesta más simple e “inofensiva” a esta pregunta es la publicidad. Sobre todo en el caso de los servicios gratuitos, aquello con lo que el usuario acaba pagando son sus datos. Para ello se usan las mencionadas cookies, pero debido a que su intrusión puede ser controlada mediante la configuración de los navegadores o incluso con antivirus, se han creado técnicas que superan la capacidad de las cookies.

Estas técnicas están “[…] basadas en la recopilación de información específica del navegador web y/o dispositivo de navegación, cuya combinación permite construir un identificador para singularizar al usuario […]”, y llegan hasta el punto de registrar los movimientos que hacemos con el ratón en una página web para ver en qué partes de la pantalla pasamos más tiempo. La combinación de los diferentes datos recopilados es lo que permite la singularización del usuario; algunos de los datos que se pueden recopilar (normalmente sin conocimiento ni consentimiento del usuario) son:

  • El modelo de navegador.
  • El tipo y versión de sistema operativo.
  • La resolución de la pantalla.
  • Información sobre el procesador.
  • Listas de fuentes de texto.
  • Dispositivos instalados.
  • Direcciones IP.
  • El idioma.
  • La zona horaria.
  • El listado de aplicaciones instaladas.

El motivo por el que el bloqueo de las cookies puede resultar inútil frente al uso del fingerprinting es porque cuando se genera una cookie, aunque se borre, ésta es detectada y se almacena su huella digital y por tanto se puede restituir más adelante para reidentificar al usuario. Además de que normalmente no se avisa al usuario sobre el uso de técnicas de fingerprinting, cuando este tipo de prácticas se llevan a cabo de manera transparente frente al usuario, éste no puede hacer nada para evitarlo, por lo que se encuentra desprotegido en un doble frente: por un lado cuando no se le avisa, porque no es consciente de que hasta qué punto se está recopilando su información, y por otro, paradójicamente, cuando se le avisa porque no puede hacer nada para remediarlo ya que está siendo notificado.

A diferencia de las cookies, cuya información a veces puede ser eliminada (cuando no se trata de zombie cookies y/o cuando no se combinan con técnicas de fingerprinting), en el informe de la AEPD se indica que “todo terminal que se conecte a una página web que use estas técnicas quedará identificado para siempre en ese servidor y lo hace globalmente, pues el alcance de Internet es planetario”.

Entonces, ¿cuáles son las formas de defensa que tiene el usuario para protegerse en estos casos? Ya que uno de los mecanismos de identificación que usa el fingerprinting es la detección de características poco comunes en los dispositivos del usuario, uno de los métodos de protección sería usar aplicaciones más generales; en el informe se señala que tan solo un 3% de la población estudiada usa el navegador Opera, mientras que un abrumador 59% usa Chrome. En este caso, usar Chrome haría más difícil la individualización del usuario (combinado con otros métodos, y aun así seguirá siendo posible singularizar a la persona).

Existen, además, páginas webs que permiten señalar aspectos de nuestro navegador que permiten el seguimiento de los pasos que damos en Internet. Una de ellas es AmIUnique.org. Esta web, además de informar al usuario sobre lo ya señalado, aprovecha la información sobre fingerprinting para dar a conocer qué aspectos permitirán a la persona tener una configuración más similar a la del resto de usuarios para minimizar el seguimiento que se realiza sobre sus datos de navegación.

Se puede usar, asimismo, la función Do Not Track (DNT) de los navegadores, aunque cabe señalar que, en una abrumadora mayoría de las ocasiones señaladas en el estudio de la AEPD, la petición DNT era ignorada por los servidores web. De las 5.006 urls analizadas, se detectó que tan solo el 16,72% comprobaban si el usuario tenía o no activada o no la función, lo que implicaría el consentimiento o no consentimiento del tratamiento de datos. Dentro de este 16,72%, en un 92% de los casos la comprobación ni siquiera la hacía la propia web, sino terceras partes. La peor parte es que de entre las webs que utilizan Canvas (uno de los métodos de fingerprinting más intrusivos), cuando la petición DNT de los usuarios estaba activada, era ignorada en el 96,12% de los casos; como bien indica el informe, no se trata de que se ignore realmente la petición en el sentido estricto de la palabra, “sino que estos programas pueden incluso utilizar la variable DNT para confeccionar la huella como un factor de singularización adicional”. Es decir, los métodos de fingerprinting pueden aprovechar el propio método de bloqueo activado por el usuario para lograr su identificación.

No obstante, existen vías que hasta cierto punto sí logran una reducción efectiva de la recopilación de datos; se trata de los bloqueadores de herramientas de seguimiento de usuarios, como por ejemplo uBlock Origin, Ghostery, Disconnect, Adguard, Adsafe y Adblock.

Otra cosa que se puede hacer es deshabilitar el uso de Javascript, lo cual evita la captura de parte de datos del terminal (aunque no en todos los casos). Tiene como aspecto negativo que puede impedir la navegación efectiva en numerosas páginas web. Además, se puede alternar el uso de navegadores; esto evitará que toda la información se asocie a un mismo identificador. El informe también recomienda el uso del navegador TOR, pero si la memoria no me falla, la efectividad de protección de antirastreo de TOR va disminuyendo a medida que aumenta la frecuencia de uso del navegador.

Para usuarios un poco más avanzados se puede pensar en la posibilidad de acceder a Internet en máquinas virtuales (aplicaciones que simulan dispositivos que utilizan diversos sistemas operativos y a su vez, configuraciones de navegadores).

Se recomienda, por último, evitar en la medida de lo posible instalar extensiones en el navegador, puesto que:

  • Uno de los factores de identificación mediante fingerprinting consiste en obtener una lista de extensiones y/o plugins del navegador.
  • Cuando instalamos una extensión estamos aceptando los términos y condiciones de una tercera parte, un desarrollador ajeno al de nuestro navegador, con las implicaciones que esto conlleva.

Para finalizar, debemos señalar dos aspectos que NO funcionan para prevenir el seguimiento:

  • Navegación privada. Ofrece una seguridad falsa pues la información del equipo queda igualmente individualizada.
  • Utilización de redes de anonimación o VPN’s. Evitan la revelación de las direcciones IP al servidor de destino, pero no filtran la recogida de datos que aportan información sobre los terminales. Se trata de lo que mencionábamos en un principio: cuando el servicio es gratuito, se paga con la privacidad.
4 comentarios
Deja un comentario
También puede interesarte