Más allá de las cookies: la amenaza de los canvas fingerprinting

La privacidad se está convirtiendo en un anhelo personal. Cada vez más usuarios están deshabilitando cookies (de tercera parte o todas), o borrándolas con más frecuencia, al tiempo que muchas de ellas devienen inútiles con el acceso móvil. Afortunadamente, los usuarios están tomando consciencia de los datos generados en sus interacciones digitales y están empezando a actuar en consecuencia. Pero queda mucho por hacer.

Durante mucho tiempo se consideraba que la dirección IP y las cookies HTTP eran las únicas huellas digitales confiables que afectaban la privacidad online y la identidad del navegador web. Pero la realidad es que, pasado un tiempo, los “invasores de la privacidad” como los califica BrowserLaeaks, comenzaron a buscar maneras de mejorar el seguimiento del usuario para identificar a los usuarios del flujo general, comenzaron a recopilar más y más información adicional del usuario.

Por supuesto hay técnicas de rastreo más “invisibles” y complejas que permiten a un sitio web identificarte sin que te enteres de nada, y sin que ninguna cookie intervenga en el proceso, se llama: canvas fingerprinting del grupo de técnicas que se denominan ‘browser o device fingerprinting’.

El canvas fingerprinting es una técnica para identificar un navegador o un dispositivo que fue presentada por primera vez en el año 2012 por Keaton Mowery y Hovav Shacham. Explicado de forma simple: el elemento canvas es parte de HTML5, permite interpretación dinámica de formas e imágenes. Explotando la API de Canvas de los navegadores modernos (Chrome, Safari, Edge..), se pueden detectar las diferencias más sutiles en el renderizado del mismo texto que hacen tu navegador o el mío. De ahí se extrae una huella digital en fracción de segundos para identificarte sin que te enteres.

Una explicación técnica y exhaustiva puedes encontrarla en Browser fingerprinting: fundamentos y posibilidades de protección.

¿Por qué tanto revuelo?

La inmensa mayoría de los usuarios vivimos con una gran ignorancia tecnológica, desconociendo total o parcialmente, el impacto en nuestras vidas de la inmensa mayoría de las tecnologías que usamos a diario…. hasta que alguien nos pone sobre aviso. Eso es lo que sucedió en 2014 cuando investigadores de la Universidad de Princeton en los EEUU y de la Universidad Ku Leuven de Bélgica evaluaron el top100 de webs con más tráfico s/Alexa y encontraron que el 5.5% incluía un script canvas para hacer fingerprinting. También encontraron que la mayoría de los scripts de rastreo pertenecían a un único proveedor: addthis.com. 5542 sitios de los 100 mil revisados rastreaban usando esta técnica. Algunos de los más destacados incluyen a varias webs de pornografía como YouPorn, el portal de la Casa Blanca o el Partido Laborista británico.

Addthis lo admitió (“The Facts About Our Use of a Canvas Element in Our Recent R&D Test”) con un lacónico “no identificamos individuos” y se escudó en que “solo era un experimento” y que ellos seguirían cumpliendo los estándares de la industria, etc… El Canvas fingerprinting volvió a ser de actualidad en 2017 cuando se descubrió que Uber monitorizaba a los usuarios que se desinstalaban su aplicación. Que cada cual saque sus propias conclusiones sobre los valores de determinadas compañías.

¿Cómo evitar el canvas fingerprinting?

Es decepcionante y preocupante que los navegadores web modernos no hayan sido diseñados para garantizar la privacidad personal de la web. En comparación con las cookies, el canvas fingerprinting no es fácil de evitar, pues los datos se transmiten directamente al servidor, por lo que no hay un almacenamiento del lado del cliente. En consecuencia, activar el modo incógnito de un navegador no impide que el canvas fingerprinting espíe informaciones de navegación y del sistema.

Afortunadamente, los usuarios no están del todo indefensos ante este método de web tracking. Al margen de formas “más sofisticada” de detener previamente la ejecución de los scripts (desactivar javascript) puedes usar Adblock Plus, empezar a usar Firefox y/o usar la extensión Privacy Badger de la EFF para bloquear rastreadores.

¿Quieres saberlo o prefieres vivir tranquilo en la ignorancia?

Por último, si quieres analizar cómo de protegido está tu navegador y complementos contra las técnicas de seguimiento online, te recomiendo Panopticlick. Una herramienta online de Electronic Frontier Foundation (es la principal organización sin ánimo de lucro que defiende las libertades civiles en el mundo digital), que también analizará si tu sistema está configurado de forma única, y por lo tanto identificable, incluso si está utilizando un software de protección de la privacidad.

Post relacionados:

Esta entrada fue publicada en Browser fingerprinting, Canvas fingerprinting, Device fingerprinting, Electronic Frontier Foundation, privacidad y etiquetada , , , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.

Additional comments powered by BackType