Las cookies son el centro del debate cuando se habla de privacidad en internet, son conocidas por rastrear los movimientos online, guardar preferencias y alimentar sistemas de publicidad personalizada. Si se cree que navegar en modo incógnito o rechazar cookies protege de dejar huella online, esto no es, lamentablemente, del todo así. ESET, compañía líder en detección proactiva de amenazas, advierte sobre una técnica llamada fingerprinting que permite identificar a cualquier persona en la web sin necesidad de almacenar nada en el dispositivo, que no necesita permiso ni se puede borrar fácilmente.
“La recopilación de datos como tu sistema operativo o configuración pasan a formar parte de una huella digital única que puede seguirte de sitio en sitio. La probabilidad de tener la misma huella digital que otra persona utilizando un mismo navegador con características iguales es muy escasa.”, comenta David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.
El browser fingerprinting es una técnica que identifica a cualquier dispositivo sin la necesidad del uso de las cookies. El navegador guarda datos como la resolución de la pantalla, el idioma, el sistema operativo, zona horaria, las fuentes del sistema, configuración del teclado, historial de navegación, incluso las extensiones instaladas. Estos datos combinados generan un identificador único. Incluso si se bloquean los rastreadores (trackers), se usa el modo incógnito o se borran cookies, esta huella digital sigue persistiendo. La información recopilada no incluye nada que pueda identificar al usuario como su nombre o género.
Muchas entidades u organizaciones utilizan esta técnica para monitorear la actividad de los usuarios, algunas para realizar un mejor marketing con publicidad personalizada, otras para la autenticación de una aplicación vía web. Además, el fingerprinting puede facilitar también la detección de posibles actividades fraudulentas o nada éticas en Internet.
Algunos de los usos del fingerprinting puede ser:
Detección de fraudes: Los estafadores suelen tener abiertas muchas ventanas en un solo dispositivo cuando lanzan sus campañas de ingeniería social. Y cada ventana tiende a tener una resolución menor a la de una ventana de navegador estándar. Aquí las técnicas de fingerprinting detectan resoluciones poco comunes que pueden indicar una posible actividad fraudulenta.
Otra de las métricas para evaluar si el dispositivo es empleado para cometer fraudes son las versiones de los navegadores utilizadas -en algunos casos se han podido identificar versiones antiguas y vulnerables por ausencia de buenas prácticas de los estafadores- incluso estos navegadores forman parte de máquinas virtuales. Los complementos instalados de igual forma son considerados para promediar el riesgo de que el dispositivo se está usando para cosas ilícitas como bloqueadores de anuncios y anti trackers, por mencionar algunos ejemplos.
Marketing digital: Empresas especializadas en marketing digital utilizan la optimización de sitios web para perfilar a los clientes potenciales, estas recopilan datos del navegador para comprender quién visita sus sitios y orientar de mejor manera las promociones de productos y servicios. Por ejemplo, este tipo de empresas pueden utilizar la ubicación para segmentar su estrategia de ventas, la combinación de la demografía y la riqueza de la zona son importantes para determinar ofertas totalmente personalizadas.
Autenticación de aplicaciones web: Los inicios de sesión son otras de las métricas para que las empresas u organizaciones puedan identificar a los usuarios legítimos de los temporales o de aquellos que son clientes y empleados. En la gestión de los navegadores, una buena práctica para los equipos de seguridad es asignar perfiles de navegación para reducir el riesgo de descarga de amenazas, la filtración de información o la visualización de contenido no autorizado. Establecer métricas en donde si el usuario se desvía de lo establecido, el equipo de seguridad es notificado y, en casos donde exista una automatización, se genere una respuesta inmediatamente. El fingerprinting no sustituye a otros sistemas de autenticación, sino que es un complemento para reforzar la seguridad de la empresa y según ESET debe acompañarse de otras soluciones de múltiple factor y firewalls bien configurados.
Existen diversas técnicas utilizadas para conocer la actividad de un dispositivo en Internet, algunas son más comunes y otras pueden contener cierta complejidad y sofisticación. A continuación, desde ESET mencionan las más usadas para el browser fingerprinting:
Behavior tracking: Supervisar el comportamiento de los usuarios a través del cómo mueven el cursor, la forma de escribir y navegar por la web son elementos que varían de usuario a usuario, por ejemplo, una persona puede estar interesada en temas de ecología y por marketing digital el navegador le muestre sugerencia de noticias relevantes sobre esa temática, aquí el tiempo que le dedican a leer, ver o escuchar la nota es diferente porque los gustos e intereses son completamente diferentes. Lo anterior y como sucede con las otras técnicas, también se genera un identificador único. Un punto para destacar es que esta técnica está siendo hoy en día la más usada para promocionar publicidad o contenido personalizado, incluso se está potenciando con inteligencia artificial.
Audio fingerprinting: Se analiza cómo los dispositivos y/o software procesan el contenido de audio, es decir, se utilizan todas las salidas de audio para detectar las versiones del navegador, las tarjetas de audio e incluso la arquitectura de la CPU. Para las herramientas de seguridad, estas salidas de audio se analizan y crean un identificador único para cada dispositivo. Un ejemplo de su uso es que esta técnica es empleada por las empresas para combatir el intercambio ilegal o no autorizado de música bajo la gestión de derechos digitales (DRM – Digital Rights Management).
Cross-browser fingerprinting: Sabiendo que el usuario puede instalar más de un navegador en uno o varios dispositivos (móviles o de escritorio) el generar identificadores únicos y darle seguimiento se haría una tarea complicada, por lo que el cross-browser fingerprinting crea perfiles de usuario basados en el hardware. Es decir, los complementos, versiones de navegadores, resoluciones de pantalla y sistemas operativos identifican a los usuarios en múltiples dispositivos y navegadores por medio de un hash único.
TLS fingerprinting: Cuando un usuario navega en Internet y envía información a través de los navegadores, el tráfico web en la mayoría de las ocasiones va cifrado por medio del protocolo TLS (Transport Layer Security, por sus siglas en inglés). TLS se basa en técnicas de handshake para autenticar a ambas partes de una transacción. Estos procesos aplican algoritmos de cifrado e intercambian claves para garantizar las transferencias de datos seguras. Para el TLS fingerprinting se analiza el proceso del handshake donde se evalúa el cómo interactúan los clientes con los servidores, obteniendo información útil sobre el dispositivo y el software del usuario.
Canvas fingerprinting: Utilizan elementos de HTML5 canvas para analizar el comportamiento del usuario. Este tipo de análisis proporciona información sobre las características del dispositivo del usuario, como la tarjeta gráfica, los controladores y la GPU de los visitantes del sitio. Las herramientas que usan esta técnica evalúan cómo el navegador renderiza la imagen y el texto superpuesto. Para cada dispositivo representa las imágenes de forma diferente, dependiendo de su configuración (controladores) y componentes (hardware). Por ejemplo, al renderizar se pone una imagen de prueba donde aparece sutilmente diferente para cada usuario. Una vez finalizado este proceso, se crea un hash único para cada tipo de usuario.
WebGL fingerprinting: Se auxilia de la biblioteca de gráficos web para analizar los perfiles de los usuarios. Para aprovechar la interacción con la WebGL se utilizan scripts que generan imágenes 3D dentro de los navegadores de los usuarios que no son visibles en la pantalla, por lo que las herramientas que usan esta técnica supervisan el proceso de representación y recopilan datos sobre los gráficos y el hardware de procesamiento del usuario muy similar al canvas fingerprinting con la única diferencia en que se analiza cómo los dispositivos de los usuarios ejecutan las instrucciones WebGL, que varían entre las GPU, los controladores gráficos y los sistemas operativos.
Media device fingerprinting: Los dispositivos multimedia conectados a una PC de un usuario son otra de las técnicas para poder identificar un dispositivo único, como auriculares, tarjetas de video, tarjetas de audio, cámaras y reproductores multimedia externos. Para poder facilitar a esta información, los usuarios deben conceder acceso a los dispositivos antes de recopilar los datos y generar un hash único, por lo que son menos comunes. Un ejemplo es cuando un usuario tiene una videollamada y se le solicita el permiso para acceder a micrófono y/o cámara web.
Mobile device fingerprinting: Una parte fundamental para poder acceder, ver o generar contenido y realizar diversas actividades en Internet dentro de los dispositivos móviles es a través de los navegadores, los cuales son aplicaciones que están optimizadas para mostrar contenido web en pantallas más pequeñas a diferencia de un equipo de escritorio. El uso de correo a través de estos dispositivos es nuevamente una forma de poder recopilar información y garantizar que existan conexiones remotas. Tal como sucede con los equipos de escritorio, la información obtenida por esta técnica se basa principalmente en los modelos de dispositivos móviles, las versiones de Android o iOS, la resolución de pantalla, las aplicaciones del navegador, los datos de la batería y la configuración de red y como resultado se crea un identificador único basado en los atributos inherentes al dispositivo.
Desde ESET mencionan que esta huella digital única (hash) no se puede eliminar, pero sí limitar. Si bien cualquier comportamiento o característica inherente al dispositivo o al usuario genera un identificador único (hash) lo cual representaría un problema a la privacidad, existen herramientas y buenas prácticas que controlarían el acceso a esa información.
Una de las principales herramientas es el uso de una VPN (sigla en inglés para red privada virtual) es una tecnología que utiliza Internet para conectarse a una ubicación específica y de esta manera poder acceder a ciertos servicios. Esta conexión a la red puede ocurrir de varias maneras, pero generalmente utiliza el cifrado como mecanismo para proteger la comunicación entre el usuario y el servidor. Aunque no garantiza el anonimato total, evita, por ejemplo, que el servicio de destino al que está accediendo conozca la IP de manera directa, ya que solo verá la IP del servidor VPN.
Los bloqueadores de anuncios y de trackers son otras de las herramientas que se pueden utilizar para limitar el acceso a la información del dispositivo. Estos pueden instalarse desde la sección de “Extensiones” para navegadores como Google Chrome y derivados, mientras que para Firefox están en la opción “Complementos y temas”. Por su lado, Brave ya trae integrado estas características.
El deshabilitar el uso de JavaScript es otra buena práctica que se puede emplear, existen extensiones/complementos como NoScript que también pueden ser descargadas en los navegadores más populares.
Por el lado de quienes son desarrolladores web, se recomienda incluir la opción de denegar o aceptar todos permisos de privacidad en los productos o servicios que se ofrezcan, dejándolas a criterio del usuario. Importante leer “Términos y condiciones” incluyendo las políticas de privacidad de casa sitio.
Como un bonus, para determinar que el navegador es único en el mundo, existen plataformas en Internet que permiten determinarlo como lo es Am I Unique?
