¿Qué es la toma de huellas dactilares?

La huella digital es el proceso por el que un sitio o servicio remoto recopila pequeños fragmentos de información sobre la máquina de un usuario y los une para formar una imagen única, o "huella digital", del dispositivo del usuario. Las dos formas principales son la huella digital del navegador , en la que esta información se transmite a través del navegador cuando un usuario visita sitios remotos, y la huella digital del dispositivo, en la que la información se transmite a través de las aplicaciones que el usuario tiene instaladas en su dispositivo.

En la mayoría de los casos, la huella digital es tomada por un tercero y no directamente por el sitio que alguien visita o la aplicación que utiliza. Cuando una persona utiliza su dispositivo, un rastreador específico de terceros puede cargarse en varias aplicaciones instaladas o sitios visitados. Esto permite a la empresa rastrear a un individuo a través de su uso de múltiples sitios que visita o aplicaciones que ha instalado. Estos rastreadores obtienen una visión sin precedentes de las actividades diarias del usuario, incluida información que a menudo es lo suficientemente específica como para saber lo que un usuario está haciendo en cualquier momento e incluso dónde está utilizando su dispositivo

Fingerprinting y Retargeting anchor link

La toma de huellas dactilares está muy extendida entre las empresas de rastreo, que utilizan esta información para dirigir anuncios a los usuarios o venderla a intermediarios de datos. La publicidad digital es un negocio que mueve cientos de miles de millones de dólares . El "retargeting", es decir, reconocer a un visitante que vuelve y enviarle material publicitario en función de su navegación anterior, es una poderosa forma de que los profesionales del marketing  aumenten el porcentaje de clics y generen ingresos. La huella digital también puede utilizarse para detectar fraudes y bots, utilizando la misma tecnología que los rastreadores emplean con fines legítimos.

La forma más habitual de reorientar los anuncios en la web es a través de las cookies del navegador, y las aplicaciones pueden utilizar el identificador de anunciante que proporcionan tanto iOS como Android. Pero el usuario puede borrar las cookies y los ID de anunciante para eliminar el identificador persistente vinculado a su navegador o dispositivo móvil concreto. Piense en sus hábitos de navegación como una cadena que conecta diferentes chinchetas en un tablero. Cada chincheta representa un sitio que has visitado, y un rastreador puede rastrear esa cadena para ver lo que has visitado en el pasado. Borrar tus cookies es como cortar esa cadena en diferentes segmentos, y cuanto más a menudo cortes la cadena, más pequeños serán los segmentos. El rastreador ya no puede ver lo que has visitado en el pasado.

La huella digital crea una cadena que no se puede cortar creando un nuevo identificador persistente. Utiliza las características de tu navegador o dispositivo en tu contra, ya que el identificador es un resumen de todas las características de tu navegador o dispositivo. La huella digital puede utilizar todo tipo de detalles aparentemente mundanos sobre tu dispositivo o navegador, como la resolución de la pantalla, tu zona horaria, la versión del sistema operativo , la duración restante de la batería, etc. La razón por la que existe el fingerprinting es para eludir los controles normales que tienen los usuarios y que les permiten controlar sus propios navegadores. Para recuperar el control de nuestros navegadores y dispositivos, tenemos que utilizar herramientas especiales que resistan las huellas digitales.

Eficacia de las huellas dactilares como técnica de rastreo anchor link

Para que la toma de huellas dactilares sea eficaz para los rastreadores, debe cumplir dos criterios.

En primer lugar, tiene que ser persistente. Si la huella del usuario cambia rápidamente, no habría forma de que el rastreador distinguiera una visita de un usuario de la siguiente. Esta capacidad de vincular las visitas es esencial para determinar que se trata del mismo usuario que visita sitios web o utiliza aplicaciones a lo largo del tiempo. Este identificador persistente se utiliza como sustituto de una cookie, que el usuario puede eliminar fácilmente. Una huella digital no puede eliminarse, ya que no almacena nada en la máquina del usuario.

En segundo lugar, tiene que ser única. Si dos o más usuarios tienen la misma huella dactilar , el rastreador pierde la capacidad de identificar a un único individuo mediante la huella dactilar. Sin esta capacidad, el rastreador no puede rastrear al usuario individualmente y situarlo en categorías de marketing específicas, como "aficionado a la repostería" o "entusiasta de los aviones". En nuestro estudio  Cover Your Tracks (antes conocido como Panopticlick) sobre los navegadores de los usuarios, iniciado en 2010, descubrimos que la gran mayoría de los navegadores cumplían estos dos criterios.

Dentro de las aplicaciones móviles, la huella digital también puede obtener todo tipo de datos sobre tu dispositivo, desde la última vez que reiniciaste el teléfono hasta qué otras aplicaciones tienes instaladas. Aunque es difícil de aplicar, esto no siempre está permitido. Por ejemplo, Apple exige a los desarrolladores que expliquen por qué sus aplicaciones pueden necesitar datos del dispositivo que suelen utilizarse para tomar huellas dactilares, pero como muchos de estos datos tienen usos legítimos, no siempre es posible saber si un desarrollador está utilizando los datos recopilados para la funcionalidad o para el rastreo. En Android, muchas características utilizadas para la toma de huellas requieren que la aplicación solicite permisos específicos, pero una revisión manual de estos permisos es a menudo inescrutable e ignorada en favor de simplemente hacer clic en "permitir". En iOS y Android, se recomienda limitar el número de aplicaciones que se descargan y preguntar si una aplicación requiere realmente los privilegios que solicita.

Estrategias contra las huellas dactilares anchor link

Para que las herramientas de lucha contra la dactiloscopia sean eficaces, pueden seguir una de estas dos estrategias. En primer lugar, pueden intentar eliminar uno o los dos criterios anteriores que hacen que el fingerprinting sea eficaz. En segundo lugar, pueden elaborar una lista de rastreadores y bloquear cada uno de ellos para que no se cargue en el navegador o en un dispositivo móvil.

Existen muchas herramientas que intentan romper la persistencia de las huellas digitales en el navegador. Algunas intentarán aleatorizar los resultados de ciertas características, como una huella digital de lienzo  y una huella digital de AudioContext. Este puede ser un método eficaz para romper la persistencia, pero es importante tener en cuenta que un rastreador puede ser capaz de determinar que se está utilizando una herramienta de aleatorización, que puede ser en sí misma una característica de fingerprinting. Hay que pensar cuidadosamente cómo la aleatorización de las características de las huellas digitales será o no eficaz para combatir a los rastreadores.

Los navegadores también pueden combatir el fingerprinting haciendo que todas las instancias del navegador tengan el mismo aspecto. Al hacer que las características de las huellas dactilares en todas las instancias de los navegadores sean las mismas, una instancia concreta del navegador no puede ser identificada de forma única. Este es el método adoptado por la herramienta de anonimato  Tor Browser.

​La mayoría de los navegadores tienen un aspecto único, y los rastreadores pueden seguirlos por toda la web.

Los Navegadores Tor parecen iguales, ¡así que los rastreadores no pueden identificarlos!

Esto es altamente efectivo contra la huella digital cuando se hace bien. El Navegador Tor ha identificado docenas de lugares en los que había que trabajar para hacer que todos sus navegadores tengan el mismo aspecto en todas las características. Esto es importante porque es fácil para un usuario que está cambiando la configuración individual con la intención de despistar a los rastreadores, hacer su navegador más fácil de identificar para los rastreadores.

Por último, una herramienta puede elaborar una lista de rastreadores y bloquearlos directamente. Este es el método empleado por muchos complementos o extensiones del navegador, como el propio Privacy Badger de la EFF. Al bloquear los rastreadores, estas herramientas son capaces de eliminar la mayor parte de los rastreadores de huellas  que se cargan en el navegador. Los rastreadores de terceros, que son la mayoría de los que utilizan fingerprinting para identificar a los usuarios, no son capaces de identificar los navegadores de los usuarios.

Aunque se trata de un método muy eficaz para bloquear a los rastreadores de huellas, no bloquea por completo la capacidad de hacer fingerprinting. Los rastreadores más furtivos que aún no han sido identificados, o las huellas dactilares tomadas directamente por un sitio que el usuario está visitando en lugar de por un tercero, se permitirán en la mayoría de los casos. Bloquear los rastreadores conocidos es suficiente para la mayoría de los casos, pero no garantiza un anonimato sólido.

No personalice su propia configuración para combatir la huella digital anchor link

Personalizar los ajustes por su cuenta para combatir las huellas dactilares rara vez da el resultado esperado.

Por ejemplo, podría inclinarse por cambiar la cadena de agente de usuario, que identifica el navegador y la versión que está utilizando, por la cadena de agente de usuario de navegador más común utilizada en la web. Esto tiene cierto sentido intuitivo: utilizar una cadena de agente de usuario común dará como resultado una huella digital más común y menos rastreable, ¿verdad? Sin embargo, en algunos casos, el uso de la cadena de agente de usuario más común hará que su huella digital sea mayor, no menor. Esto es contrario a la intuición: ¿cómo podría la elección de una métrica más común hacer que uno sobresalga más?

Esto depende de lo independiente que sea tu cadena de agente de usuario del resto de métricas fingerprintable de tu navegador. Por ejemplo, Safari en iOS es en realidad un navegador bastante no fingerprintable, debido a la relativa similitud de hardware, software y controladores a través de diferentes dispositivos. La mayoría de los usuarios de Safari para iOS tienen un aspecto relativamente similar.

Pero Safari para iOS no es, ni de lejos, el agente de usuario más común en la web. Supongamos por el momento que la última versión de Chrome para Windows es el user-agent más común. Si el usuario cambiara la cadena de agente de usuario en Safari para iOS por Chrome para Windows, sin cambiar nada más, parecería completamente único. Serían los únicos que tienen resultados de Safari para iOS para la huella digital de lienzo que también tienen el agente de usuario de Chrome para Windows.

Por eso, los que intentan evitar el fingerprinting tienen que ser muy cuidadosos para no dañar accidentalmente su privacidad en lugar de ayudarla. Para pasar desapercibido, tienes que unirte a un "grupo de privacidad" de otros usuarios que tengan exactamente la misma huella digital que tú en todas las métricas. Para ello, la apuesta más segura es no cambiar la configuración individualmente, sino elegir algo como Tor Browser, Brave o Firefox, que utilizan técnicas para hacer que todas las instancias de su navegador sean relativamente comunes.