ESET advierte que aunque se navegue en modo incรณgnito o se rechacen cookies, un navegador puede delatar informaciรณn. El fingerprinting crea un registro รบnico que permite un rastro sin que la persona lo sepa.
Por Revista Summa
Las cookies son el centro del debate cuando se habla de privacidad en internet, son conocidas por rastrear los movimientos online, guardar preferencias y alimentar sistemas de publicidad personalizada. Si se cree que navegar en modo incรณgnito o rechazar cookies protege de dejar huella online, esto no es, lamentablemente, del todo asรญ. ESET, compaรฑรญa lรญder en detecciรณn proactiva de amenazas, advierte sobre una tรฉcnica llamada fingerprinting que permite identificar a cualquier persona en la web sin necesidad de almacenar nada en el dispositivo, que no necesita permiso ni se puede borrar fรกcilmente.
ย โLa recopilaciรณn de datos como tu sistema operativo o configuraciรณn pasan a formar parte de una huella digital รบnica que puede seguirte de sitio en sitio. La probabilidad de tener la misma huella digital que otra persona utilizando un mismo navegador con caracterรญsticas iguales es muy escasa.โ,ย comenta David Gonzรกlez Cuautle, Investigador de Seguridad Informรกtica de ESET Latinoamรฉrica.
ย
El browser fingerprinting es una tรฉcnica que identifica a cualquier dispositivo sin la necesidad del uso de las cookies. El navegador guarda datos como la resoluciรณn de la pantalla, el idioma, el sistema operativo, zona horaria, las fuentes del sistema, configuraciรณn del teclado, historial de navegaciรณn, incluso las extensiones instaladas. Estos datos combinados generan un identificador รบnico. Incluso si se bloquean los rastreadores (trackers), se usa el modo incรณgnito o se borran cookies, esta huella digital sigue persistiendo. La informaciรณn recopilada no incluye nada que pueda identificar al usuario como su nombre o gรฉnero.
Muchas entidades u organizaciones utilizan esta tรฉcnica para monitorear la actividad de los usuarios, algunas para realizar un mejor marketing con publicidad personalizada, otras para la autenticaciรณn de una aplicaciรณn vรญa web. Ademรกs, el fingerprinting puede facilitar tambiรฉn la detecciรณn de posibles actividades fraudulentas o nada รฉticas en Internet.
ย
Algunos de los usos del fingerprinting puede ser:
ย
Detecciรณn de fraudes:ย Los estafadores suelen tener abiertas muchas ventanas en un solo dispositivo cuando lanzan sus campaรฑas de ingenierรญa social. Y cada ventana tiende a tener una resoluciรณn menor a la de una ventana de navegador estรกndar. Aquรญ las tรฉcnicas de fingerprinting detectan resoluciones poco comunes que pueden indicar una posible actividad fraudulenta.
Otra de las mรฉtricas para evaluar si el dispositivo es empleado para cometer fraudes son las versiones de los navegadores utilizadas -en algunos casos se han podido identificar versiones antiguas y vulnerables por ausencia de buenas prรกcticas de los estafadores- incluso estos navegadores forman parte de mรกquinas virtuales. Los complementos instalados de igual forma son considerados para promediar el riesgo de que el dispositivo se estรก usando para cosas ilรญcitas como bloqueadores de anuncios y anti trackers, por mencionar algunos ejemplos.
ย
Marketing digital:ย Empresas especializadas en marketing digital utilizan la optimizaciรณn de sitios web para perfilar a los clientes potenciales, estas recopilan datos del navegador para comprender quiรฉn visita sus sitios y orientar de mejor manera las promociones de productos y servicios. Por ejemplo, este tipo de empresas pueden utilizar la ubicaciรณn para segmentar su estrategia de ventas, la combinaciรณn de la demografรญa y la riqueza de la zona son importantes para determinar ofertas totalmente personalizadas.
ย
Pie de imagen: Ejemplo de cรณmo un e-commerce solicita la ubicaciรณn para mostrar los productos que se envรญan a cierto paรญs.
ย
Autenticaciรณn de aplicaciones web:ย Los inicios de sesiรณn son otras de las mรฉtricas para que las empresas u organizaciones puedan identificar a los usuarios legรญtimos de los temporales o de aquellos que son clientes y empleados. En la gestiรณn de los navegadores, una buena prรกctica para los equipos de seguridad es asignar perfiles de navegaciรณn para reducir el riesgo de descarga de amenazas, la filtraciรณn de informaciรณn o la visualizaciรณn de contenido no autorizado. Establecer mรฉtricas en donde si el usuario se desvรญa de lo establecido, el equipo de seguridad es notificado y, en casos donde exista una automatizaciรณn, se genere una respuesta inmediatamente.ย ย El fingerprinting no sustituye a otros sistemas de autenticaciรณn, sino que es un complemento para reforzar la seguridad de la empresa y segรบn ESET debe acompaรฑarse de otras soluciones de mรบltiple factor y firewalls bien configurados.
ย
Pie de imagen: Ejemplo de perfiles en un navegador, cada uno de ellos cuenta puede contar con diferentes permisos para poder ver contenido en Internet.
ย
Existen diversas tรฉcnicas utilizadas para conocer la actividad de un dispositivo en Internet, algunas son mรกs comunes y otras pueden contener cierta complejidad y sofisticaciรณn. A continuaciรณn, desde ESET mencionan las mรกs usadas para el browser fingerprinting:
ย
Behavior tracking:ย Supervisar el comportamiento de los usuarios a travรฉs del cรณmo mueven el cursor, la forma de escribir y navegar por la web son elementos que varรญan de usuario a usuario, por ejemplo, una persona puede estar interesada en temas de ecologรญa y por marketing digital el navegador le muestre sugerencia de noticias relevantes sobre esa temรกtica, aquรญ el tiempo que le dedican a leer, ver o escuchar la nota es diferente porque los gustos e intereses son completamente diferentes. Lo anterior y como sucede con las otras tรฉcnicas, tambiรฉn se genera un identificador รบnico. Un punto para destacar es que esta tรฉcnica estรก siendo hoy en dรญa la mรกs usada para promocionar publicidad o contenido personalizado, incluso se estรก potenciando con inteligencia artificial.
ย
Audio fingerprinting:ย Se analiza cรณmo los dispositivos y/o software procesan el contenido de audio, es decir, se utilizan todas las salidas de audio para detectar las versiones del navegador, las tarjetas de audio e incluso la arquitectura de la CPU. Para las herramientas de seguridad, estas salidas de audio se analizan y crean un identificador รบnico para cada dispositivo. Un ejemplo de su uso es que esta tรฉcnica es empleada por las empresas para combatir el intercambio ilegal o no autorizado de mรบsica bajo la gestiรณn de derechos digitales (DRM – Digital Rights Management).
ย
Cross-browser fingerprinting:ย Sabiendo que el usuario puede instalar mรกs de un navegador en uno o varios dispositivos (mรณviles o de escritorio) el generar identificadores รบnicos y darle seguimiento se harรญa una tarea complicada, por lo que el cross-browser fingerprinting crea perfiles de usuario basados en el hardware. Es decir, los complementos, versiones de navegadores, resoluciones de pantalla y sistemas operativos identifican a los usuarios en mรบltiples dispositivos y navegadores por medio de un hash รบnico.
ย
TLS fingerprinting:ย Cuando un usuario navega en Internet y envรญa informaciรณn a travรฉs de los navegadores, el trรกfico web en la mayorรญa de las ocasiones va cifrado por medio del protocolo TLS (Transport Layer Security, por sus siglas en inglรฉs). TLS se basa en tรฉcnicas de handshake para autenticar a ambas partes de una transacciรณn. Estos procesos aplican algoritmos de cifrado e intercambian claves para garantizar las transferencias de datos seguras. Para el TLS fingerprinting se analiza el proceso del handshake donde se evalรบa el cรณmo interactรบan los clientes con los servidores, obteniendo informaciรณn รบtil sobre el dispositivo y el software del usuario.
ย
Canvas fingerprinting:ย Utilizan elementos de HTML5 canvas para analizar el comportamiento del usuario. Este tipo de anรกlisis proporciona informaciรณn sobre las caracterรญsticas del dispositivo del usuario, como la tarjeta grรกfica, los controladores y la GPU de los visitantes del sitio. Las herramientas que usan esta tรฉcnica evalรบan cรณmo el navegador renderiza la imagen y el texto superpuesto. Para cada dispositivo representa las imรกgenes de forma diferente, dependiendo de su configuraciรณn (controladores) y componentes (hardware). Por ejemplo, al renderizar se pone una imagen de prueba donde aparece sutilmente diferente para cada usuario. Una vez finalizado este proceso, se crea un hash รบnico para cada tipo de usuario.
ย
WebGL fingerprinting:ย Se auxilia de la biblioteca de grรกficos web para analizar los perfiles de los usuarios. Para aprovechar la interacciรณn con la WebGL se utilizan scripts que generan imรกgenes 3D dentro de los navegadores de los usuarios que no son visibles en la pantalla, por lo que las herramientas que usan esta tรฉcnica supervisan el proceso de representaciรณn y recopilan datos sobre los grรกficos y el hardware de procesamiento del usuario muy similar al canvas fingerprinting con la รบnica diferencia en que se analiza cรณmo los dispositivos de los usuarios ejecutan las instrucciones WebGL, que varรญan entre las GPU, los controladores grรกficos y los sistemas operativos.
ย
Media device fingerprinting:ย Los dispositivos multimedia conectados a una PC de un usuario son otra de las tรฉcnicas para poder identificar un dispositivo รบnico, como auriculares, tarjetas de video, tarjetas de audio, cรกmaras y reproductores multimedia externos. Para poder facilitar a esta informaciรณn, los usuarios deben conceder acceso a los dispositivos antes de recopilar los datos y generar un hash รบnico, por lo que son menos comunes. Un ejemplo es cuando un usuario tiene una videollamada y se le solicita el permiso para acceder a micrรณfono y/o cรกmara web.
ย
Mobile device fingerprinting:ย Una parte fundamental para poder acceder, ver o generar contenido y realizar diversas actividades en Internet dentro de los dispositivos mรณviles es a travรฉs de los navegadores, los cuales son aplicaciones que estรกn optimizadas para mostrar contenido web en pantallas mรกs pequeรฑas a diferencia de un equipo de escritorio. El uso de correo a travรฉs de estos dispositivos es nuevamente una forma de poder recopilar informaciรณn y garantizar que existan conexiones remotas. Tal como sucede con los equipos de escritorio, la informaciรณn obtenida por esta tรฉcnica se basa principalmente en los modelos de dispositivos mรณviles, las versiones de Android o iOS, la resoluciรณn de pantalla, las aplicaciones del navegador, los datos de la baterรญa y la configuraciรณn de red y como resultado se crea un identificador รบnico basado en los atributos inherentes al dispositivo.
ย
Desde ESET mencionan que esta huella digital รบnica (hash) no se puede eliminar, pero sรญ limitar. Si bien cualquier comportamiento o caracterรญstica inherente al dispositivo o al usuario genera un identificador รบnico (hash) lo cual representarรญa un problema a la privacidad, existen herramientas y buenas prรกcticas que controlarรญan el acceso a esa informaciรณn.
- Una de las principales herramientas es elย uso de una VPNย (sigla en inglรฉs para red privada virtual) es una tecnologรญa que utiliza Internet para conectarse a una ubicaciรณn especรญfica y de esta manera poder acceder a ciertos servicios. Esta conexiรณn a la red puede ocurrir de varias maneras, pero generalmente utiliza el cifrado como mecanismo para proteger la comunicaciรณn entre el usuario y el servidor. Aunque no garantiza el anonimato total, evita, por ejemplo, que el servicio de destino al que estรก accediendo conozca la IP de manera directa, ya que solo verรก la IP del servidor VPN.
- Losย bloqueadores de anuncios y de trackersย son otras de las herramientas que se pueden utilizar para limitar el acceso a la informaciรณn del dispositivo. Estos pueden instalarse desde la secciรณn de โExtensionesโ para navegadores como Google Chrome y derivados, mientras que para Firefox estรกn en la opciรณn โComplementos y temasโ. Por su lado, Brave ya trae integrado estas caracterรญsticas.
- Elย deshabilitar el uso de JavaScriptย es otra buena prรกctica que se puede emplear, existen extensiones/complementos comoย NoScriptย que tambiรฉn pueden ser descargadas en los navegadores mรกs populares.
- Por el lado de quienes son desarrolladores web, se recomienda incluir la opciรณn deย denegar o aceptar todos permisos de privacidad en los productos o serviciosย que se ofrezcan, dejรกndolas a criterio del usuario. Importante leer โTรฉrminos y condicionesโ incluyendo las polรญticas de privacidad de casa sitio.
- Como un bonus, paraย determinar que el navegador es รบnicoย en el mundo, existen plataformas en Internet que permiten determinarlo como lo esย ย Am I Unique?
Pie de imagen: Resultados de bรบsqueda en amiunique
โHay que considerar que realizar algunas de estas acciones pueden modificar o imposibilitar el acceso a algunos sitios web, por lo que siempre hay que realizar un balance entre el grado de seguridad/privacidad que se quiere sin dejar a un lado, la comodidad y facilidad para navegar en Internet. Hacer una combinaciรณn de herramientas y buenas prรกcticas, limitarรญa el acceso a cierta informaciรณn. Por eso debe existir un sentido de responsabilidad en la forma en cรณmo se navega en Internet. La concientizaciรณn sobre estas temรกticas al menos permite un mayor control sobre quรฉ se comparte y quรฉ no. Hay que recordar que ni la privacidad ni la seguridad total existe, salvo que se viva en una isla y sin nada de tecnologรญa.โ,ย concluye el investigador de ESET Latinoamรฉrica.