La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), dando una sensación de seguridad errónea.

Así lo pone de manifiesto la Agencia en su estudio ‘Fingerprinting o huella digital del dispositivo’, donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

¿Qué es la huella digital del dispositivo?

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar «de forma unívoca» dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma.

Se avisa de que la elaboración de perfiles no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer:

  • Geolocalización
  • Datos de configuración del sistema y las aplicaciones
  • Programas instalados
  • Movimientos del ratón, etc.

La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza. Y, por lo tanto, diferencia de forma unívoca a cada usuario en Internet.

El organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito. Una opción con la que los usuarios «tienen la sensación de que su navegación es segura y no será rastreable». Consulta el reglamento de privacidad electrónica (e-privacy).

En esta opción el navegador no guarda información sobre:

  • Páginas web
  • Historial de navegación
  • Caché web
  • Contraseñas
  • Información de formularios
  • Cookies
  • Otros datos de sitios web.

Y al cerrar la ventana borra del equipo del usuario toda esta información.

Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad. Pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado.

Así pues, en este sentido, la navegación privada no es efectiva.

No existe información ni consentimiento

El informe concluye que «con mucha frecuencia» se emplean estas técnicas para recoger datos del equipo del usuario «sin ofrecerle información y sin solicitarle su consentimiento«. Y la cantidad de datos recogidos puede ser tan amplia que incluso puede recopilar categorías especiales de datos.

Asimismo, el documento advierte de que, «en la mayoría de los casos», al usuario no se le proporcionan herramientas para poder evitar «de forma efectiva» la recogida de datos. Y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

Consejos para usuarios

En este contexto, se aconseja a los usuarios que:

  • Utilicen la opción ‘Do not track’ del navegador, que permite dejar constancia de que se quiere evitar el seguimiento
  • Instalen bloqueadores que permiten eludir la publicidad y el rastreo
  • Deshabiliten el uso de Javascript
  • Alternen entre distintos navegadores
  • Ejecuten el acceso a Internet en máquinas virtuales

Consejos para fabricantes

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

Así, en el caso de desarrolladores o fabricantes, deberían añadir a sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías.

Además, es necesario que ofrezcan al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada. Y que sea el propio usuario quien reduzca esas opciones. Como buena práctica, los navegadores podrían tener activada por defecto la opción Do not track.

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

El estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos. Y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

Técnicas de recopilación de huella digital

Hay muchos datos que podemos recoger del dispositivo móvil a través del navegador y con ellos es posible identificar el terminal en determinados casos.

Algunas de esas características son conocidas ya que son usadas normalmente para presentar las aplicaciones o páginas web adaptadas al dispositivo. Pero otras son mucho menos conocidas y puede sorprendernos su sofisticación.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo son:

  • User Agent: Se trata de una cadena de texto que el navegador envía en las cabeceras de las peticiones HTTP al servidor. Contiene información sobre el navegador que se está utilizando y el sistema operativo del dispositivo.
  • Lista de plugins activados en el navegador: Mediante javascript se puede obtener la lista de plugins activados en el navegador web.
  • Plataforma sobre la que se ejecuta el navegador: Mediante javascript se puede obtener la plataforma sobre la cual se está ejecutando la instancia del navegador, por ejemplo ‘Win32’.
  • Cookies habilitadas: Se detecta mediante javascript si el navegador tiene habilitadas las cookies o no.
  • HTTP Do not track Header: La mayoría de navegadores actuales permiten informar a las páginas web que se visitan, sus anunciantes y sus proveedores de contenidos que el usuario no desea que se realice el seguimiento de su navegación. Con javascript se puede detectar si esta característica ha sido activada o no.
  • Zona horaria del navegador: Se puede obtener mediante javascript.
  • Resolución de la pantalla: Se puede obtener mediante javascript.
  • Uso de bloqueadores de publicidad: Se realizan diversas comprobaciones para determinar el empleo de bloqueadores de publicidad en el navegador.
  • Dispositivo táctil: Se detecta si el dispositivo dispone de pantalla táctil.
  • IP pública con la que el dispositivo se conecta a Internet.

Otras propiedades del dispositivo

Además de las técnicas citadas anteriormente existen muchas otras propiedades que se podrían recoger y en algunos casos se utilizan para formar parte de la huella digital del dispositivo, como son:

  • Instalación de bloqueadores de publicidad en el navegador
  • Memoria del dispositivo
  • Número de monitores conectados al dispositivo
  • Dispositivo con acelerómetro
  • Presencia de teclados virtuales
  • Lista de gestos soportados en el caso de dispositivos con pantalla multitáctil
  • Codecs de audio y video disponibles
  • Perfil de uso de la batería del terminal
  • Listado de aplicaciones instaladas

Actualmente existe un mercado dinámico en el cual los navegadores y los antivirus disponen de herramientas que permiten a los usuarios gestionar la publicación de su información personal lo que origina mayor dificultad para elaborar perfiles de los potenciales clientes. Por eso, todos los agentes participantes en el mercado de Internet están investigando continuamente nuevas formas para evitar esas protecciones que les impiden recoger y explotar los datos de los usuarios.

Conclusiones

Las principales conclusiones que podemos obtener de este estudio realizado por la AEPD son:

  • A través de la huella digital se recopilan datos de los usuarios sin que estos lo sepan ni den su consentimiento. Y muchas veces se utilizan esos datos para fines diferentes de los previstos en un principio.
  • El conjunto de datos recogidos es muy amplio por lo que se incumpliría el principio de minimización de datos recogido en el RGPD.
  • No existen herramientas para impedir la recopilación de esos datos.
  • Se produce un incumplimiento de la obligación de obtener el consentimiento del usuario y de informarle adecuadamente sobre ese tratamiento.
  • No se facilitan al usuario medios para ejercer los derechos reconocidos en el RGPD.

Estas técnicas de recopilación de datos mediante la huella digital del dispositivo deberían cumplir los requisitos del RGPD y la LOPDGDD debido a que tienen gran impacto sobre las libertades y derechos de los ciudadanos.

La huella digital de dispositivos y la privacidad
4.2 (84.44%) 9 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.