[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/07\/huella-digital-dispositivo-privacidad\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/07\/huella-digital-dispositivo-privacidad\/","headline":"La huella digital de dispositivos y la privacidad","name":"La huella digital de dispositivos y la privacidad","description":"Consulta el informe de la AEPD sobre huella digital de dispositivos y c\u00f3mo afecta a la privacidad de usuarios, informacion y consentimiento. \u00a1Entra +info!","datePublished":"2019-02-07","dateModified":"2021-09-08","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/07\/huella-digital-dispositivo-privacidad\/","about":["INTERNET","PRIVACIDAD"],"wordCount":3303,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) ha avisado de que la navegaci\u00f3n privada o de inc\u00f3gnito no resulta efectiva para prevenir el seguimiento de los dispositivos (m\u00f3vil, tableta, port\u00e1til u ordenador), dando una sensaci\u00f3n de seguridad err\u00f3nea.As\u00ed lo pone de manifiesto la Agencia en su estudio ‘Fingerprinting o huella digital del dispositivo’, donde aborda esta t\u00e9cnica de identificaci\u00f3n y rastreo de los usuarios a trav\u00e9s de sus dispositivos y para el que ha analizado m\u00e1s de 14.000 p\u00e1ginas web dirigidas al p\u00fablico espa\u00f1ol, describiendo las t\u00e9cnicas m\u00e1s utilizadas para realizar ese perfilado.\u00bfQu\u00e9 es la huella digital del dispositivo?No existe informaci\u00f3n ni consentimientoConsejos para usuariosConsejos para fabricantesT\u00e9cnicas de recopilaci\u00f3n de huella digitalOtras propiedades del dispositivoLo bueno: la toma de huellas dactilares del navegador es un m\u00e9todo \u00fatil de seguridad cibern\u00e9tica y protecci\u00f3n contra el fraudeLo malo: preocupaciones sobre la p\u00e9rdida de privacidadHerramientas de falsificaci\u00f3n de huellas dactilares de dispositivosC\u00f3mo evitar las huellas dactilares del navegadorConclusiones\u00bfQu\u00e9 es la huella digital del dispositivo?La huella digital del dispositivo es un conjunto de datos extra\u00eddos del dispositivo del usuario que permiten individualizar \u00abde forma un\u00edvoca\u00bb dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma.Se avisa de que la elaboraci\u00f3n de perfiles no se limita a recopilar y analizar los h\u00e1bitos de navegaci\u00f3n o las b\u00fasquedas que realiza, sino a extraer:Geolocalizaci\u00f3nDatos de configuraci\u00f3n del sistema y las aplicacionesProgramas instaladosMovimientos del rat\u00f3n, etc.La combinaci\u00f3n de esta y otra informaci\u00f3n permite confeccionar una huella digital \u00fanica del dispositivo que lo singulariza. Y, por lo tanto, diferencia de forma un\u00edvoca a cada usuario en Internet.El organismo explica que muchos navegadores tienen la opci\u00f3n de navegaci\u00f3n privada o de inc\u00f3gnito. Una opci\u00f3n con la que los usuarios \u00abtienen la sensaci\u00f3n de que su navegaci\u00f3n es segura y no ser\u00e1 rastreable\u00bb. Consulta el\u00a0reglamento de privacidad electr\u00f3nica (e-privacy).En esta opci\u00f3n el navegador no guarda informaci\u00f3n sobre:P\u00e1ginas webHistorial de navegaci\u00f3nCach\u00e9 webContrase\u00f1asInformaci\u00f3n de formulariosCookiesOtros datos de sitios web.Y al cerrar la ventana borra del equipo del usuario toda esta informaci\u00f3n.Puede dar la sensaci\u00f3n de que la navegaci\u00f3n permite que el usuario est\u00e9 protegido frente al uso de la huella digital, pero es una sensaci\u00f3n de falsa seguridad. Pues a las t\u00e9cnicas usadas en la confecci\u00f3n de la huella les resulta transparente la navegaci\u00f3n privada, ya que las caracter\u00edsticas que chequea la huella son las mismas, con navegaci\u00f3n privada o sin ella, y el equipo del usuario quedar\u00e1 igualmente individualizado.As\u00ed pues, en este sentido, la navegaci\u00f3n privada no es efectiva.No existe informaci\u00f3n ni consentimientoEl informe concluye que \u00abcon mucha frecuencia\u00bb se emplean estas t\u00e9cnicas para recoger datos del equipo del usuario \u00absin ofrecerle informaci\u00f3n y sin solicitarle su consentimiento\u00ab. Y la cantidad de datos recogidos puede ser tan amplia que incluso puede recopilar categor\u00edas especiales de datos.Asimismo, el documento advierte de que, \u00aben la mayor\u00eda de los casos\u00bb, al usuario no se le proporcionan herramientas para poder evitar \u00abde forma efectiva\u00bb la recogida de datos. Y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protecci\u00f3n de Datos (RGPD) cuando se recogen o asocian a datos personales.Consejos para usuariosEn este contexto, se aconseja a los usuarios que:Utilicen la opci\u00f3n ‘Do not track’ del navegador, que permite dejar constancia de que se quiere evitar el seguimientoInstalen bloqueadores que permiten eludir la publicidad y el rastreoDeshabiliten el uso de JavascriptAlternen entre distintos navegadoresEjecuten el acceso a Internet en m\u00e1quinas virtualesConsejos para fabricantesEn relaci\u00f3n con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.As\u00ed, en el caso de desarrolladores o fabricantes, deber\u00edan a\u00f1adir a sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnolog\u00edas.Adem\u00e1s, es necesario que ofrezcan al consumidor los equipos con las m\u00e1ximas opciones de privacidad activadas de forma predeterminada. Y que sea el propio usuario quien reduzca esas opciones. Como buena pr\u00e1ctica, los navegadores podr\u00edan tener activada por defecto la opci\u00f3n Do not track.Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Adem\u00e1s, agrega que toda aplicaci\u00f3n de huella deber\u00eda chequear el estado de la opci\u00f3n Do Not Track.El estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protecci\u00f3n de Datos.\u00a0Y deber\u00e1n realizar un an\u00e1lisis de riesgos de protecci\u00f3n de datos relativos a los derechos y libertades de los afectados.T\u00e9cnicas de recopilaci\u00f3n de huella digitalHay muchos datos que podemos recoger del dispositivo m\u00f3vil a trav\u00e9s del navegador y con ellos es posible identificar el terminal en determinados casos.Algunas de esas caracter\u00edsticas son conocidas ya que son usadas normalmente para presentar las aplicaciones o p\u00e1ginas web adaptadas al dispositivo. Pero otras son mucho menos conocidas y puede sorprendernos su sofisticaci\u00f3n.Algunas de las caracter\u00edsticas del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtenci\u00f3n de una huella digital de un dispositivo son:User Agent: Se trata de una cadena de texto que el navegador env\u00eda en las cabeceras de las peticiones HTTP al servidor. Contiene informaci\u00f3n sobre el navegador que se est\u00e1 utilizando y el sistema operativo del dispositivo.Lista de plugins activados en el navegador: Mediante javascript se puede obtener la lista de plugins activados en el navegador web.Plataforma sobre la que se ejecuta el navegador: Mediante javascript se puede obtener la plataforma sobre la cual se est\u00e1 ejecutando la instancia del navegador, por ejemplo \u2018Win32\u2019.Cookies habilitadas: Se detecta mediante javascript si el navegador tiene habilitadas las cookies o no.HTTP Do not track Header: La mayor\u00eda de navegadores actuales permiten informar a las p\u00e1ginas web que se visitan, sus anunciantes y sus proveedores de contenidos que el usuario no desea que se realice el seguimiento de su navegaci\u00f3n. Con javascript se puede detectar si esta caracter\u00edstica ha sido activada o no.Zona horaria del navegador: Se puede obtener mediante javascript.Resoluci\u00f3n de la pantalla: Se puede obtener mediante javascript.Uso de bloqueadores de publicidad: Se realizan diversas comprobaciones para determinar el empleo de bloqueadores de publicidad en el navegador.Dispositivo t\u00e1ctil: Se detecta si el dispositivo dispone de pantalla t\u00e1ctil.IP p\u00fablica con la que el dispositivo se conecta a Internet.Otras propiedades del dispositivoAdem\u00e1s de las t\u00e9cnicas citadas anteriormente existen muchas otras propiedades que se podr\u00edan recoger y en algunos casos se utilizan para formar parte de la huella digital del dispositivo, como son:Instalaci\u00f3n de bloqueadores de publicidad en el navegadorMemoria del dispositivoN\u00famero de monitores conectados al dispositivoDispositivo con aceler\u00f3metroPresencia de teclados virtualesLista de gestos soportados en el caso de dispositivos con pantalla multit\u00e1ctilCodecs de audio y video disponiblesPerfil de uso de la bater\u00eda del terminalListado de aplicaciones instaladasActualmente existe un mercado din\u00e1mico en el cual los navegadores y los antivirus disponen de herramientas que permiten a los usuarios gestionar la publicaci\u00f3n de su informaci\u00f3n personal lo que origina mayor dificultad para elaborar perfiles de los potenciales clientes. Por eso, todos los agentes participantes en el mercado de Internet est\u00e1n investigando continuamente nuevas formas para evitar esas protecciones que les impiden recoger y explotar los datos de los usuarios.Lo bueno: la toma de huellas dactilares del navegador es un m\u00e9todo \u00fatil de seguridad cibern\u00e9tica y protecci\u00f3n contra el fraudeHay un \u00e1rea en la que la tecnolog\u00eda es innegablemente \u00fatil: la toma de huellas digitales del navegador en el contexto de la detecci\u00f3n de fraudes.La toma de huellas digitales del navegador se convierte en una herramienta de seguridad. Las empresas pueden utilizar la informaci\u00f3n de tu dispositivo para tener una idea de qui\u00e9n eres sin vincularla necesariamente a datos personales de la vida real. Solo miran su software y hardware, por lo que en realidad no est\u00e1s identificado como una persona individual.Identificar una huella digital del navegador es \u00fatil cuando se observa actividad sospechosa en tu cuenta, por ejemplo, para marcar un intento de piratear tu cuenta o comprar algo sin tu autorizaci\u00f3n.A continuaci\u00f3n, se muestra un ejemplo r\u00e1pido de c\u00f3mo funcionar\u00eda desde una perspectiva de prevenci\u00f3n del fraude:Te conectas a un sitio web.Un c\u00f3digo JavaScript captura todos los datos de tu hardware y software.A la configuraci\u00f3n \u00fanica se le asigna un ID.Se realiza un seguimiento de la identificaci\u00f3n, en combinaci\u00f3n con una direcci\u00f3n IP, para verificar si hay actividad sospechosaVale la pena se\u00f1alar que existen limitaciones en cuanto a la precisi\u00f3n que puede tener la toma de huellas dactilares del navegador. Por ejemplo, el navegador web de Android predeterminado se identifica como Safari para facilitar la compatibilidad. Por lo tanto, centrarse solo en la versi\u00f3n del navegador, en ese caso, podr\u00eda llevar a suposiciones falsas sobre el dispositivo de un usuario.Si bien la toma de huellas dactilares funciona con navegaci\u00f3n privada o de inc\u00f3gnito, los proveedores de protecci\u00f3n contra el fraude y ciberseguridad deben combinarla con otras t\u00e9cnicas de an\u00e1lisis para obtener una imagen m\u00e1s clara de qui\u00e9nes son realmente los visitantes.Lo malo: preocupaciones sobre la p\u00e9rdida de privacidadLa toma de huellas dactilares del navegador por motivos de seguridad es completamente legal (siempre que las empresas cumplan con las normas de seguridad y privacidad de los datos). De hecho, el considerando 47 del Reglamento general de protecci\u00f3n de datos (RGPD) de la Uni\u00f3n Europea establece espec\u00edficamente:\u201cEl procesamiento de datos personales estrictamente necesario para prevenir el fraude tambi\u00e9n constituye un inter\u00e9s leg\u00edtimo del controlador de datos en cuesti\u00f3n. El procesamiento de datos personales con fines de marketing directo puede considerarse realizado por un inter\u00e9s leg\u00edtimo \u00ab.Al igual que las cookies web, el seguimiento est\u00e1 permitido siempre que las empresas sean transparentes sobre sus pol\u00edticas (es decir, c\u00f3mo recopilan y utilizan la informaci\u00f3n). Esta responsabilidad recae sobre los hombros de las empresas que deben asegurarse de que su seguimiento siga siendo compatible y que los usuarios den su consentimiento informado.Esto no quiere decir que los usuarios estar\u00e1n felices de ser rastreados. Definitivamente existe un compromiso entre seguridad y privacidad en l\u00ednea. Los usuarios preocupados por la forma en que se realiza el seguimiento de sus dispositivos pueden optar por excluirse manualmente de la toma de huellas dactilares del navegador.Pero un n\u00famero creciente de navegadores anti-huellas digitales tambi\u00e9n est\u00e1 ganando popularidad en todo el mundo. No hay escasez de extensiones dise\u00f1adas para bloquear la identificaci\u00f3n de JavaScripts. El uso del navegador Tor est\u00e1 en auge, y empresas como Mozilla Firefox, que siempre han puesto la privacidad al frente y al centro, ahora ofrecen bloqueadores de huellas dactilares integrados en su navegador:Los desarrolladores que necesiten probar m\u00faltiples configuraciones de navegador tambi\u00e9n pueden usar herramientas como una extensi\u00f3n de suplantaci\u00f3n de agente de usuario (UA) de Chrome que le permite cambiar su agente de usuario manualmente. Un agente de usuario es un encabezado HTTP que proporciona informaci\u00f3n sobre el navegador web de un usuario al sitio o aplicaci\u00f3n web al que te conectas.Para que un navegador se conecte con el sitio web, ese encabezado HTTP (es decir, la cadena de agente del navegador UA o UAS) debe estar presente para cada encabezado de solicitud. Y no todas las cadenas de UA tienen el mismo aspecto: el formato espec\u00edfico var\u00eda de un navegador a otro. Por lo tanto, poder cambiarlo es una herramienta \u00fatil tanto para los usuarios como para los desarrolladores web. Para el primer grupo, puede mejorar la privacidad del usuario; para este \u00faltimo, tiene usos y aplicaciones muy tangibles en el desarrollo web.A\u00fan m\u00e1s avanzado: puedes usar extensiones de navegador como Trace para protegerte contra m\u00faltiples t\u00e9cnicas de rastreo avanzadas. De lo contrario, puedes usar el navegador Tails, que est\u00e1 dise\u00f1ado para acceder a Tor desde un disco duro externo para:Protegerse de las huellas dactilaresEliminar los encabezados de GoogleOcultar complementos de JavaScriptDesactivar la API de estado de la bater\u00eda yFalsificar una direcci\u00f3n MAC.Estas son soluciones m\u00e1s sofisticadas, a menudo favorecidas tanto por los entusiastas de la privacidad como, lamentablemente, por los ciberdelincuentes.Herramientas de falsificaci\u00f3n de huellas dactilares de dispositivosOtra tendencia que hemos presenciado es el aumento de las herramientas avanzadas de software de huellas dactilares anti-dispositivo. Estos programas llevan la falsificaci\u00f3n de navegadores al siguiente nivel, lo que permite a los usuarios inyectar fragmentos de c\u00f3digo JavaScript en los sitios web visitados para modificar el comportamiento de una p\u00e1gina. Suelen venderse como extensiones de navegador, pero tambi\u00e9n se pueden enviar a navegadores modificados donde las extensiones vienen preinstaladas. Todav\u00eda se pueden detectar con una comparaci\u00f3n de cadenas.Luego est\u00e1n las herramientas nativas, que te permiten modificar las funciones de JavaScript a un nivel tan profundo que ni siquiera la comparaci\u00f3n de cadenas funcionar\u00e1. Los navegadores como Mimic incluso agregar\u00e1n la creaci\u00f3n de ruido. Esta es una caracter\u00edstica que modifica los valores en tiempo de ejecuci\u00f3n para confundir el seguimiento. En el navegador Mimic, esto es un envenenamiento de lienzo aliado, que puede enga\u00f1ar a las huellas dactilares del lienzo.\u00bfNecesitas funciones a\u00fan m\u00e1s avanzadas? Entonces tendr\u00e1s que simular un entorno de usuario falso. Esto es posible con una herramienta de investigaci\u00f3n llamada Blink, que recrea una pila de m\u00e1quina virtual completa cada vez que se inicia. Esto te permite cambiar fuentes, complementos, navegadores, cadenas de agentes de usuario, zonas horarias o incluso sistemas operativos.La pregunta es: \u00bfpor qu\u00e9 alguien comprar\u00eda estas herramientas, que no son baratas ni f\u00e1ciles de configurar? Est\u00e1n claramente dirigidos y comercializados a una clientela espec\u00edfica que necesita suplantar varios entornos r\u00e1pidamente y a escala. No es ning\u00fan secreto que el \u00fanico caso de uso real es el fraude en l\u00ednea o el delito cibern\u00e9tico, como el lavado de dinero.C\u00f3mo evitar las huellas dactilares del navegadorSin herramientas sofisticadas, la toma de huellas digitales del navegador es extremadamente dif\u00edcil de evitar. Los trucos de privacidad normales, como usar la navegaci\u00f3n privada o el modo de inc\u00f3gnito, limpiar las cookies o el historial de b\u00fasqueda, o usar un bloqueador de anuncios o una VPN, no pueden evitar la toma de huellas digitales del navegador. De hecho, es una t\u00e9cnica de seguimiento tan insidiosa y omnipresente que incluso si utilizas todas las t\u00e1cticas de privacidad que acabamos de mencionar, tu huella digital \u00fanica sigue siendo identificable.Pero no te desesperes, no son maneras de luchar contra la toma de huellas digitales en l\u00ednea. Si bien es imposible cerrar los scripts de sitios web que recopilan tus datos personales, porque los sitios web no funcionar\u00edan sin ellos, puedes confundir los scripts utilizando dos t\u00e9cnicas: generalizaci\u00f3n y aleatorizaci\u00f3n.La generalizaci\u00f3n se refiere a manipular los resultados de la API del navegador para que parezca gen\u00e9rico. En otras palabras, enmascara tus atributos \u00fanicos y te ayuda a mezclarte con la multitud.La aleatorizaci\u00f3n cambia tus atributos peri\u00f3dicamente para que tu huella digital cambie constantemente y no puedas ser identificado de manera confiable.Pero, \u00bfc\u00f3mo puede la persona promedio usar la generalizaci\u00f3n y la aleatorizaci\u00f3n para esconderse? Deber\u00e1s confiar en una herramienta o servicio para que lo haga por ti. Avast AntiTrack utiliza tecnolog\u00eda avanzada antihuellas para insertar datos falsos cuando los scripts intentan recopilar tus atributos digitales. Eso permite que los scripts contin\u00faen ejecut\u00e1ndose (para evitar romper la funcionalidad del sitio web), mientras oculta tu verdadera informaci\u00f3n personal para que no se pueda recopilar.Avast AntiTrack tambi\u00e9n te advierte de los intentos de rastreo para que puedas ver exactamente qu\u00e9 sitios est\u00e1n tratando de rastrearte. Y borrar\u00e1 peri\u00f3dicamente tu historial de navegaci\u00f3n y cookies para garantizar la m\u00e1xima privacidad.ConclusionesLas principales conclusiones que podemos obtener de este estudio realizado por la AEPD son:A trav\u00e9s de la huella digital se recopilan datos de los usuarios sin que estos lo sepan ni den su consentimiento. Y muchas veces se utilizan esos datos para fines diferentes de los previstos en un principio.El conjunto de datos recogidos es muy amplio por lo que se incumplir\u00eda el principio de minimizaci\u00f3n de datos recogido en el RGPD.No existen herramientas para impedir la recopilaci\u00f3n de esos datos.Se produce un incumplimiento de la obligaci\u00f3n de obtener el consentimiento del usuario y de informarle adecuadamente sobre ese tratamiento.No se facilitan al usuario medios para ejercer los derechos reconocidos en el RGPD.Estas t\u00e9cnicas de recopilaci\u00f3n de datos mediante la huella digital del dispositivo deber\u00edan cumplir los requisitos del RGPD y la LOPDGDD debido a que tienen gran impacto sobre las libertades y derechos de los ciudadanos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/07\/huella-digital-dispositivo-privacidad\/#breadcrumbitem","name":"La huella digital de dispositivos y la privacidad"}}]}]