Ayuda Ley Protección Datos

La huella digital de dispositivos y la privacidad

La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), dando una sensación de seguridad errónea.

Así lo pone de manifiesto la Agencia en su estudio ‘Fingerprinting o huella digital del dispositivo’, donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

¿Qué es la huella digital del dispositivo?

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar «de forma unívoca» dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma.

Se avisa de que la elaboración de perfiles no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer:

La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza. Y, por lo tanto, diferencia de forma unívoca a cada usuario en Internet.

El organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito. Una opción con la que los usuarios «tienen la sensación de que su navegación es segura y no será rastreable». Consulta el reglamento de privacidad electrónica (e-privacy).

En esta opción el navegador no guarda información sobre:

Y al cerrar la ventana borra del equipo del usuario toda esta información.

Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad. Pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado.

Así pues, en este sentido, la navegación privada no es efectiva.

No existe información ni consentimiento

El informe concluye que «con mucha frecuencia» se emplean estas técnicas para recoger datos del equipo del usuario «sin ofrecerle información y sin solicitarle su consentimiento«. Y la cantidad de datos recogidos puede ser tan amplia que incluso puede recopilar categorías especiales de datos.

Asimismo, el documento advierte de que, «en la mayoría de los casos», al usuario no se le proporcionan herramientas para poder evitar «de forma efectiva» la recogida de datos. Y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

Consejos para usuarios

En este contexto, se aconseja a los usuarios que:

Consejos para fabricantes

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

Así, en el caso de desarrolladores o fabricantes, deberían añadir a sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías.

Además, es necesario que ofrezcan al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada. Y que sea el propio usuario quien reduzca esas opciones. Como buena práctica, los navegadores podrían tener activada por defecto la opción Do not track.

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

El estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos. Y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

Técnicas de recopilación de huella digital

Hay muchos datos que podemos recoger del dispositivo móvil a través del navegador y con ellos es posible identificar el terminal en determinados casos.

Algunas de esas características son conocidas ya que son usadas normalmente para presentar las aplicaciones o páginas web adaptadas al dispositivo. Pero otras son mucho menos conocidas y puede sorprendernos su sofisticación.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo son:

Otras propiedades del dispositivo

Además de las técnicas citadas anteriormente existen muchas otras propiedades que se podrían recoger y en algunos casos se utilizan para formar parte de la huella digital del dispositivo, como son:

Actualmente existe un mercado dinámico en el cual los navegadores y los antivirus disponen de herramientas que permiten a los usuarios gestionar la publicación de su información personal lo que origina mayor dificultad para elaborar perfiles de los potenciales clientes. Por eso, todos los agentes participantes en el mercado de Internet están investigando continuamente nuevas formas para evitar esas protecciones que les impiden recoger y explotar los datos de los usuarios.

Lo bueno: la toma de huellas dactilares del navegador es un método útil de seguridad cibernética y protección contra el fraude

Hay un área en la que la tecnología es innegablemente útil: la toma de huellas digitales del navegador en el contexto de la detección de fraudes.

La toma de huellas digitales del navegador se convierte en una herramienta de seguridad. Las empresas pueden utilizar la información de tu dispositivo para tener una idea de quién eres sin vincularla necesariamente a datos personales de la vida real. Solo miran su software y hardware, por lo que en realidad no estás identificado como una persona individual.

Identificar una huella digital del navegador es útil cuando se observa actividad sospechosa en tu cuenta, por ejemplo, para marcar un intento de piratear tu cuenta o comprar algo sin tu autorización.

A continuación, se muestra un ejemplo rápido de cómo funcionaría desde una perspectiva de prevención del fraude:

Vale la pena señalar que existen limitaciones en cuanto a la precisión que puede tener la toma de huellas dactilares del navegador. Por ejemplo, el navegador web de Android predeterminado se identifica como Safari para facilitar la compatibilidad. Por lo tanto, centrarse solo en la versión del navegador, en ese caso, podría llevar a suposiciones falsas sobre el dispositivo de un usuario.

Si bien la toma de huellas dactilares funciona con navegación privada o de incógnito, los proveedores de protección contra el fraude y ciberseguridad deben combinarla con otras técnicas de análisis para obtener una imagen más clara de quiénes son realmente los visitantes.

Lo malo: preocupaciones sobre la pérdida de privacidad

La toma de huellas dactilares del navegador por motivos de seguridad es completamente legal (siempre que las empresas cumplan con las normas de seguridad y privacidad de los datos). De hecho, el considerando 47 del Reglamento general de protección de datos (RGPD) de la Unión Europea establece específicamente:

“El procesamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del controlador de datos en cuestión. El procesamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo «.

Al igual que las cookies web, el seguimiento está permitido siempre que las empresas sean transparentes sobre sus políticas (es decir, cómo recopilan y utilizan la información). Esta responsabilidad recae sobre los hombros de las empresas que deben asegurarse de que su seguimiento siga siendo compatible y que los usuarios den su consentimiento informado.

Esto no quiere decir que los usuarios estarán felices de ser rastreados. Definitivamente existe un compromiso entre seguridad y privacidad en línea. Los usuarios preocupados por la forma en que se realiza el seguimiento de sus dispositivos pueden optar por excluirse manualmente de la toma de huellas dactilares del navegador.

Pero un número creciente de navegadores anti-huellas digitales también está ganando popularidad en todo el mundo. No hay escasez de extensiones diseñadas para bloquear la identificación de JavaScripts. El uso del navegador Tor está en auge, y empresas como Mozilla Firefox, que siempre han puesto la privacidad al frente y al centro, ahora ofrecen bloqueadores de huellas dactilares integrados en su navegador:

Los desarrolladores que necesiten probar múltiples configuraciones de navegador también pueden usar herramientas como una extensión de suplantación de agente de usuario (UA) de Chrome que le permite cambiar su agente de usuario manualmente. Un agente de usuario es un encabezado HTTP que proporciona información sobre el navegador web de un usuario al sitio o aplicación web al que te conectas.

Para que un navegador se conecte con el sitio web, ese encabezado HTTP (es decir, la cadena de agente del navegador UA o UAS) debe estar presente para cada encabezado de solicitud. Y no todas las cadenas de UA tienen el mismo aspecto: el formato específico varía de un navegador a otro. Por lo tanto, poder cambiarlo es una herramienta útil tanto para los usuarios como para los desarrolladores web. Para el primer grupo, puede mejorar la privacidad del usuario; para este último, tiene usos y aplicaciones muy tangibles en el desarrollo web.

Aún más avanzado: puedes usar extensiones de navegador como Trace para protegerte contra múltiples técnicas de rastreo avanzadas. De lo contrario, puedes usar el navegador Tails, que está diseñado para acceder a Tor desde un disco duro externo para:

Estas son soluciones más sofisticadas, a menudo favorecidas tanto por los entusiastas de la privacidad como, lamentablemente, por los ciberdelincuentes.

Herramientas de falsificación de huellas dactilares de dispositivos

Otra tendencia que hemos presenciado es el aumento de las herramientas avanzadas de software de huellas dactilares anti-dispositivo. Estos programas llevan la falsificación de navegadores al siguiente nivel, lo que permite a los usuarios inyectar fragmentos de código JavaScript en los sitios web visitados para modificar el comportamiento de una página. Suelen venderse como extensiones de navegador, pero también se pueden enviar a navegadores modificados donde las extensiones vienen preinstaladas. Todavía se pueden detectar con una comparación de cadenas.

Luego están las herramientas nativas, que te permiten modificar las funciones de JavaScript a un nivel tan profundo que ni siquiera la comparación de cadenas funcionará. Los navegadores como Mimic incluso agregarán la creación de ruido. Esta es una característica que modifica los valores en tiempo de ejecución para confundir el seguimiento. En el navegador Mimic, esto es un envenenamiento de lienzo aliado, que puede engañar a las huellas dactilares del lienzo.

¿Necesitas funciones aún más avanzadas? Entonces tendrás que simular un entorno de usuario falso. Esto es posible con una herramienta de investigación llamada Blink, que recrea una pila de máquina virtual completa cada vez que se inicia. Esto te permite cambiar fuentes, complementos, navegadores, cadenas de agentes de usuario, zonas horarias o incluso sistemas operativos.

La pregunta es: ¿por qué alguien compraría estas herramientas, que no son baratas ni fáciles de configurar? Están claramente dirigidos y comercializados a una clientela específica que necesita suplantar varios entornos rápidamente y a escala. No es ningún secreto que el único caso de uso real es el fraude en línea o el delito cibernético, como el lavado de dinero.

Cómo evitar las huellas dactilares del navegador

Sin herramientas sofisticadas, la toma de huellas digitales del navegador es extremadamente difícil de evitar. Los trucos de privacidad normales, como usar la navegación privada o el modo de incógnito, limpiar las cookies o el historial de búsqueda, o usar un bloqueador de anuncios o una VPN, no pueden evitar la toma de huellas digitales del navegador. De hecho, es una técnica de seguimiento tan insidiosa y omnipresente que incluso si utilizas todas las tácticas de privacidad que acabamos de mencionar, tu huella digital única sigue siendo identificable.

Pero no te desesperes, no son maneras de luchar contra la toma de huellas digitales en línea. Si bien es imposible cerrar los scripts de sitios web que recopilan tus datos personales, porque los sitios web no funcionarían sin ellos, puedes confundir los scripts utilizando dos técnicas: generalización y aleatorización.

La generalización se refiere a manipular los resultados de la API del navegador para que parezca genérico. En otras palabras, enmascara tus atributos únicos y te ayuda a mezclarte con la multitud.

La aleatorización cambia tus atributos periódicamente para que tu huella digital cambie constantemente y no puedas ser identificado de manera confiable.

Pero, ¿cómo puede la persona promedio usar la generalización y la aleatorización para esconderse? Deberás confiar en una herramienta o servicio para que lo haga por ti. Avast AntiTrack utiliza tecnología avanzada antihuellas para insertar datos falsos cuando los scripts intentan recopilar tus atributos digitales. Eso permite que los scripts continúen ejecutándose (para evitar romper la funcionalidad del sitio web), mientras oculta tu verdadera información personal para que no se pueda recopilar.

Avast AntiTrack también te advierte de los intentos de rastreo para que puedas ver exactamente qué sitios están tratando de rastrearte. Y borrará periódicamente tu historial de navegación y cookies para garantizar la máxima privacidad.

Conclusiones

Las principales conclusiones que podemos obtener de este estudio realizado por la AEPD son:

Estas técnicas de recopilación de datos mediante la huella digital del dispositivo deberían cumplir los requisitos del RGPD y la LOPDGDD debido a que tienen gran impacto sobre las libertades y derechos de los ciudadanos.