La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), dando una sensación de seguridad errónea.
Así lo pone de manifiesto la Agencia en su estudio ‘Fingerprinting o huella digital del dispositivo’, donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.
¿Qué es la huella digital del dispositivo?
La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar «de forma unívoca» dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma.
Se avisa de que la elaboración de perfiles no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer:
- Geolocalización
- Datos de configuración del sistema y las aplicaciones
- Programas instalados
- Movimientos del ratón, etc.
La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza. Y, por lo tanto, diferencia de forma unívoca a cada usuario en Internet.
El organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito. Una opción con la que los usuarios «tienen la sensación de que su navegación es segura y no será rastreable». Consulta el reglamento de privacidad electrónica (e-privacy).
En esta opción el navegador no guarda información sobre:
- Páginas web
- Historial de navegación
- Caché web
- Contraseñas
- Información de formularios
- Cookies
- Otros datos de sitios web.
Y al cerrar la ventana borra del equipo del usuario toda esta información.
Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad. Pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado.
Así pues, en este sentido, la navegación privada no es efectiva.
No existe información ni consentimiento
El informe concluye que «con mucha frecuencia» se emplean estas técnicas para recoger datos del equipo del usuario «sin ofrecerle información y sin solicitarle su consentimiento«. Y la cantidad de datos recogidos puede ser tan amplia que incluso puede recopilar categorías especiales de datos.
Asimismo, el documento advierte de que, «en la mayoría de los casos», al usuario no se le proporcionan herramientas para poder evitar «de forma efectiva» la recogida de datos. Y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.
Consejos para usuarios
En este contexto, se aconseja a los usuarios que:
- Utilicen la opción ‘Do not track’ del navegador, que permite dejar constancia de que se quiere evitar el seguimiento
- Instalen bloqueadores que permiten eludir la publicidad y el rastreo
- Deshabiliten el uso de Javascript
- Alternen entre distintos navegadores
- Ejecuten el acceso a Internet en máquinas virtuales
Consejos para fabricantes
En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.
Así, en el caso de desarrolladores o fabricantes, deberían añadir a sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías.
Además, es necesario que ofrezcan al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada. Y que sea el propio usuario quien reduzca esas opciones. Como buena práctica, los navegadores podrían tener activada por defecto la opción Do not track.
Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.
El estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos. Y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.
Técnicas de recopilación de huella digital
Hay muchos datos que podemos recoger del dispositivo móvil a través del navegador y con ellos es posible identificar el terminal en determinados casos.
Algunas de esas características son conocidas ya que son usadas normalmente para presentar las aplicaciones o páginas web adaptadas al dispositivo. Pero otras son mucho menos conocidas y puede sorprendernos su sofisticación.
Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo son:
- User Agent: Se trata de una cadena de texto que el navegador envía en las cabeceras de las peticiones HTTP al servidor. Contiene información sobre el navegador que se está utilizando y el sistema operativo del dispositivo.
- Lista de plugins activados en el navegador: Mediante javascript se puede obtener la lista de plugins activados en el navegador web.
- Plataforma sobre la que se ejecuta el navegador: Mediante javascript se puede obtener la plataforma sobre la cual se está ejecutando la instancia del navegador, por ejemplo ‘Win32’.
- Cookies habilitadas: Se detecta mediante javascript si el navegador tiene habilitadas las cookies o no.
- HTTP Do not track Header: La mayoría de navegadores actuales permiten informar a las páginas web que se visitan, sus anunciantes y sus proveedores de contenidos que el usuario no desea que se realice el seguimiento de su navegación. Con javascript se puede detectar si esta característica ha sido activada o no.
- Zona horaria del navegador: Se puede obtener mediante javascript.
- Resolución de la pantalla: Se puede obtener mediante javascript.
- Uso de bloqueadores de publicidad: Se realizan diversas comprobaciones para determinar el empleo de bloqueadores de publicidad en el navegador.
- Dispositivo táctil: Se detecta si el dispositivo dispone de pantalla táctil.
- IP pública con la que el dispositivo se conecta a Internet.
Otras propiedades del dispositivo
Además de las técnicas citadas anteriormente existen muchas otras propiedades que se podrían recoger y en algunos casos se utilizan para formar parte de la huella digital del dispositivo, como son:
- Instalación de bloqueadores de publicidad en el navegador
- Memoria del dispositivo
- Número de monitores conectados al dispositivo
- Dispositivo con acelerómetro
- Presencia de teclados virtuales
- Lista de gestos soportados en el caso de dispositivos con pantalla multitáctil
- Codecs de audio y video disponibles
- Perfil de uso de la batería del terminal
- Listado de aplicaciones instaladas
Actualmente existe un mercado dinámico en el cual los navegadores y los antivirus disponen de herramientas que permiten a los usuarios gestionar la publicación de su información personal lo que origina mayor dificultad para elaborar perfiles de los potenciales clientes. Por eso, todos los agentes participantes en el mercado de Internet están investigando continuamente nuevas formas para evitar esas protecciones que les impiden recoger y explotar los datos de los usuarios.
Hay un área en la que la tecnología es innegablemente útil: la toma de huellas digitales del navegador en el contexto de la detección de fraudes.
La toma de huellas digitales del navegador se convierte en una herramienta de seguridad. Las empresas pueden utilizar la información de tu dispositivo para tener una idea de quién eres sin vincularla necesariamente a datos personales de la vida real. Solo miran su software y hardware, por lo que en realidad no estás identificado como una persona individual.
Identificar una huella digital del navegador es útil cuando se observa actividad sospechosa en tu cuenta, por ejemplo, para marcar un intento de piratear tu cuenta o comprar algo sin tu autorización.
A continuación, se muestra un ejemplo rápido de cómo funcionaría desde una perspectiva de prevención del fraude:
- Te conectas a un sitio web.
- Un código JavaScript captura todos los datos de tu hardware y software.
- A la configuración única se le asigna un ID.
- Se realiza un seguimiento de la identificación, en combinación con una dirección IP, para verificar si hay actividad sospechosa
Vale la pena señalar que existen limitaciones en cuanto a la precisión que puede tener la toma de huellas dactilares del navegador. Por ejemplo, el navegador web de Android predeterminado se identifica como Safari para facilitar la compatibilidad. Por lo tanto, centrarse solo en la versión del navegador, en ese caso, podría llevar a suposiciones falsas sobre el dispositivo de un usuario.
Si bien la toma de huellas dactilares funciona con navegación privada o de incógnito, los proveedores de protección contra el fraude y ciberseguridad deben combinarla con otras técnicas de análisis para obtener una imagen más clara de quiénes son realmente los visitantes.
Lo malo: preocupaciones sobre la pérdida de privacidad
La toma de huellas dactilares del navegador por motivos de seguridad es completamente legal (siempre que las empresas cumplan con las normas de seguridad y privacidad de los datos). De hecho, el considerando 47 del Reglamento general de protección de datos (RGPD) de la Unión Europea establece específicamente:
“El procesamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del controlador de datos en cuestión. El procesamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo «.
Al igual que las cookies web, el seguimiento está permitido siempre que las empresas sean transparentes sobre sus políticas (es decir, cómo recopilan y utilizan la información). Esta responsabilidad recae sobre los hombros de las empresas que deben asegurarse de que su seguimiento siga siendo compatible y que los usuarios den su consentimiento informado.
Esto no quiere decir que los usuarios estarán felices de ser rastreados. Definitivamente existe un compromiso entre seguridad y privacidad en línea. Los usuarios preocupados por la forma en que se realiza el seguimiento de sus dispositivos pueden optar por excluirse manualmente de la toma de huellas dactilares del navegador.
Pero un número creciente de navegadores anti-huellas digitales también está ganando popularidad en todo el mundo. No hay escasez de extensiones diseñadas para bloquear la identificación de JavaScripts. El uso del navegador Tor está en auge, y empresas como Mozilla Firefox, que siempre han puesto la privacidad al frente y al centro, ahora ofrecen bloqueadores de huellas dactilares integrados en su navegador:
Los desarrolladores que necesiten probar múltiples configuraciones de navegador también pueden usar herramientas como una extensión de suplantación de agente de usuario (UA) de Chrome que le permite cambiar su agente de usuario manualmente. Un agente de usuario es un encabezado HTTP que proporciona información sobre el navegador web de un usuario al sitio o aplicación web al que te conectas.
Para que un navegador se conecte con el sitio web, ese encabezado HTTP (es decir, la cadena de agente del navegador UA o UAS) debe estar presente para cada encabezado de solicitud. Y no todas las cadenas de UA tienen el mismo aspecto: el formato específico varía de un navegador a otro. Por lo tanto, poder cambiarlo es una herramienta útil tanto para los usuarios como para los desarrolladores web. Para el primer grupo, puede mejorar la privacidad del usuario; para este último, tiene usos y aplicaciones muy tangibles en el desarrollo web.
Aún más avanzado: puedes usar extensiones de navegador como Trace para protegerte contra múltiples técnicas de rastreo avanzadas. De lo contrario, puedes usar el navegador Tails, que está diseñado para acceder a Tor desde un disco duro externo para:
- Protegerse de las huellas dactilares
- Eliminar los encabezados de Google
- Ocultar complementos de JavaScript
- Desactivar la API de estado de la batería y
- Falsificar una dirección MAC.
Estas son soluciones más sofisticadas, a menudo favorecidas tanto por los entusiastas de la privacidad como, lamentablemente, por los ciberdelincuentes.
Herramientas de falsificación de huellas dactilares de dispositivos
Otra tendencia que hemos presenciado es el aumento de las herramientas avanzadas de software de huellas dactilares anti-dispositivo. Estos programas llevan la falsificación de navegadores al siguiente nivel, lo que permite a los usuarios inyectar fragmentos de código JavaScript en los sitios web visitados para modificar el comportamiento de una página. Suelen venderse como extensiones de navegador, pero también se pueden enviar a navegadores modificados donde las extensiones vienen preinstaladas. Todavía se pueden detectar con una comparación de cadenas.
Luego están las herramientas nativas, que te permiten modificar las funciones de JavaScript a un nivel tan profundo que ni siquiera la comparación de cadenas funcionará. Los navegadores como Mimic incluso agregarán la creación de ruido. Esta es una característica que modifica los valores en tiempo de ejecución para confundir el seguimiento. En el navegador Mimic, esto es un envenenamiento de lienzo aliado, que puede engañar a las huellas dactilares del lienzo.
¿Necesitas funciones aún más avanzadas? Entonces tendrás que simular un entorno de usuario falso. Esto es posible con una herramienta de investigación llamada Blink, que recrea una pila de máquina virtual completa cada vez que se inicia. Esto te permite cambiar fuentes, complementos, navegadores, cadenas de agentes de usuario, zonas horarias o incluso sistemas operativos.
La pregunta es: ¿por qué alguien compraría estas herramientas, que no son baratas ni fáciles de configurar? Están claramente dirigidos y comercializados a una clientela específica que necesita suplantar varios entornos rápidamente y a escala. No es ningún secreto que el único caso de uso real es el fraude en línea o el delito cibernético, como el lavado de dinero.
Sin herramientas sofisticadas, la toma de huellas digitales del navegador es extremadamente difícil de evitar. Los trucos de privacidad normales, como usar la navegación privada o el modo de incógnito, limpiar las cookies o el historial de búsqueda, o usar un bloqueador de anuncios o una VPN, no pueden evitar la toma de huellas digitales del navegador. De hecho, es una técnica de seguimiento tan insidiosa y omnipresente que incluso si utilizas todas las tácticas de privacidad que acabamos de mencionar, tu huella digital única sigue siendo identificable.
Pero no te desesperes, no son maneras de luchar contra la toma de huellas digitales en línea. Si bien es imposible cerrar los scripts de sitios web que recopilan tus datos personales, porque los sitios web no funcionarían sin ellos, puedes confundir los scripts utilizando dos técnicas: generalización y aleatorización.
La generalización se refiere a manipular los resultados de la API del navegador para que parezca genérico. En otras palabras, enmascara tus atributos únicos y te ayuda a mezclarte con la multitud.
La aleatorización cambia tus atributos periódicamente para que tu huella digital cambie constantemente y no puedas ser identificado de manera confiable.
Pero, ¿cómo puede la persona promedio usar la generalización y la aleatorización para esconderse? Deberás confiar en una herramienta o servicio para que lo haga por ti. Avast AntiTrack utiliza tecnología avanzada antihuellas para insertar datos falsos cuando los scripts intentan recopilar tus atributos digitales. Eso permite que los scripts continúen ejecutándose (para evitar romper la funcionalidad del sitio web), mientras oculta tu verdadera información personal para que no se pueda recopilar.
Avast AntiTrack también te advierte de los intentos de rastreo para que puedas ver exactamente qué sitios están tratando de rastrearte. Y borrará periódicamente tu historial de navegación y cookies para garantizar la máxima privacidad.
Conclusiones
Las principales conclusiones que podemos obtener de este estudio realizado por la AEPD son:
- A través de la huella digital se recopilan datos de los usuarios sin que estos lo sepan ni den su consentimiento. Y muchas veces se utilizan esos datos para fines diferentes de los previstos en un principio.
- El conjunto de datos recogidos es muy amplio por lo que se incumpliría el principio de minimización de datos recogido en el RGPD.
- No existen herramientas para impedir la recopilación de esos datos.
- Se produce un incumplimiento de la obligación de obtener el consentimiento del usuario y de informarle adecuadamente sobre ese tratamiento.
- No se facilitan al usuario medios para ejercer los derechos reconocidos en el RGPD.
Estas técnicas de recopilación de datos mediante la huella digital del dispositivo deberían cumplir los requisitos del RGPD y la LOPDGDD debido a que tienen gran impacto sobre las libertades y derechos de los ciudadanos.