El fingerprinting del navegador no necesita cookies — y los reguladores aún están poniéndose al día

El Reglamento General de Protección de Datos de la UE y la Ley de Privacidad del Consumidor de California se redactaron en gran medida pensando en las cookies. Ambos requieren consentimiento para las cookies de rastreo, otorgan derechos de eliminación a los usuarios e imponen sanciones significativas por incumplimiento. La infraestructura de cumplimiento que siguió — banners de cookies, plataformas de gestión de consentimiento, mecanismos de exclusión voluntaria — ha creado un marco visible, aunque imperfecto, para el rastreo basado en cookies.

El fingerprinting del navegador opera casi por completo fuera de ese marco. No almacena nada en el dispositivo del usuario. No hay cookie que eliminar, ningún archivo que borrar. El modo de navegación privada no ayuda. Bloquear las cookies de terceros no tiene efecto. Los datos utilizados para construir una huella digital son inherentes al propio navegador: la combinación de versión del navegador, sistema operativo, fuentes instaladas, hardware gráfico, resolución de pantalla, zona horaria, configuración de idioma y docenas de otros atributos legibles a través de APIs JavaScript estándar. Cada atributo por sí solo es intrascendente. Combinados, a menudo son lo suficientemente únicos como para identificar a un usuario específico a través de sesiones y sitios sin ningún identificador persistente almacenado en su dispositivo.

Cómo funciona el fingerprinting en la práctica

La técnica central se basa en que las APIs de JavaScript diseñadas para el desarrollo web legítimo también exponen características de hardware y software que son únicas. El objeto navigator devuelve la versión del navegador, la plataforma y la lista de plugins. El canvas fingerprinting renderiza una imagen oculta mediante la API Canvas y genera un hash de la salida — debido a que diferentes controladores gráficos renderizan la misma imagen con diferencias sutiles a nivel de píxel, el hash funciona como identificador de hardware. El WebGL fingerprinting hace lo mismo a través del renderizado 3D. El AudioContext fingerprinting genera un tono sintético y hashea la salida procesada, que varía según el hardware de audio y la pila de audio del sistema operativo.

Una huella completa combina entre 30 y 50 de estos atributos. Investigaciones del proyecto Panopticlick de la EFF encontraron que más del 99% de los navegadores eran identificables de forma única usando estas técnicas cuando la enumeración completa de fuentes estaba disponible. FingerprintJS afirma una precisión de identificación superior al 99,5% con ejecución completa de JavaScript. Incluso con algo de ruido añadido por navegadores centrados en la privacidad, una huella basada en suficientes atributos puede identificar a un visitante recurrente con alta confianza — a menudo de manera más fiable que una cookie, ya que las cookies se pueden eliminar mientras que las características del navegador suelen permanecer estables hasta una actualización de software.

Por qué los reguladores siguen ignorándolo

La definición del GDPR de datos personales cubre cualquier información que pueda identificar a una persona física. Una huella del navegador claramente califica. Tanto la ICO como la CNIL de Francia han publicado directrices que indican que el fingerprinting del navegador está sujeto a los requisitos de consentimiento del GDPR. La CNIL multó a la empresa de análisis francesa Eulerian Technologies con 200.000 € en 2022 en parte por hacer fingerprinting sin consentimiento. Pero en comparación con las acciones de cumplimiento relacionadas con el consentimiento de cookies, los casos de fingerprinting son raros.

Varios factores explican esta brecha. Primero, la capacidad de aplicación de la ley es limitada, y las violaciones de cookies son más fáciles de detectar y reportar — los usuarios ven el banner. El fingerprinting es invisible; la aplicación requiere una investigación técnica que la mayoría de los denunciantes no pueden realizar. Segundo, la distinción legal entre el fingerprinting para prevención de fraudes y el rastreo conductual es realmente ambigua. Las cookies estrictamente necesarias están exentas de requisitos de consentimiento, y muchas empresas argumentan que el fingerprinting para detección de bots o seguridad cae bajo una exención similar. Tercero, la mayoría de los editores implementan el fingerprinting a través de scripts de terceros incrustados — proveedores de análisis, redes publicitarias — donde el editor puede no comprender completamente qué datos recopilan esos scripts. La responsabilidad es difusa, complicando la aplicación contra cualquier parte individual.

Dónde aparece realmente el fingerprinting

El fingerprinting no es principalmente dominio de sitios maliciosos. El producto comercial de FingerprintJS es utilizado por grandes bancos, aerolíneas y plataformas de comercio electrónico para prevención de fraudes y seguridad de sesiones — usos legítimos donde la identificación de usuarios recurrentes evita la apropiación de cuentas. La misma API también es utilizada por redes publicitarias para rastreo entre sitios sin consentimiento y para reconstruir perfiles de usuario después de eliminar cookies.

Los scripts de sincronización de cookies añaden otra capa. Un editor podría bloquear las cookies de terceros en su propio sitio mientras aloja un script que sincroniza las huellas del navegador con los identificadores de cookies de una red publicitaria para rastreo entre dominios. El resultado es que el bloqueo de cookies logra menos de lo que los usuarios esperan, porque la huella proporciona el identificador persistente que antes suministraba la cookie.

Mitigaciones a nivel de navegador y sus límites

Los navegadores han añadido protecciones contra el fingerprinting, pero son parciales. La Prevención de Rastreo Inteligente de Safari limita el acceso a ciertas APIs de terceros. La protección mejorada contra fingerprinting de Firefox añade ruido a los resultados de Canvas y WebGL — suficiente para derrotar scripts simples de fingerprinting, pero no sistemas sofisticados que recopilan suficientes atributos adicionales para compensar. El enfoque de Privacy Sandbox de Chrome aborda las cookies de terceros pero no elimina el rastreo basado en fingerprinting. El navegador Tor proporciona la protección más completa al homogeneizar deliberadamente los atributos de la huella: la resolución de pantalla se redondea, la enumeración de fuentes se bloquea, los resultados de Canvas se aleatorizan por sitio. La contrapartida es una degradación significativa de la usabilidad y ser señalado por sistemas de detección de bots. Para usuarios que quieren una protección significativa sin la fricción de Tor, Firefox con protección estricta contra fingerprinting más uBlock Origin en modo avanzado, o el navegador Brave con aleatorización de fingerprinting integrada, proporcionan la mejor combinación disponible en el mercado convencional. Ninguna configuración evita todo el fingerprinting de un rastreador suficientemente determinado.

La dirección regulatoria

El movimiento de control más significativo no se está dando a través de casos dedicados de fingerprinting, sino mediante barridos de control de rastreo sin cookies más amplios. La CNIL de Francia realizó acciones coordinadas en 2025 dirigidas al fingerprinting y al rastreo basado en píxeles junto con las cookies, tratándolos como una estrategia coordinada de evasión. La DSK de Alemania ha emitido directrices que establecen que las reglas de ePrivacy se aplican a cualquier mecanismo de rastreo que lea características del dispositivo — incluyendo las huellas derivadas de las propiedades del navegador. Si esta interpretación se vuelve consistente entre los estados miembros de la UE, el fingerprinting enfrenta la misma carga de consentimiento que las cookies — requiriendo una aceptación afirmativa para usos de rastreo conductual. La industria publicitaria observa de cerca: el fingerprinting es cada vez más el recurso para el targeting conductual entre sitios a medida que las cookies de terceros completan su eliminación gradual en Chrome. Perderlo ante la aplicación del GDPR requeriría reconstruir la infraestructura de publicidad conductual en torno a identificadores basados en consentimiento genuino, no solo intercambiar un identificador persistente por otro.

La brecha entre lo que el fingerprinting del navegador puede hacer y lo que la regulación actualmente restringe sigue siendo amplia — pero se está estrechando mediante acciones coordinadas, directrices regulatorias más claras y los fabricantes de navegadores cerrando incrementalmente las APIs que permiten las huellas más fiables. Los usuarios que quieren protección tienen ahora mejores opciones que hace dos años. Los usuarios que esperan que la regulación lo resuelva probablemente están esperando más de lo que creen.