La huella digital del navegador te rastrea incluso después de eliminar todas las cookies

La toma de huellas mediante WebGL funciona de manera similar, utilizando la GPU para renderizar una escena 3D y leyendo los artefactos de renderizado. Dado que las GPU de diferentes fabricantes renderizan escenas idénticas con una aritmética de punto flotante ligeramente diferente, el resultado es altamente específico del hardware. Un artículo de 2018 de Cao et al. demostró que solo la huella de WebGL podía distinguir al 99,2 % de los dispositivos en una muestra de 3,615 usuarios.

La toma de huellas mediante AudioContext utiliza la API de Web Audio para procesar una breve señal de audio a través de la pila de audio del dispositivo. Diferentes implementaciones de hardware y sistemas operativos producen salidas de punto flotante mediblemente diferentes para entradas idénticas. Esta técnica fue documentada en detalle por Mowery y Shacham en UC San Diego en 2012 y sigue siendo de uso comercial generalizado.

La enumeración de fuentes detecta qué fuentes están instaladas midiendo cómo el navegador renderiza texto en fuentes que tiene y que no tiene. Un atacante intenta medir cientos de fuentes; un conjunto único de fuentes instaladas es altamente identificador porque los patrones de instalación de fuentes dependen del software instalado, lo cual es específico de la máquina de cada usuario.

Además de las técnicas basadas en renderizado, los scripts de toma de huellas también recopilan: resolución de pantalla y profundidad de color, zona horaria y configuración de idioma, lista de complementos del navegador, concurrencia de hardware (número de núcleos de CPU), tamaño de la memoria del dispositivo, cabeceras HTTP Accept-Language y User-Agent, capacidad táctil, tipo de conexión de red a través de la API de Network Information, y nivel de carga de la batería (hasta que los navegadores comenzaron a restringir la API de Battery Status alrededor de 2015-2016 específicamente debido al abuso de la toma de huellas).

Implementación comercial a gran escala

FingerprintJS (ahora Fingerprint Inc.) ofrece una biblioteca comercial de toma de huellas en JavaScript utilizada por más de 6,000 empresas hasta 2024. Su versión de código abierto tiene más de 21,000 estrellas en GitHub. El argumento de venta de la empresa es principalmente la prevención de fraudes —identificar si múltiples cuentas fraudulentas provienen del mismo dispositivo— pero su tecnología es arquitectónicamente idéntica a la que utilizan las redes publicitarias para el seguimiento entre sitios.

ThreatMetrix, adquirida por LexisNexis Risk Solutions, opera una red de inteligencia de dispositivos utilizada por instituciones financieras, compañías de seguros y plataformas de comercio electrónico para evaluar el riesgo de transacciones. Según los materiales de la empresa de 2023, su red ha procesado más de 60 mil millones de transacciones y registrado más de 4 mil millones de dispositivos. Cuando solicitas una cuenta bancaria en línea y el formulario te pide que esperes un momento mientras "verifica tu información", la red de toma de huellas del dispositivo está funcionando en segundo plano.

La implementación en redes publicitarias es más difícil de cuantificar con precisión, pero el rastreo de 2022 del Princeton Web Transparency and Accountability Project en los 100,000 sitios web más populares encontró scripts de toma de huellas en más del 30 % de las páginas, con la mayor concentración en sitios de noticias, comercio minorista y contenido para adultos. DoubleClick de Google, Pixel de Meta y varias docenas de empresas más pequeñas de tecnología publicitaria utilizan técnicas de canvas y WebGL como parte de sus gráficos de identidad entre sitios, complementando (y reemplazando cada vez más) las cookies de terceros a medida que estas se eliminan gradualmente.