Las cookies tienen los días contados. El browser fingerprinting las reemplaza — y es más difícil de bloquear.

La cookie de terceros finalmente está siendo descontinuada. Después de años de retrasos, Google comenzó a deshabilitar las cookies de terceros para los usuarios de Chrome en 2024 como parte de la iniciativa Privacy Sandbox. Safari y Firefox ya las habían bloqueado por defecto. La industria publicitaria, que sabía que esto llegaría desde hace años, ha estado construyendo su reemplazo. El candidato principal no es una alternativa que preserve la privacidad. Es el fingerprinting — y está generando serias preocupaciones entre investigadores de privacidad y reguladores.

Qué es el browser fingerprinting

Una browser fingerprint es un identificador probabilístico ensamblado a partir de docenas de atributos visibles para cualquier sitio web que visites, sin tu consentimiento y sin establecer ninguna cookie. Los atributos incluyen:

• Cadena user agent: nombre del navegador, versión, sistema operativo
• Resolución de pantalla y profundidad de color
• Configuración de zona horaria e idioma
• Fuentes instaladas: consultadas mediante renderizado de texto con Canvas API
• Renderizador y vendor de WebGL: el modelo de GPU y la versión del driver
• AudioContext fingerprint: el procesamiento de audio imperceptible produce salidas de punto flotante específicas del dispositivo debido a diferencias de hardware y driver
• Canvas fingerprint: un elemento canvas renderizado, invisible para el usuario, produce valores de píxel que varían según la GPU, el motor de renderizado del SO y la versión del driver
• Comportamiento de la pila TCP/IP: fingerprinting de red basado en cómo el sistema operativo maneja la temporización y el orden de los paquetes

La combinación de estos atributos — incluso si ninguno por sí solo es único — crea una fingerprint que es única para una gran mayoría de usuarios. El proyecto Cover Your Tracks de la EFF (anteriormente Panopticlick) ha encontrado consistentemente que más del 99% de los navegadores tienen fingerprints únicas cuando se combinan suficientes atributos. Ese número disminuye a medida que más usuarios adoptan navegadores resistentes al fingerprinting, pero la técnica subyacente sigue siendo efectiva contra la población general.

La combinación de canvas y AudioContext

Los dos vectores de fingerprinting más fiables explotan el hecho de que las mismas operaciones matemáticas producen resultados de punto flotante ligeramente diferentes en distintas combinaciones de hardware. El modelo de GPU, la versión del driver y el motor de renderizado del SO introducen microvariaciones en cómo se computan los gráficos y el audio.

Un script de canvas fingerprint dibuja texto y formas en un elemento canvas invisible, luego lee los valores de píxeles mediante toDataURL(). Los valores de píxeles son deterministas para una configuración de dispositivo dada, pero difieren entre dispositivos — a veces a nivel de subpíxel, debido a diferencias en cómo los drivers de GPU implementan el antialiasing y el renderizado subpíxel.

Una AudioContext fingerprint ejecuta un oscilador a través de un compresor y lee los valores del buffer de salida procesados. El comportamiento de redondeo de punto flotante varía con la implementación de hardware de la aritmética IEEE 754. Ambos son efectos secundarios de APIs de navegador normales que existen con fines legítimos — canvas para renderizado gráfico, AudioContext para procesamiento de audio. No hay aviso de permiso. No se almacena nada. La extracción ocurre de forma invisible durante una carga de página normal.

Por qué el fingerprinting es más difícil de bloquear que las cookies

El bloqueo de cookies es arquitectónicamente simple: el navegador puede negarse a almacenar o enviar cookies de terceros sin romper ningún estándar web. El fingerprinting es diferente porque explota los efectos secundarios observables de APIs que tienen propósitos legítimos.

Si bloqueas completamente la lectura de canvas (toDataURL() devuelve una cadena vacía), rompes aplicaciones de canvas legítimas — editores de imágenes, herramientas de diseño, aplicaciones web con muchos gráficos. Si bloqueas WebGL, rompes aplicaciones 3D, juegos basados en navegador y mapas. Si silencias el AudioContext, rompes la producción de audio web. La superficie de fingerprinting está integrada en las APIs que hacen funcional la web.

La defensa alternativa — la aleatorización — añade ruido a los valores devueltos por estas APIs, de modo que el mismo dispositivo devuelve valores de fingerprint diferentes en distintos sitios o sesiones. Pero esto crea su propio problema: un canvas que se renderiza de manera diferente cada vez es en sí mismo una señal. Los sistemas de fingerprinting basados en Machine Learning pueden detectar la aleatorización y ajustar sus modelos.

Qué están haciendo los navegadores

Firefox: El modo de protección contra fingerprinting (disponible en el modo estricto de Protección de Rastreo Mejorada) aleatoriza las salidas de canvas, WebGL y AudioContext por sitio y por sesión. También limita la enumeración de fuentes y reduce la precisión de ciertas APIs de temporización que pueden usarse para ataques de temporización.

Brave: La protección contra fingerprinting más agresiva de cualquier navegador importante. Brave aleatoriza canvas, WebGL, AudioContext, lista de fuentes, resolución de pantalla, concurrencia de hardware y memoria del dispositivo por sitio y por sesión. También bloquea completamente la API de batería y limita la precisión de los temporizadores de JavaScript para evitar el fingerprinting basado en temporización. El enfoque de Brave es hacer que cada instancia del navegador luzca estadísticamente similar en lugar de única.

Safari: Intelligent Tracking Prevention se centra principalmente en el rastreo basado en cookies y URL, pero también restringe algunas superficies de fingerprinting. Safari limita la enumeración de fuentes a un conjunto por defecto del sistema, restringe la lectura de canvas en contextos de terceros y limita ciertas APIs identificadoras de hardware.

Chrome: Privacy Sandbox incluye una reducción de User-Agent que envía la misma cadena user agent truncada a todos los usuarios de Chrome, eliminando la versión del SO, la versión menor de Chrome y detalles identificadores de hardware. Las APIs Protected Audience y Attribution Reporting de Privacy Sandbox están diseñadas para reemplazar algunas funciones de cookies sin rastreo entre sitios — pero críticos han documentado que las APIs de Privacy Sandbox pueden ser fingerprinted a través de sus patrones de temporización y respuesta.

El panorama legal

El GDPR trata el fingerprinting como procesamiento de datos personales siempre que la fingerprint se use para identificar o rastrear a un individuo — que es su único propósito práctico en contextos publicitarios. La guía del Comité Europeo de Protección de Datos es clara: el fingerprinting usado para publicidad requiere consentimiento explícito, igual que las cookies. La diferencia está en la aplicación.

Las plataformas estándar de gestión de consentimiento — los diálogos de consentimiento de cookies que ves en cada sitio web europeo — típicamente no cubren el fingerprinting en absoluto. La mayoría de las empresas de ad tech han implementado fingerprinting sin el consentimiento explícito requerido por la ley, basándose en la suposición implícita de que los reguladores no pueden detectarlo. A diferencia de las cookies, que dejan artefactos rastreables en el almacenamiento del navegador y en las solicitudes de red, el fingerprinting no deja ningún identificador almacenado para auditar.

La autoridad francesa de protección de datos CNIL multó a Google con 150 millones de euros y a Facebook con 60 millones de euros en 2022 por violaciones de consentimiento de cookies. La aplicación a gran escala del fingerprinting aún no se ha materializado, principalmente porque la detección es técnicamente difícil y requiere monitoreo activo del comportamiento del JavaScript de ad tech. La ICO del Reino Unido y la DSK de Alemania han publicado orientaciones indicando que el fingerprinting está cubierto por los requisitos de la ley de cookies, pero los recursos de aplicación son limitados.

La CPRA de California define un derecho a optar por no compartir información personal utilizada para publicidad. Los datos de fingerprinting caen dentro de la definición de información personal de la CPRA. La Agencia de Protección de la Privacidad de California está construyendo infraestructura de aplicación, pero la complejidad técnica de detectar implementaciones de fingerprinting entre miles de proveedores de ad tech es significativa.

La dinámica de carrera armamentista

Un artículo de 2024 de Laperdrix et al., "Browser Fingerprinting: A Modern Survey", documentó que los sistemas de fingerprinting basados en Machine Learning logran más del 95% de precisión en la reidentificación de usuarios entre sesiones incluso contra navegadores con aleatorización activa, al correlacionar múltiples atributos cuyos patrones de ruido están correlacionados — el ruido de canvas añadido al canal rojo se correlaciona con el ruido añadido al canal verde de formas predecibles, por ejemplo.

La asimetría fundamental: los defensores del fingerprinting necesitan hacer que cada atributo sea impredecible de forma independiente y no correlacionado con cualquier otro atributo, lo cual es computacionalmente costoso y a menudo rompe la funcionalidad legítima. Los atacantes del fingerprinting solo necesitan encontrar un atributo estable o un patrón de correlación. La posición del defensor es estructuralmente más débil.

Qué pueden hacer los usuarios

En la práctica: Brave ofrece la protección contra fingerprinting más fuerte de cualquier navegador convencional. Firefox en modo estricto es un paso significativo sobre Chrome. Usar una VPN enmascara el componente de fingerprinting de red (dirección IP, comportamiento de la pila TCP/IP). Deshabilitar JavaScript por completo bloquea el fingerprinting de canvas y AudioContext, pero también rompe la mayor parte de la web moderna.

El punto más importante es que las contramedidas técnicas individuales son inherentemente reactivas. La solución fundamental es la aplicación regulatoria de la ley existente — el GDPR ya prohíbe el fingerprinting no consentido para publicidad; el texto de la CPRA respalda la misma interpretación. La brecha no es ambigüedad legal; es capacidad de detección y recursos de aplicación. Las autoridades de protección de datos que inviertan en infraestructura de auditoría de ad tech — rastreando sitios, monitoreando el comportamiento de JavaScript, documentando implementaciones de fingerprinting — podrían aplicar a gran escala. La pregunta es si esa inversión se materializa antes de que el fingerprinting se integre tan profundamente en la pila de ad tech que su remediación sea políticamente inviable.