Bloqueaste las cookies. Aún te están rastreando — Explicación del browser fingerprinting
El banner de consentimiento de cookies se convirtió en el patrón de interfaz de usuario definitorio de la web moderna después de la implementación del GDPR en 2018. Haz clic en "Rechazar todo", siéntete satisfecho, continúa. Lo que la mayoría de los usuarios no saben es que la industria de la publicidad y la analítica ya se había movido también — al fingerprinting, una técnica de rastreo que no utiliza cookies, no almacena nada en tu dispositivo y no requiere consentimiento según la mayoría de los marcos legales actuales.
Qué es realmente el browser fingerprinting
Cada navegador revela una enorme cantidad de información sobre sí mismo y el dispositivo en el que se ejecuta — no a través de ninguna vulnerabilidad de seguridad, sino a través del funcionamiento normal de los estándares web. Tu navegador informa su cadena de user agent (nombre del navegador, versión, SO), las fuentes instaladas en tu sistema, la resolución de pantalla y profundidad de color, tu zona horaria, los plugins y extensiones instalados, cómo tu GPU renderiza operaciones gráficas específicas (canvas fingerprinting), cómo tu hardware de audio procesa formas de onda específicas (audio fingerprinting) y docenas de otros atributos.
Ningún atributo individual te identifica de forma única. Pero combinados, forman una huella que es estadísticamente única en una gran fracción de casos. La investigación del proyecto Panopticlick de la Electronic Frontier Foundation encontró que la combinación de navegador, SO, resolución de pantalla, zona horaria y plugins instalados hacía que el 83.6% de los navegadores fueran identificables de forma única. Los sistemas modernos de fingerprinting utilizan entre 50 y 100+ atributos y logran tasas de singularidad considerablemente más altas.
Canvas y WebGL: Las señales más potentes
El canvas fingerprinting explota el hecho de que diferentes combinaciones de GPU, driver, SO y renderizado de fuentes producen salidas de píxeles ligeramente diferentes al dibujar la misma forma o texto. Un script de fingerprinting renderiza texto y formas invisibles en un elemento canvas de HTML5, lee los valores de píxeles y hashea el resultado. Este hash es estable entre sesiones — no cambia cuando borras cookies, usas navegación privada o reinicias tu navegador — y es altamente único porque los pipelines de renderizado de GPU varían a nivel de hardware y driver.
El WebGL fingerprinting extiende esto al renderizado 3D: los scripts consultan la cadena específica del renderizador de GPU (ej., "ANGLE (Intel, Intel(R) UHD Graphics 620 Direct3D11 vs_5_0 ps_5_0)"), renderizan escenas WebGL y leen el framebuffer resultante. La combinación de fabricante de GPU, modelo, versión de driver y salida de renderizado reduce aún más la huella.
Por qué es legal (por ahora)
Tanto el GDPR como la CCPA definen "datos personales" como información que puede identificar a una persona natural. Las huellas no identifican directamente a una persona — identifican una combinación dispositivo/navegador. La cuestión legal es si una huella, combinada con otros datos, puede vincularse a una persona natural, lo que la pondría bajo el ámbito del GDPR. El Grupo de Trabajo del Artículo 29 (ahora el European Data Protection Board) ha declarado que el fingerprinting probablemente constituye procesamiento de datos personales bajo el GDPR. Pero la aplicación ha sido limitada — los reguladores han estado preocupados con violaciones más obvias, y el fingerprinting es técnicamente complejo de auditar en los procedimientos de aplicación.
El riesgo legal emergente está bajo el Artículo 25 del GDPR (protección de datos desde el diseño) y bajo implementaciones nacionales que han comenzado a tratar el fingerprinting como algo que requiere consentimiento. La CNIL de Francia dictaminó explícitamente en 2020 que el fingerprinting requiere consentimiento. Las autoridades de protección de datos de Alemania han adoptado posiciones similares. Pero la implementación y la aplicación van por detrás de la tecnología.
Qué reduce realmente el fingerprinting
Aquí es donde la imagen es más matizada que "nada funciona". Varios enfoques tienen un efecto real:
Tor Browser normaliza la huella deliberadamente — hace que cada usuario de Tor informe los mismos atributos, eliminando la singularidad. El costo es significativo: el rendimiento de JavaScript se reduce, muchos sitios se rompen y la experiencia de navegación se degrada visiblemente. Pero es el único enfoque que aborda el fingerprinting de manera integral a nivel de protocolo.
Protección de fingerprinting de Firefox (habilitada en modo estricto a través de Enhanced Tracking Protection) aplica aleatorización de huellas — introduce ruido controlado en canvas, WebGL y otras API de alta entropía, haciendo que la huella sea inestable entre sesiones. Esto no te hace imposible de rastrear pero rompe la estabilidad que hace que las huellas sean útiles para el rastreo entre sesiones.
Brave Browser utiliza un enfoque de aleatorización similar, con el paso adicional de bloquear scripts de fingerprinting conocidos. Investigaciones independientes han encontrado que la protección de fingerprinting de Brave está entre las más efectivas en los navegadores principales.
Bloquear JavaScript elimina el canvas y WebGL fingerprinting pero rompe esencialmente todos los sitios web modernos.
La posición realista para la mayoría de los usuarios: un navegador principal con protección de fingerprinting habilitada (modo estricto de Firefox o Brave) reduce significativamente la efectividad del fingerprinting sin requerir la fricción a nivel de Tor. No te hará invisible para los rastreadores decididos, pero eleva el costo de la correlación entre sesiones lo suficiente como para importar para el rastreo de nivel publicitario.