Cookies estão morrendo. A impressão digital do navegador está tomando seu lugar — e é mais difícil de bloquear.
O cookie de terceiros finalmente está sendo descontinuado. Após anos de atrasos, o Google começou a desativar cookies de terceiros para usuários do Chrome em 2024, como parte da iniciativa Privacy Sandbox. Safari e Firefox já os bloqueavam por padrão. A indústria publicitária, sabendo disso há anos, vem construindo seu substituto. O candidato principal não é uma alternativa que preserva a privacidade. É a impressão digital (fingerprinting) — e está gerando sérias preocupações entre pesquisadores de privacidade e reguladores.
O que é a impressão digital do navegador
Uma impressão digital do navegador é um identificador probabilístico montado a partir de dezenas de atributos visíveis a qualquer site que você visita, sem seu consentimento e sem definir nenhum cookie. Os atributos incluem:
- String do user agent: nome do navegador, versão, sistema operacional
- Resolução da tela e profundidade de cor
- Configurações de fuso horário e idioma
- Fontes instaladas: consultadas via renderização de texto da Canvas API
- Renderer e fornecedor WebGL: o modelo da GPU e a versão do driver
- Impressão digital do AudioContext: o processamento de áudio imperceptível produz saída de ponto flutuante específica do dispositivo devido a diferenças de hardware e driver
- Impressão digital do Canvas: um elemento canvas renderizado, invisível para o usuário, produz saída em nível de pixel que varia conforme a GPU, o mecanismo de renderização do SO e a versão do driver
- Comportamento da pilha TCP/IP: impressão digital da rede baseada em como o sistema operacional lida com temporização e ordenação de pacotes
A combinação desses atributos — mesmo que nenhum deles seja único — cria uma impressão digital que é única para a grande maioria dos usuários. O projeto Cover Your Tracks da EFF (antigo Panopticlick) constatou consistentemente que mais de 99% dos navegadores têm impressões digitais únicas quando atributos suficientes são combinados. Esse número diminui à medida que mais usuários adotam navegadores resistentes à impressão digital, mas a técnica subjacente permanece eficaz contra a população em geral.
A combinação de Canvas e AudioContext
Os dois vetores de impressão digital mais confiáveis exploram o fato de que as mesmas operações matemáticas produzem saídas de ponto flutuante ligeiramente diferentes em diferentes combinações de hardware. Modelo de GPU, versão do driver e mecanismo de renderização do SO introduzem microvariações na forma como gráficos e áudio são computados.
Um script de impressão digital de canvas desenha texto e formas em um elemento de canvas invisível e, em seguida, lê os valores dos pixels via toDataURL(). Os valores dos pixels são determinísticos para uma determinada configuração de dispositivo, mas diferem entre dispositivos — às vezes no nível de subpixel, devido a diferenças na forma como os drivers de GPU implementam anti-aliasing e renderização de subpixel.
Uma impressão digital do AudioContext executa um oscilador através de um compressor e lê os valores do buffer de saída processados. O comportamento de arredondamento de ponto flutuante varia com a implementação de hardware da aritmética IEEE 754. Ambos são efeitos colaterais de APIs normais do navegador que existem para fins legítimos — canvas para renderização gráfica, AudioContext para processamento de áudio. Não há nenhuma solicitação de permissão. Nada é armazenado. A extração ocorre de forma invisível durante um carregamento normal de página.
Por que a impressão digital é mais difícil de bloquear que os cookies
O bloqueio de cookies é arquiteturalmente simples: o navegador pode se recusar a armazenar ou enviar cookies de terceiros completamente sem quebrar nenhum padrão web. A impressão digital é diferente porque explora os efeitos colaterais observáveis de APIs que têm propósitos legítimos.
Se você bloquear totalmente a leitura do canvas (toDataURL() retorna uma string vazia), você quebra aplicações legítimas de canvas — editores de imagem, ferramentas de design, aplicativos web com muitos gráficos. Se você bloquear o WebGL, quebra aplicações 3D, jogos no navegador e mapas. Se você silenciar o AudioContext, quebra a produção de áudio baseada na web. A superfície de impressão digital está embutida nas APIs que tornam a web funcional.
A defesa alternativa — a randomização — adiciona ruído aos valores retornados por essas APIs, de modo que o mesmo dispositivo retorna valores de impressão digital diferentes em diferentes sites ou sessões. Mas isso cria seu próprio problema: um canvas que renderiza de forma diferente a cada vez é, por si só, um sinal. Sistemas de impressão digital baseados em Machine Learning podem detectar a randomização e ajustar seus modelos.
O que os navegadores estão fazendo
Firefox: O modo de proteção contra impressão digital (disponível no modo Estrito de Proteção contra Rastreamento) randomiza as saídas de canvas, WebGL e AudioContext por site e por sessão. Também limita a enumeração de fontes e reduz a precisão de certas APIs de temporização que podem ser usadas para ataques de temporização.
Brave: A proteção contra impressão digital mais agressiva de qualquer navegador importante. O Brave randomiza canvas, WebGL, AudioContext, lista de fontes, resolução da tela, concorrência de hardware e memória do dispositivo por site e por sessão. Também bloqueia completamente a Battery API e limita a precisão do timer JavaScript para evitar impressão digital baseada em temporização. A abordagem do Brave é fazer com que cada instância do navegador pareça estatisticamente semelhante, em vez de única.
Safari: O Intelligent Tracking Prevention foca principalmente no rastreamento baseado em cookies e URLs, mas também restringe algumas superfícies de impressão digital. O Safari limita a enumeração de fontes a um conjunto padrão do sistema, restringe a leitura de canvas em contextos de terceiros e limita certas APIs de identificação de hardware.
Chrome: O Privacy Sandbox inclui uma redução do User-Agent que envia a mesma string de user agent truncada para todos os usuários do Chrome, removendo versão do SO, versão secundária do Chrome e detalhes de identificação de hardware. As APIs Protected Audience e Attribution Reporting do Privacy Sandbox são projetadas para substituir algumas funcionalidades de cookies sem rastreamento entre sites — mas críticos documentaram que as próprias APIs do Privacy Sandbox podem ser objetos de impressão digital através de seus padrões de temporização e resposta.
O cenário legal
O GDPR trata a impressão digital como processamento de dados pessoais sempre que a impressão é usada para identificar ou rastrear um indivíduo — que é seu único propósito prático em contextos publicitários. A orientação do Comitê Europeu de Proteção de Dados é clara: a impressão digital usada para publicidade requer consentimento explícito, da mesma forma que os cookies. A diferença está na aplicação da lei.
As plataformas padrão de gerenciamento de consentimento — os diálogos de consentimento de cookies que você vê em todos os sites europeus — normalmente não cobrem a impressão digital. A maioria das empresas de ad tech implantou a impressão digital sem o consentimento explícito exigido por lei, partindo do pressuposto implícito de que os reguladores não podem detectá-la. Ao contrário dos cookies, que deixam artefatos rastreáveis no armazenamento do navegador e nas solicitações de rede, a impressão digital não deixa nenhum identificador armazenado para auditoria.
A autoridade francesa de proteção de dados, CNIL, multou o Google em €150 milhões e o Facebook em €60 milhões em 2022 por violações de consentimento de cookies. A aplicação da lei contra a impressão digital em grande escala ainda não ocorreu, em grande parte porque a detecção é tecnicamente difícil e exige monitoramento ativo do comportamento JavaScript da ad tech. O ICO do Reino Unido e o DSK da Alemanha publicaram orientações afirmando que a impressão digital está coberta pelos requisitos da lei de cookies, mas os recursos de aplicação são limitados.
A CPRA da Califórnia define o direito de optar por não participar do uso de informações pessoais para publicidade. Os dados de impressão digital se enquadram na definição de informações pessoais da CPRA. A California Privacy Protection Agency está construindo infraestrutura de aplicação, mas a complexidade técnica de detectar implantações de impressão digital em milhares de fornecedores de ad tech é significativa.
A dinâmica da corrida armamentista
Um artigo de 2024 de Laperdrix et al., 'Browser Fingerprinting: A Modern Survey', documentou que sistemas de impressão digital baseados em Machine Learning alcançam mais de 95% de precisão na reidentificação de usuários entre sessões, mesmo contra navegadores com randomização ativa, correlacionando múltiplos atributos cujos padrões de ruído são correlacionados — por exemplo, o ruído do canvas adicionado ao canal vermelho se correlaciona com o ruído adicionado ao canal verde de maneiras previsíveis.
A assimetria fundamental: os defensores da impressão digital precisam tornar todos os atributos imprevisíveis de forma independente e não correlacionados entre si, o que é computacionalmente caro e muitas vezes quebra funcionalidades legítimas. Os atacantes da impressão digital precisam apenas encontrar um atributo estável ou padrão de correlação. A posição do defensor é estruturalmente mais fraca.
O que os usuários podem fazer
Na prática: o Brave oferece a proteção mais forte contra impressão digital entre os navegadores populares. O Firefox no modo Estrito é um passo significativo acima do Chrome. Usar uma VPN mascara o componente de impressão digital da rede (endereço IP, comportamento da pilha TCP/IP). Desabilitar o JavaScript completamente bloqueia a impressão digital de canvas e AudioContext, mas também quebra a maior parte da web moderna.
O ponto mais importante é que as contramedidas técnicas individuais são inerentemente reativas. A solução fundamental é a aplicação regulatória da lei existente — o GDPR já proíbe a impressão digital não consentida para publicidade; o texto da CPRA apoia a mesma interpretação. A lacuna não é ambiguidade legal; é capacidade de detecção e recursos de aplicação. Autoridades de proteção de dados que investirem em infraestrutura de auditoria de ad tech — rastreando sites, monitorando comportamento JavaScript, documentando implantações de impressão digital — poderiam aplicar a lei em escala. A questão é se esse investimento se materializará antes que a impressão digital se torne tão profundamente enraizada na pilha de ad tech que a correção seja politicamente inviável.