Canvas fingerprinting: te presentamos al sucesor de las cookies

En 2014, bajo el título “The web never forgets: Persistent tracking mechanisms in the wild”, investigadores de la Universidad de Princeton y de la Universidad de Lovaina publicaron un estudio sobre los métodos modernos de monitorización web y seguimiento de los usuarios. Además de las evercookies (cookies virtualmente imborrables) y de la cookie syncing (la sincronización de datos de cookies), también se ocupan del, hasta ahora no tan conocido, canvas fingerprinting. El estudio demuestra que más del 5,5 % de las páginas web analizadas (un total de casi 100.000 webs) utilizan esta compleja técnica de rastreo.

¿Qué es el canvas fingerprinting?

La primera alusión a esta técnica de rastreo fue hecha por Keaton Mowery y Hovav Shacham, de la Universidad de California, en 2012, al publicar el estudio “Pixel Perfect: Fingerprinting Canvas in HTML5”. En su publicación, los informáticos presentaban sus consideraciones sobre el hecho de que, con ayuda de los elementos canvas de HTML5, era posible generar una huella digital individual basándose en la configuración del sistema del usuario. Un año después, el programador ruso Valentin Vasliev, inspirado por el trabajo de ambos investigadores, publicó el primer ejemplo de código de canvas fingerprinting bajo una licencia de código abierto en GitHub. Así, empresas como AddThis o Ligatus utilizarían este código como base para sus estrategias de monitorización web.

En realidad, estos elementos de canvas anteriormente mencionados constituyen áreas definibles (altura y anchura) utilizadas para la creación de elementos gráficos, logos y botones con texto en JavaScript. Así, dependiendo de:

  • el sistema operativo,
  • el navegador web,
  • la tarjeta gráfica,
  • los controladores de la tarjeta gráfica
  • y las fuentes preinstaladas del cliente,

el texto se visualiza de manera diferente, lo que genera dichas huellas digitales. Para este propósito, el administrador web solo necesita el código del canvas fingerprinting, que ordena al navegador que muestre un texto oculto por medio de JavaScript cada vez que se visita la página web y con el que es posible transmitir la información obtenida al servidor web. Debido a la gran cantidad de características que reúne, toda huella digital creada de esta manera es, en más del 80 por ciento de los casos, única, lo que hace que pueda ser reconocida en cualquier momento, a menos que el usuario realice cambios en la configuración del sistema.  

La importancia del canvas fingerprinting para el análisis web

Básicamente, este tipo de huellas digitales solo contiene la información anteriormente mencionada sobre el sistema y el navegador, pero esta información ya es suficiente para identificar a los visitantes como individuos concretos para realizar un seguimiento de sus actividades y patrones de navegación. Estas actividades pueden ser rastreadas tanto en una como en varias webs, es decir, en todas aquellas que hayan implementado el script. Como consecuencia, este método resulta muy interesante tanto en términos de optimización web como de diseño de publicidad dirigida a un fin determinado. Una de las mayores ventajas de esta técnica de web tracking es que no recolecta los datos personales de los usuarios. Es por esto que, en el campo del análisis web, el canvas fingerprinting se ha convertido en una alternativa muy válida a las cookies, cuya legalidad es cuestionable y que, en la mayoría de casos, son bloqueadas y eliminadas por muchos usuarios.

Debido a que, en comparación con las huellas dactilares humanas, las huellas digitales no son únicas, los resultados obtenidos por el canvas fingerprinting no siempre son significativos. Por ejemplo, dos visitantes con una misma configuración obtendrían siempre un mismo ID de usuario, lo que distorsiona una recopilación exacta de la información. Como consecuencia de la alta probabilidad de una concordancia de este tipo, cuantos más usuarios se sigan y mayor tráfico tenga una web, mayor será la problemática. Otro de los problemas del seguimiento de huellas digitales es la identificación de usuarios móviles: el hardware y el software utilizado por tablets y smartphones está estandarizado, por lo que se presentan muy pocos rasgos distintivos que generen huellas digitales únicas.

¿Pueden los usuarios esquivar el canvas fingerprinting?

En comparación con las cookies, el canvas fingerprinting no puede ser eliminado tan fácilmente, pues los datos se transmiten directamente al servidor, en otras palabras, no hay un almacenamiento del lado del cliente. En consecuencia, activar el modo incógnito de un navegador no impide que el canvas fingerprinting espíe informaciones de navegación y del sistema. Sin embargo, los usuarios no están del todo indefensos ante este método de web tracking. Es posible detener previamente la ejecución de los scripts, por ejemplo, con las siguientes medidas:

  • Desactivar JavaScript: sin JavaScript no se pueden cargar los elementos canvas y, por lo tanto, no hay información del cliente para recuperar. Sin embargo, debido a que muchas páginas web están escritas en JavaScript, al desactivarlo, es posible que estas dejen de mostrarse correctamente en los navegadores.

  • Adblock Plus: principalmente, Adblock Plus es conocido como una extensión del navegador para bloquear la publicidad que, en combinación con la lista de filtros Filterliste EasyPrivacy, se ha propuesto combatir al invasivo método de monitorización web. 

  • CanvasBlocker: con CanvasBlocker los usuarios de Firefox tienen diferentes opciones para bloquear el método de canvas fingerprinting. Este complemento permite ignorar todas las peticiones de canvas o editar los datos de tal forma que al recoger las huellas digitales la información siempre sea diferente.

La transparencia como un requisito previo

En 2014, cuando apareció la lista de páginas web que implementaban el canvas fingerprinting, muchos operadores web se sorprendieron de ver sus páginas entre los más de 5.000 casos presentados, principalmente debido a que ellos mismos no habían implementado este método de seguimiento. Además, sin saberlo, la mayoría de webs en la lista utilizaban el código de seguimiento de la empresa estadounidense AddThis, que es conocida principalmente por sus botones de redes sociales. Algo más preocupante que el desconocimiento por parte de los operadores y administradores web, al menos en España y en otros países de habla hispana, es la desinformación de los usuarios y visitantes de páginas web. Aunque hoy en día la legislación europea, más específicamente la Ley de cookies, no menciona al canvas fingerprinting, este tipo de monitorización web solo debería estar permitida con el consentimiento explícito de los usuarios.