¿Qué tienen en común la página web de La Casa Blanca y YouPorn? Hasta ayer mismo, ambos sitios web utilizaban un método avanzado de seguimiento, conocido como "canvas fingerprinting" o "identificación por canvas". No son los únicos: el 5% del top 100.000 de las páginas más populares según Alexa también usa la misma técnica (lista completa). Su objetivo es el mismo que el de las tradicionales cookies de terceros: conocer al usuario y sus hábitos de navegación para poder, por ejemplo, mostrarle publicidad personalizada.
A diferencia de las cookies, la identificación por canvas es más difícil de bloquear debido a su funcionamiento, como explica un grupo de investigadores de la Universidad de Princeton y de la Universidad de KU Leuven en una reciente investigación. No se trata de un método que haya aparecido ahora (existen menciones a él desde 2012), pero sí que se ha visto que un gran número de sitios web lo han implementado recientemente. ¿Cómo funciona este "canvas fingerprinting"?
La idea es sencilla y la explican así: "el mismo texto puede ser renderizado de distintas formas en diferentes ordenadores dependiendo de su sistema operativo, las fuentes, la tarjeta gráfica y el propio explorador". Entre los parámetros que se consideran, están también las diferencias en el anti-aliasing, en el suavizado de la fuente, en las distintas fuentes del sistema instaladas, los plugins del navegador e incluso la pantalla que utiliza cada ordenador. Todo se junta y se utiliza para crear un identificador de cada usuario lo más único y diferenciable posible.
Es decir, las páginas que utilizan este sistema solicitan el renderizado de un texto concreto y a partir de este proceso obtienen la información. Es recomendable que el texto a renderizar sea lo más largo y variado posible, para así poder almacenar más detalles sobre él. En el estudio de 2012 al que hacen referencia, por ejemplo, utilizaban la frase How quickly daft jumping zebras. En el paper de la investigación actual, detectaron las siguientes frases:
¿Cómo evitar entonces que tu navegador revele estos datos sobre ti? Curiosamente, en cuanto a nevagedores sólo Tor Browser detecta el proceso y te pide permiso con una ventana antes de que el sistema comience el renderizado. Otra opción podría ser, como explican en ProPublica, desactivar el javascript en tu navegador, aunque esto hará que algunos sitios web dejen de funcionar correctamente.
Buscando alternativas a las cookies
Durante los últimos tiempos, el hecho de que ciertas extensiones pro-privacidad se hayan puesto de moda le está haciendo la vida más difícil a aquellos que dependen de cookies para acceder a esta información, de ahí a que se estén buscando alternativas. Las cookies son relativamente sencillas de bloquear: al ser fragmentos de información que se instalan en el ordenador del usuario, se pueden borrar o se puede impedir su instalación. El "canvas fingerprinting" es evitable, sí, pero cuesta más conseguirlo.
AddThis, un servicio que ofrece contadores y herramientas para compartir en redes sociales, es en la actualidad el que ha hecho un mayor despliegue de "canvas fingerprinting". La gran mayoría del 5% de 100.000 páginas de las que hablábamos antes utilizan sus servicios. En una entrevista concedida a ProPublica, el responsable de AddThis reconocía que estaban probando este método desde hace algunos meses con la intención de sustituir a las cookies pero que los resultados no conseguían producir identificaciones únicas al 100%, por lo que probablemente prescindan de este sistema pronto.
Pero el "canvas fingerprinting" no es la única solución propuesta como alternativa a las cookies. En el mismo informe que publican los investigadores se hacen eco de otros métodos como las cookies en flash combinadas con cookies HTTP. De momento, la polémica está servida: al poco de que se publicara esta investigación, YouPorn ha anunciado la eliminación de la tecnología AddThis de sus servidores al considerar que podría "perjudicar la privacidad" de sus usuarios.
Más información | Informe completo (pdf)
Imagen | Ludovic Bertron
En Xataka | Paranoicos por la privacidad: que no te rastreen en Internet
Ver 16 comentarios