Nuestra huella digital en Internet

Pasamos casi todo el día en Internet. Sin darnos cuenta, nuestros navegadores van haciéndose únicos, capaces de ser individualizados entre millones de otros. Desde hace un tiempo la huella digital del navegador es usada por distintos sitios para identificarnos y de esa forma personalizar los anuncios que recibimos. De ser necesario, esa huella digital podría ser usada para comprobar que nuestro navegador fue usado para visitar un sitio determinado.

La huella digital de los navegadores consiste en recolectar datos acerca de la configuración del navegador y el sistema de un usuario cuando este visita un sitio web. Este proceso puede revelar una cantidad sorprendente de información acerca del software y hardware de un usuario, y en última instancia puede ser usado para crear un identificador único del mismo, llamado huella digital del navegador [browser fingerprint en inglés] (Pierre Laperdrix, Walter Rudametkin, Benoit Baudry)

Estos autores franceses realizaron un estudio a través del sitio web Am I unique? donde ofrecen un test para conocer la huella digital de nuestro navegador a partir de la información ofrecida por los encabezados HTTP, el plugin de Flash, código JavaScript y algunas de las últimas capacidades del lenguaje HTML5. Desde noviembre del 2014 hasta marzo del 2016 obtuvieron 118.934 huellas digitales de navegadores.

El riesgo de este poder de identificación es la pérdida de nuestra privacidad, ya que los sitios web que utilizan estas técnicas pueden conocer muchos datos sobre nuestros equipos lo que ayuda a crear un perfil nuestro para sus anuncios. En el caso de los teléfonos móviles se comparte hasta el modelo del dispositivo y la versión del sistema operativo. Además de la posibilidad de que esta información sea después vendida a otros sitios webs o, en el peor de los casos, que la información pueda ser usada en nuestra contra por gobiernos.

¿Y por qué los navegadores brindan esta información? Principalmente porque esa información bien usada puede ser útil para brindarnos una mejor experiencia. Claro que la definición de buen uso es demasiado relativa. Por ejemplo, la comunicación entre el navegador y el servidor siempre lleva incluida una identificación de cuál es el navegador que está requiriendo la página (llamada user-agent en inglés). Por ejemplo, en mi caso el user agent de mi navegador es: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:52.0) Gecko/20100101 Firefox/52.0.

El servidor utiliza este dato para enviarme la información en un formato que mi navegador pueda entender.

Diferentes técnicas, los mismos resultados

“Am I unique?” no es el único sitio para verificar nuestra huella digital. Panopticlick de la Electronic Frontier Foundation es otro buen sitio para poder ver la información que brindamos a los sitios web que quieran utilizarla. También está Browserprint.info, un proyecto educativo alojado en la Universidad de Adelaida, Australia.

Todos estos sitios nos ayudan a ver qué tan único es nuestro navegador, sabiendo que en este caso estar fuera de la masa es lo menos conveniente.

Limando las “yemas de los dedos” de nuestro navegador

Algunas de las informaciones que nuestro navegador envía pueden ser cambiadas para alterar los resultados. La mayoría de ellas se basan en complementos que instalamos en el navegador.

Por ejemplo, el user agent que mostré anteriormente no es el real de mi máquina, pero si es el que detectan tanto Am I unique? como Panopticlick. Yo utilizo GNU/Linux y no Windows. En el caso de Browserprint.info utilizan tècnicas de machine learning para ir educando el sistema para detectar los engaños. En mi caso, si bien muestra el mismo user agent después dice que el sistema operativo desde el que estoy accediendo es un GNU/Linux y no un windows.

El navegador TOR incluye algunas reglas predeterminadas para crear una huella digital falsa. Como está basado en Firefox y ambas organizaciones están trabajando cada vez más en conjunto, se agregaron algunas configuraciones para adoptar algunas de estas medidas de forma más fácil. En Firefox hay que ingresar a about:config para cambiarla, siguiendo estos pasos:

  1. En la barra de navegación, hay que borrar la url y escribir about:config
  2. Hay que aceptar que uno se hace responsable de lo que está por hacer
  3. En la caja de búsqueda escribir: privacy.resistFingerprinting
  4. Aparecerá una línea que en la parte final dice: false
  5. Hacemos doble clic sobre la palabra false y se convertirá en true

Una vez que hayamos seguido estos pasos, Firefox realizará cambios en la configuración interna que mentirán sobre algunas de las características de Firefox y de nuestro sistema operativo. Como ya dije, esto no quiere decir que engañe a todos los sitios webs, pero al menos para algunos casos resultará suficiente.

A simple vista no vamos a notar muchos cambios, salvo que visitemos alguno de los sitios mencionados para ver nuestra nueva huella digital. Pero hay uno que se hace evidente. Parte de la huella digital es la resolución de nuestra pantalla. La veremos aparecer en cada uno de los resúmenes. Al adoptar esta opción las ventanas de nuestro navegador tendrán un tamaño estándar, no el tamaño total de nuestra pantalla (podemos ampliarla a mano posteriormente).

Y si queremos ir más lejos

Para pasar desapercibido, lo mejor es estar en medio de la masa, así que lo más recomendable es navegar en una máquina virtual con algún sistema operativo pelado, con la menor cantidad de modificaciones que puedan individualizarnos. Muchos recomiendan tener preparado para esto una máquina virtual en la que podamos volver a la situación inicial, y un navegador con la cantidad mínima de complementos instalados.

Otra buena opción es usar Tails para hacer navegar privadamente. Tails es una distribución de GNU/Linux que funciona desde un dispositivo USB y que arranca como nueva cada vez que la encendemos. Además utiliza la red TOR para anonimizar nuestra navegación. Escribí sobre Tails en Tuxinfo.

Eso si, como puede verse en la captura de pantalla que tomé en Tails, browserprint.info detecta que estamos accediendo con un GNU/Linux. Extrañamente no detecta que es un navegador TOR, pero si que estamos navegando por la red de TOR, lo que nos aleja un poco del promedio.

La información que detecta Browserprint.info en Tails
La información que detecta Browserprint.info en Tails

Para seguir leyendo

Si querés saber más sobre estos temas, dejo el enlace al artículo de investigación de los autores de Am I Unique? que cuenta sus resultados y la forma en que desarrollaron la prueba. En este otro enlace se puede leer el bug en el que se agregó esta opción a about:config en Firefox. Contiene mucha información por parte de los desarrolladores de Tor sobre la decisiones tomadas. Además el autor del sitio browserprint.info publica mucha información sobre los distintos sistemas de browser fingerprint y las medidas que pueden tomarse.