En ocasiones, accedemos a páginas web que nos ofrecen servicios aparentemente gratuitos (aunque, como se suele decir, nada es gratis en esta vida).
No siempre, pero en muchas ocasiones, la información recopilada de los usuarios en páginas con servicios «gratuitos» se monetiza a través de estrategias de marketing. ¿Es lícito?. Lo es, siempre que lo adviertan en su política de privacidad y el usuario dé su consentimiento (aunque las políticas de privacidad no son negociables y marcamos la casilla correspondiente a su aprobación sin pensarlo, porque pretendemos acceder al servicio «gratuito» que nos ofrecen).
Para identificar a los usuarios, se emplean diversas técnicas de seguimiento. Las más conocidas son las denominadas «cookies», que son pequeños fragmentos de texto que los sitios web envían al navegador del usuario para el almacenamiento y la recuperación de datos sobre sus preferencias de navegación e información estadística (ubicación, tiempo de conexión, páginas vistas, etc.) El ciclo de vida de las cookies varía: algunas son de sesión (temporales) y otras persistentes (de mayor duración).
El uso de las cookies está legitimado por el artículo 22, apartado 2, de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, el artículo 13 del Reglamento General de Protección de Datos y el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Combatir las cookies es relativamente sencillo. Los navegadores permiten configuraciones para rechazar o limitar su uso, y muchos antivirus incluyen opciones para borrarlas periódicamente.
Aunque limitar o eliminar las cookies del dispositivo puede parecer una forma efectiva de proteger la privacidad del usuario, la realidad es más compleja, ya que existen técnicas alternativas de seguimiento.
Huella digital de los dispositivos
Actualmente, emergen técnicas de identificación y seguimiento de los usuarios cuya legalidad genera debate. En terminología anglosajona, se conocen como «fingerprinting» o huella digital del dispositivo.
La huella digital del dispositivo implica la recopilación sistemática de información sobre el hardware y software de un equipo para identificarlo de manera única y rastrear la actividad de su usuario. Dado que no solemos compartir nuestros equipos o dispositivos, individualizar el terminal supone individualizar a la persona que lo utiliza. Esto puede afectar a cualquier dispositivo, como ordenadores, tabletas o teléfonos móviles.
La información recopilada puede incluir direcciones IP, versiones de software y sistema operativo, arquitectura del procesador, memoria disponible, tipo de navegador, idioma configurado, zona horaria, plugins instalados, resolución de pantalla, entre otros.
Entre las diferentes técnicas que se pueden utilizar para obtener la huella digital de un dispositivo destacan: canvas fingerprinting (basado en el renderizado gráfico), font fingerprinting (detección de fuentes instaladas), WebRTC fingerprinting (revelación de IPs locales), audio context fingerprinting (análisis de procesamiento de audio), WebGL fingerprinting (renderizado 3D) y hardware concurrency (número de núcleos de CPU). Estas técnicas por separado no permiten una identificacion precisa, pero combinadas ofrecen una alta probabilidad de singularización.
A diferencia de las cookies, que pueden ser eliminadas de un dispositivo, las técnicas de huella digital permiten volver a asignar al mismo usuario la información vinculada al identificador de la cookie eliminada, y así no se pierde la trazabilidad sobre los datos de navegación del usuario, o simplemente se realiza el seguimiento en base únicamente a la huella digital.
A diferencia de las cookies, que pueden eliminarse fácilmente, las técnicas de fingerprinting permiten reasignar información al mismo usuario incluso tras borrar cookies, manteniendo la trazabilidad de los datos de navegación. En algunos casos, ni siquiera se necesita instalar una cookie para obtener la huella, lo que se denomina «cookieless monsters» en la literatura especializada.
Medidas mitigadoras
Contrario a la creencia popular, algunas medidas no son efectivas contra el fingerprinting.
La navegación en modo incógnito evita guardar historial, formularios, contraseñas y cookies localmente, pero ofrece una falsa sensación de seguridad, ya que las técnicas de fingerprinting operan independientemente de este modo y siguen identificando el dispositivo.
La activación de las opciones de privacidad que incluyen los navegadores, como deshabilitar la tecnología Flash, enviar la petición de no seguimiento y bloquear las cookies de terceros no produce una reducción significativa del fingerprinting. Además, la deshabilitación de determinadas aplicaciones como Javascript impide la navegación efectiva en muchos sitios web.
Una red privada virtual (VPN) tampoco es efectiva del todo. Aunque es cierto que evita la revelación de la dirección IP, no filtra la recogida de datos sobre las características del terminal.
Frente a estas medidas, se presentan otras más eficaces como la instalación de plugins en forma de bloqueadores de publicidad y herramientas de seguimiento de usuario. Entre las más conocidas están uBlock Origin, Ghostery, Disconnect, Adguard, Adsafe y Adblock.
Otra estrategia es usar distintos navegadores en un mismo terminal. No elimina el uso de la huella digital, pero permitirá que no toda la información sobre la actividad del usuario se consolide asociada a un mismo identificador. Algunos navegadores, como Firefox o Tor Browser, conscientes de la vulnerabilidad de los dispositivos, han incorporado protecciones integradas contra el fingerprinting.
Para usuarios avanzados, el uso de máquinas virtuales permite simular entornos con diferentes sistemas operativos y configuraciones, accediendo a internet de forma aislada sin exponer todo el dispositivo, aunque puede filtrarse información como la IP host.
¿La creación de la huella digital es legal?
Las técnicas de fingerprinting no son necesariamente ilegales; sin embargo, para considerarse lícitas deben cumplir requisitos análogos a los aplicables a las cookies conforme al artículo 22.2 de la LSSI. Esto incluye ofrecer al usuario información clara y obtener su consentimiento explícito.
A menudo, los responsables no evalúan el impacto en derechos y libertades, ni informan sobre medidas de minimización de riesgos o posibles brechas de seguridad. Esto impide que los usuarios ejerzan derechos del RGPD, como acceso, rectificación o supresión, y no se detalla el plazo de conservación de datos.
Conclusión
El fingerprinting es una técnica que se emplea en la industria publicitaria digital para generar perfiles de consumidores, rastrear las páginas que visitan e interacciones que realizan en Internet con el fin de enviarles publicidad en línea específicamente diseñada de acuerdo con su perfil.
El fingerprinting, combinado con técnicas de ingeniería social, es empleado por los cibercriminales, por lo que es recomendable mitigar sus efectos y ser cauteloso con lo publicado en redes sociales.
Más información en los siguientes enlaces de la AEPD:
https://www.aepd.es/es/documento/guia-cookies.pdf
https://www.aepd.es/media/estudios/estudio-fingerprinting-huella-digital.pdf
No se pierda nuestro podcast sobre el artículo
