En ocasiones, accedemos a páginas web que nos ofrecen un servicio gratuito (aunque nada es gratis en esta vida, como se acostumbra a decir).
Pongamos por caso que tenemos un documento en PDF y queremos convertirlo a WORD; pues bien, hay páginas web que nos facilitan esa labor, pero en algunas tendremos que facilitarle determinados datos de carácter personal como nuestro nombre y dirección de correo electrónico, a la que enviarán el documento convertido, además de instalar en nuestro equipo una serie de cookies.
No digo siempre, pero en muchas ocasiones, la información recabada de los usuarios en páginas con servicios «gratuitos» se monetiza o rentabiliza a través de servicios de marketing. ¿Es lícito?. Lo es, siempre que lo adviertan en su política de privacidad y el usuario de su consentimiento (aunque la política de privacidad no es negociable y marcamos la casilla correspondiente a su aprobación sin pensarlo, porque pretendemos acceder al servicio «gratuito» que nos ofrecen).
Para identificar a los usuarios se utilizan diferentes técnicas de seguimiento. Las más conocidas son las denominadas cookies. Son pequeños fragmentos de texto que los sitios web envían al navegador del usuario para el almacenamiento y la recuperación de datos sobre sus preferencias de navegación e información estadística (ubicación, tiempo de conexión, páginas vistas, etc.). Por lo general, el ciclo de vida de las cookies es relativamente corto.
El uso de las cookies viene legitimado por el artículo 22 apartado 2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, el artículo 13 del Reglamento General de Protección de Datos y el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Luchar contra las cookies es relativamente fácil. Los distintos navegadores pueden ser configurados para no aceptar o limitar las cookies y muchos antivirus permiten la programación de un borrado periódico de cookies.
Limitando el uso de las cookies, o borrándolas directamente del dispositivo, pareciera que se puede proteger la intimidad del usuario, pero las cosas no son tan sencillas.
Huella digital de los dispositivos
Actualmente, hay nuevas técnicas de identificación y seguimiento de los usuarios cuya legalidad no está clara. Este conjunto de técnicas se conoce en la terminología anglosajona como fingerprinting o huella digital del dispositivo.
La huella digital del dispositivo es una recopilación sistemática de información sobre el dispositivo con el objetivo de identificarlo y singularizarlo para realizar un seguimiento de la actividad de su usuario. Dado que no solemos compartir nuestros dispositivos, individualizar el terminal supone individualizar a la persona que lo utiliza. Puede afectar a cualquier dispositivo, ya sea un ordenador, una tablet, un teléfono móvil, etc.
La información recabada puede afectar a direcciones IP, estado de puertos, versiones y estado de actualización de software y parches del sistema operativo, arquitectura del procesador, memoria, tipo de navegador, idioma, codecs de audio y vídeo disponibles, zona horaria, plugins instalados, etc.
Entre las diferentes técnicas que se pueden utilizar para obtener la huella digital de un dispositivo, existen algunas especialmente avanzadas, por ejemplo: canvas fingerprint, canvas font fingerprint, webRTC fingerprint, audio context, sniffing, wireshark, ettercap o nessus. Estas técnicas por separado no permiten la particularización de un dispositivo o de la persona que lo utiliza, pero combinadas ofrecen una alta probabilidad de singularización.
A diferencia de las cookies, que pueden ser eliminadas de un dispositivo, las técnicas de huella digital permiten volver a asignar al mismo usuario la información vinculada al identificador de la cookie eliminada, y así no se pierde la trazabilidad sobre los datos de navegación del usuario, o simplemente se realiza el seguimiento en base únicamente a la huella digital.
El borrado de las cookies no resulta eficaz, y lo más alarmante es que, en ocasiones, ni siquiera es necesario instalar una cookie para obtener la huella digital del dispositivo, es lo que la literatura especializada llama cookieless monsters.
Medidas mitigadoras
En contra de la creencia general, hay medidas que no son efectivas para mitigar el fingerprinting.
Muchos navegadores tienen la opción de navegación de incógnito, en la que el navegador no guarda el historial de navegación, información de formularios, contraseñas y cookies, entre otros datos. Puede dar la sensación de que la navegación de incógnito protege al usuario frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas empleadas en la confección de la huella digital les resulta indiferente la navegación privada, de forma que el equipo quedará individualizado.
La activación de las opciones de privacidad que incluyen los navegadores, tales como deshabilitar la tecnología Flash, enviar la petición de no seguimiento y bloquear las cookies de terceros no produce una reducción significativa del fingerprinting. Además, la deshabilitación de determinadas aplicaciones como Javascript impide la navegación efectiva en muchos sitios web.
Una red privada virtual o VPN tampoco es efectiva del todo. Aunque es cierto que evita la revelación de la dirección IP, no filtra la recogida de datos sobre las características del terminal.
Frente a estas medidas, se presentan otras más eficaces como la instalación de plugins en forma de bloqueadores de publicidad y herramientas de seguimiento de usuario. Entre las más conocidas están uBlock Origin, Ghostery, Disconnect, Adguard, Adsafe y Adblock.
Otra posibilidad es utilizar distintos navegadores en un mismo terminal. No elimina el uso de la huella digital, pero permitirá que no toda la información sobre la actividad del usuario se consolide asociada a un mismo identificador. Algunos navegadores, conscientes de la vulnerabilidad de los dispositivos, han implantado medidas de control contra el fingerprinting como Firefox.
La ejecución del acceso a Internet en máquinas virtuales es otra opción, si bien está solo alcance de usuarios avanzados. Consiste en la ejecución de aplicaciones que simulan dispositivos que utilizan distintos sistemas operativos y configuraciones de navegadores. De esta forma, se puede acceder a Internet en un entorno controlado sin que se proporcione acceso a todo el terminal, aunque no se puede evitar que se filtre cierta información como la dirección IP.
¿La creación de la huella digital es legal?
Las técnicas que permiten generar la huella digital de un dispositivo cualquiera, a priori, no son legales; por ello, las autoridades de control deberían actuar frente a quienes las emplean, aunque soy consciente de que no es una tarea sencilla.
Para que sean legales deberían cumplir los requisitos exigibles a las cookies en los términos previstos del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, esto es, los requisitos de información al usuario y obtención del consentimiento.
El impacto que tiene el uso de estas técnicas sobre los derechos y las libertades de los usuarios no es analizado por los responsables, ni se informa a los interesados acerca de las medidas adoptadas para minimizar el riesgo derivado del tratamiento de datos personales, así como para evitar los efectos potenciales de una brecha de seguridad.
Hasta tal punto es ilegal que el usuario no tiene forma de ejercer los derechos reconocidos en el RGPD cuando se recogen y asocian sus datos personales para crear la huella digital, tampoco se le informa sobre el plazo de conservación…
En definitiva, el fingerprinting es una técnica que se emplea en la industria publicitaria digital para generar perfiles de consumidores, rastrear las páginas que visitan e interacciones que realizan en Internet con el fin de enviarles publicidad online específicamente diseñada de acuerdo con su perfil.
El fingerprinting, combinado con técnicas de ingeniería social, es empleado por los cibercriminales, así que es aconsejable mitigar sus efectos y cuidar lo que se publica en las redes sociales.
Más información en los siguientes enlaces de la AEPD:
https://www.aepd.es/es/documento/guia-cookies.pdf
https://www.aepd.es/media/estudios/estudio-fingerprinting-huella-digital.pdf
