Canvas fi­n­ge­r­pri­n­ti­ng: te pre­se­n­ta­mos al sucesor de las cookies

La primera alusión a esta técnica de rastreo fue hecha por Keaton Mowery y Hovav Shacham, de la Uni­ve­r­si­dad de Ca­li­fo­r­nia, en 2012, al publicar el estudio “Pixel Perfect: Fi­n­ge­r­pri­n­ti­ng Canvas in HTML5”. En su pu­bli­ca­ción, los in­fo­r­má­ti­cos pre­se­n­ta­ban sus co­n­si­de­ra­cio­nes sobre el hecho de que, con ayuda de los elementos canvas de HTML5, era posible generar una huella digital in­di­vi­dual basándose en la co­n­fi­gu­ra­ción del sistema del usuario. Un año después, el pro­gra­ma­dor ruso Valentin Vasliev, inspirado por el trabajo de ambos in­ve­s­ti­ga­do­res, publicó el primer ejemplo de código de canvas fi­n­ge­r­pri­n­ti­ng bajo una licencia de código abierto en GitHub. Así, empresas como AddThis o Ligatus uti­li­za­rían este código como base para sus es­tra­te­gias de mo­ni­to­ri­za­ción web.

En realidad, estos elementos de canvas an­te­rio­r­me­n­te me­n­cio­na­dos co­n­s­ti­tu­yen áreas de­fi­ni­bles (altura y anchura) uti­li­za­das para la creación de elementos gráficos, logos y botones con texto en Ja­va­S­cri­pt. Así, de­pe­n­die­n­do de:

• el sistema operativo,
• el navegador web,
• la tarjeta gráfica,
• los co­n­tro­la­do­res de la tarjeta gráfica
• y las fuentes prei­n­s­ta­la­das del cliente,

el texto se visualiza de manera diferente, lo que genera dichas huellas digitales. Para este propósito, el ad­mi­ni­s­tra­dor web solo necesita el código del canvas fi­n­ge­r­pri­n­ti­ng, que ordena al navegador que muestre un texto oculto por medio de Ja­va­S­cri­pt cada vez que se visita la página web y con el que es posible tra­n­s­mi­tir la in­fo­r­ma­ción obtenida al servidor web. Debido a la gran cantidad de ca­ra­c­te­rí­s­ti­cas que reúne, toda huella digital creada de esta manera es, en más del 80 por ciento de los casos, única, lo que hace que pueda ser re­co­no­ci­da en cualquier momento, a menos que el usuario realice cambios en la co­n­fi­gu­ra­ción del sistema.  

Bá­si­ca­me­n­te, este tipo de huellas digitales solo contiene la in­fo­r­ma­ción an­te­rio­r­me­n­te me­n­cio­na­da sobre el sistema y el navegador, pero esta in­fo­r­ma­ción ya es su­fi­cie­n­te para ide­n­ti­fi­car a los vi­si­ta­n­tes como in­di­vi­duos concretos para realizar un se­gui­mie­n­to de sus ac­ti­vi­da­des y patrones de na­ve­ga­ción. Estas ac­ti­vi­da­des pueden ser ra­s­trea­das tanto en una como en varias webs, es decir, en todas aquellas que hayan im­ple­me­n­ta­do el script. Como co­n­se­cue­n­cia, este método resulta muy in­te­re­sa­n­te tanto en términos de op­ti­mi­za­ción web como de diseño de pu­bli­ci­dad dirigida a un fin de­te­r­mi­na­do. Una de las mayores ventajas de esta técnica de web tracking es que no recolecta los datos pe­r­so­na­les de los usuarios. Es por esto que, en el campo del análisis web, el canvas fi­n­ge­r­pri­n­ti­ng se ha co­n­ve­r­ti­do en una al­te­r­na­ti­va muy válida a las cookies, cuya legalidad es cue­s­tio­na­ble y que, en la mayoría de casos, son blo­quea­das y eli­mi­na­das por muchos usuarios.

Debido a que, en co­m­pa­ra­ción con las huellas da­c­ti­la­res humanas, las huellas digitales no son únicas, los re­su­l­ta­dos obtenidos por el canvas fi­n­ge­r­pri­n­ti­ng no siempre son si­g­ni­fi­ca­ti­vos. Por ejemplo, dos vi­si­ta­n­tes con una misma co­n­fi­gu­ra­ción ob­te­n­drían siempre un mismo ID de usuario, lo que di­s­to­r­sio­na una re­co­pi­la­ción exacta de la in­fo­r­ma­ción. Como co­n­se­cue­n­cia de la alta pro­ba­bi­li­dad de una co­n­co­r­da­n­cia de este tipo, cuantos más usuarios se sigan y mayor tráfico tenga una web, mayor será la pro­ble­má­ti­ca. Otro de los problemas del se­gui­mie­n­to de huellas digitales es la ide­n­ti­fi­ca­ción de usuarios móviles: el hardware y el software utilizado por tablets y sma­r­t­pho­nes está es­ta­n­da­ri­za­do, por lo que se presentan muy pocos rasgos di­s­ti­n­ti­vos que generen huellas digitales únicas.

En co­m­pa­ra­ción con las cookies, el canvas fi­n­ge­r­pri­n­ti­ng no puede ser eliminado tan fá­ci­l­me­n­te, pues los datos se tra­n­s­mi­ten di­re­c­ta­me­n­te al servidor, en otras palabras, no hay un al­ma­ce­na­mie­n­to del lado del cliente. En co­n­se­cue­n­cia, activar el modo incógnito de un navegador no impide que el canvas fi­n­ge­r­pri­n­ti­ng espíe in­fo­r­ma­cio­nes de na­ve­ga­ción y del sistema. Sin embargo, los usuarios no están del todo in­de­fe­n­sos ante este método de web tracking. Es posible detener pre­via­me­n­te la ejecución de los scripts, por ejemplo, con las si­guie­n­tes medidas:

• Des­ac­ti­var Ja­va­S­cri­pt: sin Ja­va­S­cri­pt no se pueden cargar los elementos canvas y, por lo tanto, no hay in­fo­r­ma­ción del cliente para recuperar. Sin embargo, debido a que muchas páginas web están escritas en Ja­va­S­cri­pt, al des­ac­ti­var­lo, es posible que estas dejen de mostrarse co­rre­c­ta­me­n­te en los na­ve­ga­do­res.
  
  
• Adblock Plus: pri­n­ci­pa­l­me­n­te, Adblock Plus es conocido como una extensión del navegador para bloquear la pu­bli­ci­dad que, en co­m­bi­na­ción con la lista de filtros Fi­l­te­r­li­s­te Ea­s­y­Pri­va­cy, se ha propuesto combatir al invasivo método de mo­ni­to­ri­za­ción web. 
  
  
• Ca­n­va­s­Blo­c­ker: con Ca­n­va­s­Blo­c­ker los usuarios de Firefox tienen di­fe­re­n­tes opciones para bloquear el método de canvas fi­n­ge­r­pri­n­ti­ng. Este co­m­ple­me­n­to permite ignorar todas las pe­ti­cio­nes de canvas o editar los datos de tal forma que al recoger las huellas digitales la in­fo­r­ma­ción siempre sea diferente.

En 2014, cuando apareció la lista de páginas web que im­ple­me­n­ta­ban el canvas fi­n­ge­r­pri­n­ti­ng, muchos ope­ra­do­res web se so­r­pre­n­die­ron de ver sus páginas entre los más de 5.000 casos pre­se­n­ta­dos, pri­n­ci­pa­l­me­n­te debido a que ellos mismos no habían im­ple­me­n­ta­do este método de se­gui­mie­n­to. Además, sin saberlo, la mayoría de webs en la lista uti­li­za­ban el código de se­gui­mie­n­to de la empresa es­ta­dou­ni­de­n­se AddThis, que es conocida pri­n­ci­pa­l­me­n­te por sus botones de redes sociales. Algo más preo­cu­pa­n­te que el de­s­co­no­ci­mie­n­to por parte de los ope­ra­do­res y ad­mi­ni­s­tra­do­res web, al menos en España y en otros países de habla hispana, es la des­in­fo­r­ma­ción de los usuarios y vi­si­ta­n­tes de páginas web. Aunque hoy en día la le­gi­s­la­ción europea, más es­pe­cí­fi­ca­me­n­te la Ley de cookies, no menciona al canvas fi­n­ge­r­pri­n­ti­ng, este tipo de mo­ni­to­ri­za­ción web solo debería estar permitida con el co­n­se­n­ti­mie­n­to explícito de los usuarios.