Canvas fingerprinting: cómo evitar ser rastreado y monitorizado por todo Internet

Canvas fingerprinting: cómo evitar ser rastreado y monitorizado por todo Internet
4 comentarios Facebook Twitter Flipboard E-mail

Ayer en Xataka, mi compañera María os hablaba del _canvas fingerprinting_, un método para seguir a los usuarios en Internet basado en registrar las pequeñas diferencias de cada navegador en mostrar una cierta imagen.

El _canvas fingerprinting_ es un método más para obtener una huella del navegador que sirva como identificador único, un sustituto para las cookies de seguimiento que son más fáciles de bloquear. En Genbeta hemos querido explorar las opciones que tenemos para impedir que nos sigan con esta técnica, aunque por desgracia no hemos encontrado la solución definitiva.

La razón es que hay tantos parámetros distintos de un navegador a otro que resulta muy difícil encontrar a otro usuario que tenga exactamente los mismos que tú. Para que os hagáis una idea, una estimación con Panopticlick me dice que sólo la versión de mi navegador (la cabecera User Agent) y el tamaño de mi pantalla son una huella única por cada 400.000 navegadores.

Podéis imaginar ya que la tarea de evitar el seguimiento por huella de navegador es complicada. Aun así, vamos a intentarlo.

Un vistazo a…
MEGA GUÍA MEJORA la SEGURIDAD y PRIVACIDAD de FACEBOOK

Reduciendo la información que comparte tu navegador

firefoxclicktoplay.png

Click-to-play en Firefox

Hay dos parámetros que tu navegador comparte y que prácticamente son únicos: las fuentes de tu sistema y los plugins. Por suerte, podemos ocultarlos sin perder demasiadas funcionalidades en las páginas que visitemos.

Para evitar que una página web pueda saber las fuentes que tienes, lo que haremos será desactivar Flash y Java. Si no queréis quitarlos de vuestro navegador también se pueden configurar para que sólo se ejecuten con vuestro permiso.

En Firefox deberemos ir a la ventana de "Complementos" y en la sección "Plugins" poner todos los que veamos (y queramos) en "Preguntar para activar". En Chrome tenemos que ir a "Configuración", hacer clic en "Mostrar opciones avanzadas", después en "Configuración de contenido" y ahí, en la sección "Complementos", escoger la opción "Hacer clic para ejecutar".

chromeclicktoplay.png

Click-to-play en Chrome.

De todas formas, hay que tener en cuenta que hay más formas para saber las fuentes que tienes instaladas en tu sistema. Desactivar Java y Flash elimina la más fácil y efectiva, pero no la única.

Por otra parte, hay extensiones para evitar que tu navegador publicite los plugins que tienes instalados, tanto para Chrome como para Firefox. Lo malo es que la extensión no tiene "listas blancas" y en algunos sitios dejan de poder reproducirse vídeos.

Chameleon y NoScript, más efectivos pero menos cómodos

650_1000_frases-fingerprinting.png

Estos son los sitios que alojan el código para seguir por canvas fingerprinting, según el estudio.

El siguiente paso para evitar que nos sigan es usar NoScript (o similares), con el que podemos bloquear los servidores que alojan el código de seguimiento. Eso sí, tendremos que invertir tiempo configurando la extensión para que sólo bloquee lo que queremos y no otros _scripts_ que son necesarios para que ciertas páginas funcionen.

Lo malo es que NoScript sólo protegería frente al seguimiento que se hace directamente en tu navegador, como el de _canvas fingerprinting_ que comentábamos al principio. No evita que el servidor que visitas guarde tu IP o las cabeceras que envía tu navegador.

Es posible que usar NoScript te haga destacar entre el resto de usuarios, y facilite tu seguimiento.

Además, con NoScript hay que tener en cuenta una cosa: puede que te haga más fácilmente identificable. Hay tan poca gente que lo use que probablemente sólo con eso y las cabeceras de tu navegador (versión, zona horaria, idioma, etc) te identifiquen sin siquiera usar JavaScript. Hay que tener cuidado porque puede ser contraproducente.

Otra posibilidad es usar Chameleon, una extensión para Chrome que trata de detectar y evitar el seguimiento por huellas. Lo logra modificando la información para parecerse al navegador de Tor: aunque suene contraproducente, es casi imposible distinguir a dos usuarios de Tor ya que todos usan el mismo navegador (Tor Browser Bundle habitualmente).

Por desgracia, Chameleon no es infalible contra todos los métodos de obtención de huellas, y en algunos casos sólo detecta el seguimiento, sin poder hacer nada por evitarlo. Además, está en un estado muy temprano de desarrollo y todavía rompe varias páginas web.

Lo más efectivo: Tor o AdBlock Plus

torlogo.png

Como viene siendo habitual en temas de privacidad, la gente de Tor es la que más avanzada está. Su navegador, una versión modificada de Firefox, evita por un lado el seguimiento activo (_canvas fingerprinting_, enumeración de fuentes o plugins) y por otro, como decía antes, hace muy difícil distinguirte a ti de cualquier otro usuario de Tor.

La principal desventaja es que Tor es lento, y en algún caso algunas páginas web no se ven bien. De todas formas, si os preocupa de verdad que os sigan, es la mejor alternativa.

Por otra parte, también podemos usar la extensión AdBlock Plus con el filtro EasyPrivacy, que en teoría bloqueará la mayoría de scripts que realizan seguimiento en Internet en base al servidor del que vienen o el nombre de archivo. Por así decirlo, es como usar NoScript con un filtro ya predeterminado, pero con menos flexibilidad. Además, parece muy difícil bloquear con filtros estáticos (aunque se actualicen periódicamente) una técnica que cualquiera puede usar cuando quiera: hay una librería de código abierto para ello.

En ese sentido es jugar al _pilla pilla_, y si los anunciantes quieren seguirte no tienen especialmente difícil saltarse ese filtro.

¿Y la solución definitiva?

No hay. No me atrevo siquiera a decir que usar Tor evita que te sigan: igual que pasaba con NoScript, no sería muy difícil detectar que vienes de la red Tor. Eso, unido a hábitos de navegación que tengas (por ejemplo, visitar Genbeta y Xataka todas las mañanas) podría identificarte de forma única.

Es prácticamente imposible navegar por Internet y evitar que te sigan de una u otra forma.

Es una paradoja: cuanto más te protejas frente al seguimiento, más destacarás entre la multitud. Camuflarte es difícil, hay muchos parámetros que varían de un usuario a otro, y en muchos casos andar toqueteando la información de tu navegador lleva a que las páginas no funcionen bien.

La solución a todo este embrollo es dejar de jugar al gato y ratón y que ciertas empresas (anunciantes, estadísticas) dejen de tratar de seguir a los usuarios. Y dado que no vamos a convencerles de cierren sus negocios, la esperanza está en propuestas como la de Mozilla o el AdID de Google: códigos de seguimiento que sustituyan a las cookies y a las huellas de navegador, igual de efectivos económicamente, pero bajo el control de los usuarios. Ceder un poco parece la única forma para evitar perder toda nuestra privacidad.

En Genbeta | Cómo configurar AdBlock Plus para evitar que Facebook te siga

Comentarios cerrados
Inicio