28 jul. 2014

Canvas Fingerprinting: la tecnología que te sigue en Internet

¿Qué tienen en común la página web de La Casa Blanca y YouPorn? Hasta ayer mismo, ambos sitios web utilizaban un método avanzado de seguimiento, conocido como "Canvas Fingerprinting" [PDF] o "identificación por canvas". No son los únicos: el 5% del top 100.000 de las páginas más populares según Alexa también usa la misma técnica (lista completa). Su objetivo es el mismo que el de las tradicionales cookies de terceros: conocer al usuario y sus hábitos de navegación para poder, por ejemplo, mostrarle publicidad personalizada.

A diferencia de las cookies, la identificación por canvas es más difícil de bloquear debido a su funcionamiento, como explica un grupo de investigadores de la Universidad de Princeton y de la Universidad de KU Leuven en una reciente investigación. No se trata de un método que haya aparecido ahora (existen menciones a él desde 2012), pero sí que se ha visto que un gran número de sitios web lo han implementado recientemente. ¿Cómo funciona este "canvas fingerprinting"?
La idea es sencilla y la explican así: "el mismo texto puede ser renderizado de distintas formas en diferentes ordenadores dependiendo de su sistema operativo, las fuentes, la tarjeta gráfica y el propio explorador". Entre los parámetros que se consideran, están también las diferencias en el anti-aliasing, en el suavizado de la fuente, en las distintas fuentes del sistema instaladas, los plugins del navegador e incluso la pantalla que utiliza cada ordenador. Todo se junta y se utiliza para crear un identificador de cada usuario lo más único y diferenciable posible.

Es decir, las páginas que utilizan este sistema solicitan el renderizado de un texto concreto y a partir de este proceso obtienen la información. Es recomendable que el texto a renderizar sea lo más largo y variado posible, para así poder almacenar más detalles sobre él. En el estudio de 2012 al que hacen referencia, por ejemplo, utilizaban la frase "How quickly daft jumping zebras". En el paper de la investigación actual, detectaron varias frases.

¿Cómo evitar entonces que tu navegador revele estos datos sobre ti? Curiosamente, en cuanto a nevagedores sólo Tor Browser detecta el proceso y te pide permiso con una ventana antes de que el sistema comience el renderizado. Otra opción podría ser, como explican en ProPublica, desactivar el javascript en tu navegador, aunque esto hará que algunos sitios web dejen de funcionar correctamente.

Buscando alternativas a las cookies

Durante los últimos tiempos, el hecho de que ciertas extensiones pro-privacidad se hayan puesto de moda le está haciendo la vida más difícil a aquellos que dependen de cookies para acceder a esta información, de ahí a que se estén buscando alternativas. Las cookies son relativamente sencillas de bloquear: al ser fragmentos de información que se instalan en el ordenador del usuario, se pueden borrar o se puede impedir su instalación. El "canvas fingerprinting" es evitable, sí, pero cuesta más conseguirlo.

AddThis, un servicio que ofrece contadores y herramientas para compartir en redes sociales, es en la actualidad el que ha hecho un mayor despliegue de "canvas fingerprinting". La gran mayoría del 5% de 100.000 páginas de las que hablábamos antes utilizan sus servicios. En una entrevista concedida a ProPublica, el responsable de AddThis reconocía que estaban probando este método desde hace algunos meses con la intención de sustituir a las cookies pero que los resultados no conseguían producir identificaciones únicas al 100%, por lo que probablemente prescindan de este sistema pronto.

Pero el "canvas fingerprinting" no es la única solución propuesta como alternativa a las cookies. En el mismo informe que publican los investigadores se hacen eco de otros métodos como las cookies en flash combinadas con cookies HTTP. De momento, la polémica está servida: al poco de que se publicara esta investigación, YouPorn ha anunciado la eliminación de la tecnología AddThis de sus servidores al considerar que podría "perjudicar la privacidad" de sus usuarios.

¿Cómo evitar ser rastreado?

En Genbeta han querido explorar las opciones que tenemos para impedir que nos sigan con esta técnica, aunque por desgracia no han encontrado la solución definitiva. La razón es que hay tantos parámetros distintos de un navegador a otro que resulta muy difícil encontrar a otro usuario que tenga exactamente los mismos que tú. Para que os hagáis una idea, una estimación con Panopticlick me dice que sólo la versión de mi navegador (la cabecera User Agent) y el tamaño de mi pantalla son una huella única por cada 400.000 navegadores.

Podéis imaginar ya que la tarea de evitar el seguimiento por huella de navegador es complicada. Aun así, vamos a intentarlo.

Fuente: Xataka

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!