Todas las Noticias en Películas, Avances de Películas y Reseñas.
Blogs

cómo las huellas dactilares revolucionaron el seguimiento en línea

A nadie le gusta que lo sigan. Es seguro decir que estaría extremadamente preocupado si un grupo de extraños lo siguiera en la vida real. En el mundo en línea, no es muy diferente: los rastreadores acechan en las sombras de todos y cada uno de los sitios web y lo siguen por Internet.

Seguimiento: no solo cookies

Cuando hace clic en un sitio web que nunca ha visitado, su navegador descarga pequeños archivos de texto. Se guardan en su disco duro y contienen información sobre lo que ha hecho en el sitio web, su registro, su ubicación, su idioma preferido y los artículos que ha agregado a su carrito. El navegador enviará estos archivos al sitio la próxima vez que lo abra. “Oh, ese es mi amigo Jacque de Marcel”, pensará el sitio, abriéndose en francés para el usuario que regresa. Estos pequeños archivos se denominan cookies y pueden ser colocados por el sitio o por sus socios. Estos últimos son fáciles de detectar: por lo general son banners publicitarios o como botones. Los anunciantes pueden realizar un seguimiento de los usuarios en todas las páginas en las que han colocado sus anuncios. Lo hacen para recopilar información sobre los intereses de los usuarios para bombardearlos con anuncios muy específicos.

Por lo tanto, las cookies de terceros actúan como un grupo de paparazzi esperando saltar sobre usted tan pronto como sale de una limusina y abre un sitio web. Además, estos paparazzi se están invitando a su PC: es mucho más fácil hacer clic en “Aceptar todo” que en “Administrar cookies manualmente” y trabajar con la configuración. Podría molestarte, pero no podrías hacer mucho al respecto. Hasta hace poco.

A medida que los usuarios se volvieron más conscientes de los problemas de privacidad derivados del uso de cookies, los legisladores e incluso los beneficiarios de esta tecnología (gigantes tecnológicos como Google) han tomado medidas para controlarlos. Bajo el Reglamento General de Protección de Datos de la UE (GDPR) los usuarios deben dar su consentimiento explícito al uso de cookies, a menos que sean esenciales para la funcionalidad del sitio. El consentimiento se puede retirar en cualquier momento y, supuestamente, con facilidad. Google dio un paso más allá, proponiendo reemplazar las cookies de terceros con Temas, el nuevo intento de conciliar los intereses de los anunciantes y los de los usuarios conscientes de la privacidad. Spoiler: uno fallido. Los usuarios de Google en Europa ya están capaz de rechazar las cookies con un clic. Puedes borrar tus cookies, navegar en modo incógnito, usar un navegador que bloquee las cookies de terceros por defecto, ponerte a dieta y dejar de comer galletas de golpe. Uf, ¿eres anónimo? No tan pronto.

De hecho, el asunto es mucho más complicado que eso. Las cookies son solo la punta del iceberg, e incluso si se desechan en el basurero de la historia en un futuro cercano, será fácil identificarlo. Lo que pasa es que las cookies solo son parte de tu huella digital y hay técnicas de seguimiento mucho más intrigantes. Una de estas técnicas se conoce como “huellas dactilares”.

La huella dactilar rastrea al usuario a través de los parámetros de su navegador y sistema operativo. La precisión del método se deriva del hecho de que no somos propensos a cambiar los parámetros de nuestro sistema operativo con mucha frecuencia. Además, a diferencia de las cookies que se almacenan en el dispositivo, la huella digital de su navegador se almacena en el lado del servidor, lo que significa que no puede “borrarla”, sino solo modificarla.

Huella digital del navegador: ¿Qué es?

Como ya hemos mencionado, la huella digital es el proceso de identificación de un usuario a través de características secundarias relacionadas con su hardware, software y su configuración.

Quién y cuándo puede tomar sus huellas dactilares

Su navegador proporciona cierta información al servidor web cuando solicita la dirección de un sitio web. El sitio necesita saber cuál es la resolución de su pantalla, su ubicación, idioma, fuente y sistema operativo para mostrarse correctamente. Al mismo tiempo una biblioteca de huellas dactilares, como FingerprintJS, puede estar cuestionando a su navegador sobre todos los parámetros y características de su dispositivo. El resultado final de este cuestionario es la suma hash de todos los datos que su navegador generó durante este proceso más o menos voluntario. La suma hash es un número único de 32 bits, por ejemplo: ba4f31d70cc306fcd736y81cd6d74a7a.

¿De qué está hecha tu huella dactilar?

La huella digital de su dispositivo o la huella digital del navegador (usaremos estos dos términos indistintamente para el propósito de este artículo) puede constar de docenas de parámetros. Puede comprobar en qué medida su huella dactilar es única y de qué está hecha en uno de estos servicios: AmIUnique, visión falsa, CoverYouTracks. O puedes seguir leyendo.

Entonces, ¿de qué está hecha ‘una huella dactilar’? Vamos a ver.

  1. Atributos de encabezados HTTP. Un encabezado HTTP es una lista de cadenas enviadas por su navegador al servidor cuando intenta acceder a un sitio. Esta es una especie de breve biografía leída por un programa especial instalado en un servidor para que pueda mostrarle correctamente el sitio web.
  • Tipo y versión del navegador
  • Configuración de confidencialidad
  • Idioma del contenido
  • Sistema operativo
  • Formatos de medios admitidos
  • Métodos de compresión admitidos
  1. Información obtenida a través del código JavaScript incrustado
  • Lista de complementos
  • Compensación de zona horaria: diferencia horaria entre la hora media de Greenwich y la hora local en minutos
  • Configuración de cookies
  • Tamaño de pantalla y profundidad de color
  • Idioma del contenido
  • Lista de fuentes
  • Plataforma (por ejemplo, Windows 32)
  • Uso de AdBlock
  • Soporte táctil
  • Micrófonos, cámaras, auriculares presentes
  • No rastrear: si los usuarios permiten que los sitios web rastreen sus preferencias
  • Propiedades del navegador
  • Concurrencia de hardware: número de procesadores
  • Memoria del dispositivo en gigabytes
  • Java habilitado o no
  • Permisos: notificaciones, acceso a geolocalización, push, almacenamiento persistente
  • Conexión (por ejemplo, WiFi 4 G)
  • Giroscopio (para dispositivos móviles)
  • Acelerómetro (para dispositivos móviles)
  • Batería
  • Distribución del teclado (QWERTY o AZERTY)
  • Identificador de compilación del navegador
  • Sensor de proximidad (para dispositivos móviles)
  • Formatos de audio y video compatibles
Recomendado:  Las impresoras 3D BambuLab exhiben un comportamiento "extraño" mientras los propietarios duermen

Además de eso, la información sobre fuentes instaladas, idioma, resolución de pantalla y plataforma se puede obtener a través de FLASH.

El hecho de que su navegador bloquee las cookies puede hacer que su huella digital sea más única. Lo mismo es cierto para la función No rastrear. Si elige habilitarlo, debe tener en cuenta que puede hacerlo más único a los ojos de los scripts de huellas dactilares.

Está bien, pero ¿qué tal si cubres tus huellas usando varios navegadores al mismo tiempo? Ese método fue eficaz en su día. Sin embargo, desde que la toma de huellas dactilares entre navegadores se ha convertido en una cosa y los métodos centrados en el hardware han evolucionado, hacer malabarismos con tres o cuatro navegadores a la vez se ha vuelto menos efectivo.

Pero esto no es todo. Para identificar con mayor precisión las características de tu dispositivo, diferentes API pueden forzarlo a participar en una audición: generar una imagen en 2D, dibujar un triángulo en 3D y cantar una canción inaudible. Sí, no estamos bromeando.

  • La primera técnica usa Canvas API. Se le indica al navegador que “dibuje” una línea de texto con efectos superpuestos, por ejemplo, un emoji. El script de huellas dactilares captura cómo el navegador ha representado la imagen. El resultado depende de la combinación de GPU, tarjeta de video, controladores de video y fuentes instaladas. Tal vez, la diferencia entre dos dispositivos no sea obvia a simple vista, pero los jueces (rastreadores) reconocerán su trabajo.
  • La segunda técnica utiliza la API de JavaScript para renderizar gráficos 3D y 2D: WebGL. Se le indica al navegador que genere un triángulo en 3D con efectos superpuestos. Como en el caso de Canvas, el resultado depende de la GPU, la tarjeta de video y los controladores.
  • La tercera técnica utiliza la API AudioContext. Se le indica al navegador que genere una señal de baja frecuencia desde la pila de audio de su dispositivo. La señal resultante depende de la tarjeta de audio y los controladores.

Los resultados de las pruebas mencionadas anteriormente se devuelven al servidor como hashes, identificadores únicos de su dispositivo, mediante los cuales el servidor lo reconocerá.
Hemos mencionado algunas de las técnicas de toma de huellas dactilares más populares. La lista no es exhaustiva. Por ejemplo, se puede engañar a un navegador para que envíe diversa información en respuesta a las solicitudes de CSS. También hay una API separada que proporciona información sobre el nivel de carga de la batería del dispositivo. La lista puede seguir.

¿Para qué sirve la toma de huellas dactilares?

El propósito original de la toma de huellas dactilares del navegador era detener el fraude financiero. La prevención del fraude sigue siendo uno de sus principales usos. Si echamos un vistazo a la lista de FingerprintJS, podemos ver un gigante del comercio electrónico Ebay, Booking.com, el proveedor de soluciones de pago Checkout.com, el intercambio de criptomonedas Coinbase, sistema internacional de transferencia de dinero Western Union y los principales bancos.

La toma de huellas dactilares se puede utilizar para denegar el acceso de un bot a una cuenta bancaria cuando no genera una huella dactilar de lienzo. Bots más sofisticados que usan navegadores sin cabeza (es decir, navegadores sin una interfaz gráfica de usuario, como FantasmaJS) pueden identificarse sobre la base tanto de su huella digital como de su comportamiento, por ejemplo, mediante múltiples intentos de inicio de sesión. La toma de huellas dactilares también puede ayudar a proteger las cuentas suplantadas de identidad. Un sitio web puede requerir que un usuario complete la autenticación de dos factores o confirme una dirección de correo electrónico si intenta iniciar sesión con una nueva huella digital.

Las tiendas en línea utilizan técnicas de toma de huellas dactilares para detener el abuso de las promociones de cupones, señalar a los usuarios que disputan los pagos incluso si recibieron el producto o servicio. En el Las huellas dactilares de las industrias de juegos y apuestas se utilizan para evitar trampas mediante la creación de varias cuentas.. Además, ciertas características de una huella dactilar pueden sugerir que un usuario intentará un comportamiento fraudulento.

Los anunciantes también han mostrado un gran interés en las huellas dactilares del navegador. Pero, puede preguntarse, ¿por qué necesitan la información sobre la resolución de mi pantalla o el modelo de GPU? En primer lugar, es posible que una tienda de tecnología quiera dirigirte a ti con anuncios que te sugieran que compres un mejor monitor o una GPU más avanzada.

En segundo lugar, la huella dactilar del navegador se puede enriquecer con datos de bases de datos y, nuevamente, se puede usar para dirigirse a los usuarios con anuncios altamente personalizados. Por ejemplo, un anunciante puede intentar hacer coincidir su huella digital con su nombre real, la marca de su automóvil, su dirección IP y física. En 2012, el director ejecutivo de BlueCava, una empresa que solía especializarse en la toma de huellas dactilares, lo llamó “la próxima generación de publicidad en línea”. BlueCava también podría realizar la toma de huellas dactilares entre dispositivos, es decir, hacer coincidir un teléfono inteligente y una huella dactilar de PC con la misma persona. En 2016, BlueCava se fusionó con Qualia, una empresa que rastreaba la “intención” de los usuarios de comprar algo en tiempo real a través de las redes sociales. En 2018, Qualia fue comprada por una empresa de marketing con un nombre revelador, IDify. Hoy, es parte de la agencia de marketing Adstra, que vende cantidades masivas de datos identificables en línea y cuenta Amazon Advertising, Snapchat y Facebook entre sus clientes. Parece que el futuro ya está ahí.

Recomendado:  Cambiar la ubicación de descarga de Chrome - Hackanons

Cabe mencionar que la toma de huellas dactilares también se puede utilizar en la aplicación de la ley. Sus métodos pueden permitir a los gobiernos rastrear a los disidentes y censurar la libertad de expresión, entre otras cosas.

Las técnicas de huellas dactilares se vuelven más sofisticadas

Los métodos de toma de huellas digitales evolucionan constantemente. El avance más reciente en el campo es la técnica, llamada ‘DrawnApart’, que se puede usar en sitios que admiten la API de WebGL. WebGL es una API multiplataforma para renderizar gráficos 2D y 3D en el navegador. Se implementa en todos los principales navegadores, incluidos Chrome, Firefox, Edge y Safari.

La técnica, diseñada por un grupo de investigadores de Francia, Israel y Australia, les permitió crear distintas huellas dactilares de GPU aparentemente idénticas. Las técnicas de huellas dactilares que analizamos en la sección anterior tenían una gran desventaja o ventaja: no son lo suficientemente sensibles como para distinguir entre GPU de la misma marca y tipo. De hecho, el desafío puede parecer insuperable: imagina, te encuentras con gemelos idénticos, ¿serás capaz de distinguirlos a la vez? Difícilmente.

Los investigadores dicen que “incluso los dispositivos de hardware nominalmente idénticos tienen ligeras diferencias inducidas por su proceso de fabricación”y que su técnica de toma de huellas desencadena estas diferencias.

Como parte del experimento, contaron el número y la velocidad de las unidades de ejecución (EU) en la GPU y vieron cuánto tiempo les toma completar las funciones de procesamiento y bloqueo. Como resultado, pudieron recolectar 50 rastros de cada GPU. Cada uno de estos 50 trazos constaba de 176 mediciones tomadas de 16 puntos. La diferencia entre las trazas sin procesar de dos unidades gráficas Gen 3 es evidente incluso a simple vista.

La nueva técnica ha hecho un conocido enfoque de seguimiento de última generación FP-STALKER 67% más efectivo. En combinación con Drawn Apart, FP-STALKER pudo rastrear una huella dactilar durante 28 días, en comparación con los 17,5 días de FP-STALKER solo.

Si bien este método puede no ser infalible, su implementación puede socavar aún más la privacidad del usuario. Los investigadores creen que la técnica será aún más precisa en las nuevas versiones de WebGL. Los investigadores habilitaron la compatibilidad con WebGL 2.0 en Chrome y realizaron el experimento una vez más. Pudieron identificar una GPU con “una precisión de clasificación casi perfecta del 98%” mientras que la prueba en sí fue mucho más rápida de ejecutar, tomando solo 150 milisegundos.

¿Qué tan única es tu ‘huella digital única’ en realidad?

Las técnicas de huellas dactilares se han vuelto más avanzadas, pero la gran pregunta es qué tan fácil será realmente identificar a un usuario individual. Una cosa es que haya millones de las mismas huellas dactilares que las mías, y otra completamente distinta que solo haya miles de mis huellas digitales.

Ha habido varias encuestas importantes que estudian la singularidad de la huella digital de un dispositivo.

En 2010, la Electronic Frontier Foundation (EFF) estudió las huellas dactilares de una muestra de 470.761 navegadores. como parte del proyecto Panopticlick. Los participantes de la encuesta entregaron a sabiendas sus huellas dactilares visitando un sitio web, que escanearía sus huellas dactilares. Los investigadores se centraron en un conjunto limitado de datos. Es decir, recuperaron la información sobre la versión del sistema operativo, el idioma, las barras de herramientas, el tipo y la versión del navegador, la resolución de la pantalla, la zona horaria, los complementos, las fuentes del sistema, si las cookies estaban habilitadas o no.

La conclusión fue alarmante. El 83,6% de los navegadores tenían una “huella dactilar instantáneamente única”. Eso significaba que entre 286.777 navegadores solo había un par de huellas dactilares idénticas en el mejor de los casos. Además, el algoritmo pudo rastrear los cambios de huellas dactilares e identificar un “progenitor” de la huella dactilar en 99,1 % de todos los casos.

En 2016, otro grupo de investigadores estudió una muestra de 118 934 huellas dactilares de navegador proporcionadas por voluntarios expertos en privacidad. a través del sitio web https://amiunique.org. El 89,4% de ellos resultaron ser únicos. En comparación con la encuesta de 2010, la lista de parámetros aumentó y se emplearon técnicas de huellas dactilares más sofisticadas, incluidas Canvas y WebGL API. Los investigadores tomaron en cuenta el uso de un bloqueador de anuncios, el estado de la función No rastrear y la información sobre un procesador gráfico y una tarjeta gráfica. Por primera vez, los investigadores evaluaron la singularidad de una huella digital móvil, identificándola con un 81 % de precisión.

Recomendado:  Las 12 mejores aplicaciones de transmisión de anime para Android e iOS (2023)

En 2018, el mayor estudio de huellas dactilares hasta la fecha llamado ‘Ocultarse en la multitud’ se llevó a cabo. Los investigadores analizaron una muestra gigantesca de 2.067.942 navegadores que visitaron un popular sitio web francés. El resultado fue alentador: solo el 33,6% de las huellas dactilares eran únicas. El número de huellas dactilares únicas obtenidas de PC fue del 35,7 %, mientras que solo el 18,5 % de las huellas dactilares móviles fueron únicas. Los investigadores utilizaron el mismo conjunto de parámetros que en la encuesta de 2016. Pero las pruebas en sí se volvieron más complejas. Por ejemplo, obligaron a los navegadores a dibujar una imagen abstracta debajo, una mejora de una cadena de caracteres con un emoji.

Los propios investigadores explicaron la gran brecha entre sus hallazgos y los de las dos encuestas anteriores por los antecedentes de los participantes. Si bien las personas que se unieron a las encuestas de 2010 y 2016 aceptaron a sabiendas formar parte del experimento, los participantes del estudio francés eran solo usuarios habituales. Los investigadores detrás de ‘Hiding in the Crows’ argumentan que su resultado es más representativo de la población general, porque las huellas dactilares que recolectaron no provinieron de algunos geeks obsesionados con la privacidad que habían estado “atraídos a jugar con sus navegadores para cambiar su configuración”.

Sin embargo, cabe señalar que en todas estas encuestas los investigadores habían analizado un número relativamente pequeño de parámetros. Y a medida que los métodos de toma de huellas dactilares se vuelvan cada vez más sofisticados, la singularidad de la huella dactilar inevitablemente aumentará. Como tal, los desarrolladores de la biblioteca FingerprintJS afirman que su método permite identificar un dispositivo móvil y de escritorio con un 99,5 % de precisión.

En general, la eficacia de los métodos de toma de huellas dactilares se basa en dos parámetros:

Cuanto más a menudo cambiamos la configuración de nuestro sistema y los parámetros del navegador, menos persistente o estable es nuestra huella digital. ¡Pero al mismo tiempo puede volverse más único! Tenemos que tener eso en cuenta al tratar de evadir los scripts de seguimiento. Esencialmente, los usuarios están atrapados entre la espada y la pared.

¿Qué se puede hacer?

Como podemos ver, la mayor parte de la información identificable proviene de complementos, fuentes y el hash de Canvas. A primera vista, el problema se puede resolver desactivando JavaScript: un script de huellas dactilares no podrá detectar la lista de complementos o fuentes. Sin embargo, este enfoque tiene un defecto importante: la gran mayoría de los sitios web usan JavaScript y, por lo tanto, se romperán para usted. Libérese y rompa Internet: no es la solución más atractiva.

navegador valiente. Valiente basado en cromo aleatorizadores parámetros de huellas dactilares por defecto. Por lo tanto, cada nuevo sitio web lo ve de manera diferente. Esta tecnología lo protegerá del seguimiento entre sitios. Un usuario también puede actualizar su protección antihuellas digitales al “máximo”. En este caso, el programa no solo cambiará ligeramente su huella digital, sino que le dará un cambio de imagen total, lo que significa que su huella digital consistirá en parámetros que no se basan en valores reales sino que son completamente aleatorios. El último enfoque, sin embargo, puede romper muchos sitios.

Navegador Tor. El navegador Tor anónimo lo llevó un paso más allá. Hace que todas las huellas dactilares se vean iguales.. No importa cuáles sean los parámetros de su dispositivo y navegador, un sitio web verá a todos los usuarios de la misma manera.

También hay servicios como FingerprintSwitcher que agregue “ruido” a su huella digital o intercambie su huella digital con una real desde su propia base.

Presupuesto de privacidad de Google. Esta solución fue propuesta por Google como parte de su iniciativa Privacy Sandbox (recientemente hemos escrito sobre el propio Privacy Sandbox, sus ventajas y desventajas). Se supone que el presupuesto de privacidad disminuye la cantidad de información que un sitio web puede recibir del navegador. Si se solicita a su navegador que brinde información más allá de cierto umbral o “presupuesto”, la solicitud devuelve un error o un sitio recibe un valor genérico.

También puede bloquear la descarga de secuencias de comandos de huellas dactilares en la página. En este caso, no permitirá que los programas de huellas dactilares recolecten datos sobre su dispositivo. Sin embargo, esto funcionará solo para aquellos scripts que conozca. También deberá monitorear y actualizar la lista de rastreadores para bloquear.

AdGuard evita que se ejecuten las bibliotecas de huellas dactilares más populares. Además, para usar una huella digital, debe enviarla a algún lugar. AdGuard bloquea los dominios de seguimiento conocidos; esto significa que será imposible enviar su huella digital a los servidores y usarla para la orientación.