Login Probar gratis
Browser fingerprinting: cómo te identifican sin usar cookies

Browser fingerprinting: cómo te identifican sin usar cookies

por MataSpam Privacidad Digital

Tu navegador tiene una huella tan única como tu ADN, y los anunciantes la usan para seguirte aunque borres todas las cookies cada cinco minutos. El browser fingerprinting combina decenas de parámetros técnicos —resolución, fuentes instaladas, GPU, zona horaria, plugins— para generar un identificador casi irrepetible. Según estudios de la EFF (Electronic Frontier Foundation) con su herramienta Panopticlick, más del 80% de navegadores presentan una huella de navegador única dentro de su base de datos. El rastreo sin cookies es la respuesta de la industria publicitaria al RGPD: si te has cargado las cookies, te identifico por la forma en que tu Chrome dibuja un emoji. Suena distópico porque lo es. Y va a peor.

Qué es exactamente el browser fingerprinting

El browser fingerprint es un identificador derivado de las características técnicas que tu navegador expone a cada web que visitas. No es un dato aislado: es la combinación de muchos. Cada parámetro por separado parece inofensivo. Juntos, te delatan.

El concepto se popularizó en 2010 con el estudio How Unique Is Your Web Browser? de Peter Eckersley (EFF). Aquel paper demostró que con apenas ocho atributos básicos podía identificarse a un usuario entre cientos de miles. Más de quince años después la cosa se ha sofisticado bastante.

Las técnicas modernas combinan:

  • Canvas fingerprinting: tu GPU dibuja un texto invisible y el resultado pixel a pixel difiere entre dispositivos.
  • WebGL fingerprinting: similar, pero usando renderizado 3D para extraer modelo de tarjeta gráfica y drivers.
  • AudioContext fingerprinting: genera una onda de audio inaudible y mide cómo la procesa tu hardware.
  • Font fingerprinting: la lista de tipografías instaladas dice mucho sobre tu sistema y tus aplicaciones.
  • Hardware concurrency: número de núcleos lógicos de tu CPU, accesible vía JavaScript.
  • Battery Status API: nivel de batería y tiempo de carga, suficiente para reidentificarte durante minutos.

Cada técnica añade entropía. Combinadas generan una identificación de navegador que persiste aunque cambies de IP, borres cookies y uses modo incógnito. Sí, el modo incógnito no te protege de esto. Nunca lo hizo.

Cómo funciona el rastreo sin cookies en la práctica

Imagina que entras en una web cualquiera. Antes de que cargue el contenido visible, varios scripts de terceros (Google, Meta, Criteo, brokers de datos menos conocidos) ejecutan código en tu navegador. En milisegundos recopilan parámetros, los hashean y envían el resultado a sus servidores.

Ese hash es tu huella del navegador. La próxima vez que aparezcas en otra web del mismo ecosistema publicitario, te reconocen sin necesidad de ninguna cookie. El proceso es transparente para ti, opaco para el regulador y oro puro para el adtech.

Algunos vendors van más allá con técnicas como el cross-device tracking: combinan la huella de tu portátil, tu móvil y tu tablet usando ultrasonidos imperceptibles emitidos por anuncios. Sí, suena a teoría conspirativa. Existe desde 2015 y la FTC estadounidense envió en 2016 cartas de advertencia a desarrolladores que integraban el SDK de SilverPush, una de las tecnologías pioneras en este tipo de tracking ultrasónico.

Si te interesa entender cómo se cruzan estos datos con vulnerabilidades web tradicionales, échale un ojo a SQL Injection explicado: muchos brokers de datos almacenan estas huellas en bases de datos mal protegidas que acaban filtradas.

Por qué el RGPD no te salva (del todo)

El Reglamento General de Protección de Datos (UE 2016/679) considera la huella de navegador un dato personal cuando permite identificar a una persona física, directa o indirectamente. La Agencia Española de Protección de Datos (AEPD) publicó en 2019 una guía específica sobre device fingerprinting donde lo deja claro: requiere consentimiento explícito, igual que las cookies.

El problema es la aplicación. Los banners de cookies que ves cada día rara vez mencionan el fingerprinting. Muchas webs lo ejecutan antes incluso de que rechaces el consentimiento. La Comisión Europea ha abierto investigaciones contra varias plataformas, pero la velocidad regulatoria no compite con la innovación adversaria.

El ePrivacy Regulation (la actualización pendiente desde 2017) pretende cerrar este vacío, pero lleva años bloqueado en el Consejo Europeo. Mientras tanto, la práctica más sensata es asumir que cualquier web te puede identificar y actuar en consecuencia.

Herramientas para medir y reducir tu huella

Antes de defenderte, mide. Estas herramientas son gratuitas y te dicen qué expone tu navegador:

  • Cover Your Tracks (coveryourtracks.eff.org): el sucesor de Panopticlick de la EFF. Te muestra cuánta entropía tiene tu huella.
  • amiunique.org: proyecto académico francés con base de datos de medio millón de huellas.
  • browserleaks.com: análisis técnico granular de cada vector (Canvas, WebRTC, fonts, etc.).
  • creepjs: demuestra técnicas avanzadas que pocos navegadores bloquean.

Para reducir tu exposición, las opciones realistas son:

HerramientaQué haceNivel de protección
Tor BrowserEstandariza la huella entre todos sus usuariosMuy alto
BraveRandomiza Canvas/Audio en cada sesiónAlto
Firefox + resistFingerprintingActiva protecciones del Tor ProjectAlto (con efectos secundarios)
LibreWolfFirefox con configuración hardened por defectoAlto
uBlock OriginBloquea scripts de tracking conocidosMedio
CanvasBlocker (extensión)Falsifica respuestas de Canvas APIMedio

Aviso para navegantes: cuanto más raro sea tu setup, más identificable serás. Un Firefox con doce extensiones de privacidad puede ser más único que un Chrome estándar. La paradoja del fingerprinting es que la protección individual te delata; solo funciona la protección colectiva (por eso Tor estandariza a todos sus usuarios).

Defensas avanzadas para usuarios paranoicos (con motivo)

Si manejas información sensible o trabajas en ámbitos como periodismo, activismo o investigación de amenazas, el navegador estándar no basta. Estas son las opciones que usan los profesionales:

  1. Máquinas virtuales desechables: Whonix o Tails para sesiones críticas. Cada arranque es una huella nueva.
  2. Containers de Firefox: aísla cada servicio en su contenedor con cookies y huella separadas.
  3. Mullvad Browser: colaboración entre Mullvad VPN y el Tor Project. Tor Browser sin la red Tor.
  4. VPN + navegador hardened: combinación que rompe la correlación IP-huella.
  5. Multi-Account Containers + Temporary Containers: extensión que crea contenedores efímeros automáticamente.

Para empresas que gestionan datos sensibles de clientes, el diseño de la web también importa. Si tu negocio depende de captar tráfico orgánico sin abusar del tracking invasivo, tiene sentido trabajar con equipos que entiendan tanto SEO y posicionamiento como las implicaciones legales del adtech moderno. Un sitio puede ser rentable sin convertirse en una fábrica de huellas digitales.

El fingerprinting también se entrelaza con otros vectores de ataque más conocidos. Cuando un atacante combina huella de navegador con datos filtrados de breaches previos puede orquestrar campañas de spear phishing extremadamente convincentes. Casos como los descritos en los ataques de ransomware a hospitales empezaron, en algunos casos documentados por ENISA, con reconocimiento previo basado en perfilado del navegador del personal sanitario.

El papel de los grandes navegadores

Google anunció en 2020 el fin de las cookies de terceros en Chrome para 2022. La fecha se fue posponiendo (2023, 2024, 2025) y en julio de 2024 la compañía dio un giro: abandonó el plan de eliminarlas por defecto y optó por dejar la decisión al usuario mediante un selector dentro del navegador. Su propuesta sustitutiva, Privacy Sandbox, sigue viva con APIs como Topics y Protected Audience (antes FLEDGE) que pretenden permitir publicidad segmentada sin tracking individual.

La crítica del sector es predecible: cambia el método, no la finalidad. Mozilla y Apple han avanzado más rápido. Safari implementa Intelligent Tracking Prevention desde 2017 y bloquea por defecto el cross-site tracking. Firefox tiene Enhanced Tracking Protection activado por defecto desde 2019 en modo estándar, con la opción de subir a modo estricto.

Edge, basado en Chromium, sigue la línea de Google con algunas mejoras propias. Brave es el más agresivo del bloque Chromium: randomiza el Canvas en cada sesión, bloquea WebRTC leaks y desactiva APIs poco usadas pero útiles para fingerprinting.

Si gestionas un proyecto web profesional —tienda online, plataforma de servicios o web corporativa— el debate sobre fingerprinting afecta directamente a tu cumplimiento legal. Construir desde cero con criterios de privacidad ahorra disgustos posteriores; herramientas como las que describimos en cómo montar una red doméstica segura aplican principios similares a nivel de infraestructura.

Preguntas frecuentes

¿El modo incógnito me protege del browser fingerprinting?

No. El modo incógnito solo evita que tu historial y cookies se guarden localmente. Tu huella de navegador (resolución, fuentes, GPU, fingerprint de Canvas) sigue siendo idéntica e identificable. Las webs te reconocen exactamente igual.

¿Una VPN oculta mi huella del navegador?

Una VPN oculta tu IP, no tu fingerprint. Combinarlas (VPN + navegador con anti-fingerprinting como Brave o Tor) sí mejora la protección, porque rompe la correlación entre huella e ubicación. Por separado, ninguna técnica basta.

¿Es legal el fingerprinting en España?

Solo con consentimiento explícito previo, según el RGPD y la guía AEPD de 2019. En la práctica, muchas webs lo aplican sin consentimiento adecuado. Puedes denunciar ante la AEPD si detectas un caso flagrante (browserleaks.com te ayuda a documentarlo).

¿Tor Browser es la única solución real?

Es la más efectiva porque estandariza la huella entre todos sus usuarios. Mullvad Browser ofrece un compromiso similar sin la red Tor. Brave y LibreWolf son alternativas decentes para uso diario sin sacrificar tanta velocidad.

¿Las extensiones de privacidad me protegen o me delatan?

Ambas cosas. Bloquean trackers conocidos, pero la combinación exacta de extensiones que tienes instaladas puede ser tan única que te identifique igualmente. Menos extensiones bien elegidas (uBlock Origin, por ejemplo) suele ser mejor que diez tirando a más-es-más.

El siguiente paso

Entra ahora mismo en coveryourtracks.eff.org, ejecuta el test y mira cuán única es tu huella. Si el resultado es "casi única" (lo más probable), descarga Brave o Mullvad Browser y repite la prueba. La diferencia entre antes y después te dirá más que cualquier artículo.

fingerprinting huella navegador browser fingerprint rastreo sin cookies identificación navegador
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Privacidad en TikTok: los riesgos reales y cómo configurar tu cuenta
Privacidad Digital

Privacidad en TikTok: los riesgos reales y cómo configurar tu cuenta

Privacidad en apps de fitness y salud: qué datos compartes sin saberlo
Privacidad Digital

Privacidad en apps de fitness y salud: qué datos compartes sin saberlo

Rastreo publicitario online: cómo te siguen los anuncios por toda la web
Privacidad Digital

Rastreo publicitario online: cómo te siguen los anuncios por toda la web

← Volver al blog