La EFF (Eletronic Frontier Foundation), la entidad sin ánimo de lucro con más reputación en Internet en lo relativo a la defensa de los derechos de los internautas, ha publicado los resultados de un estudio titulado ¿Cuán único es realmente tu navegador web? donde explica cómo los sitios web pueden extraer información técnica del navegador que permita identificarlos de forma única, como si el de cada persona tuviera una «huella digital» distinta. Esto sucede aunque el usuario esté navegando sin haberse registrado, identificado con una cuenta concreta o incluso aunque desactive las cookies. Algo similar ha sucedido desde siempre con casi todo tipo de dispositivos, incluyendo las máquinas de escribir, las cámaras de fotos y similares: todas tienen pequeños defectos que hacen posible distinguir, aunque requiera cierto trabajo, las fotos tomadas con unas máquinas u otras. Esa identificación obviamente no incluye el nombre de la persona propietaria de la cámara, pero si alguien pudiera conseguirla, su nombre quedaría vinculado de forma inequívoca con las fotos.
En los servicios de Internet, el método tradicional para diferenciar a unos visitantes de otros es utilizar cookies, una forma estándar de pedirle al navegador web que guarde y reenvíe pequeños paquetes de información cada vez que el visitante vuelva al mismo sitio. Pero existen otras técnicas más sofisticadas que permiten hacer casi lo mismo, las llamadas supercookies y übercookies. Estas funcionan debidos a bugs y fallos del software de Internet (en concreto, Internet Explorer), a cómo funcionan módulos como Flash de Adobe o a pequeñas fisuras de seguridad en lenguajes de los que utilizan los navegadores, como JavaScript. Su efecto es que los servidores web pueden «preguntar cosas» al navegador del usuario, y con lo que responde, crear un perfil que resulte ser único.
Entre los detalles que el estudio de la EFF ha detectado hacen más vulnerables a este tipo de identificación a los navegadores web están los módulos instalados y sus números de versión; la lista de las tipografías que hay en el ordenador, los idiomas preferidos, la resolución de la pantalla y otros. Los módulos como Flash y Java son especialmente «delatores» en este sentido, pues proporcionan más información de la que sería deseable. En ocasiones la identificación se hace incluso con el orden aparentemente aleatorio en que aparecen los más pequeños detalles en la configuración del navegador. Los más curiosos pueden hacer una prueba en Panopticlick, una página de demostración de la EFF que extrae toda la información posible y la compara con cientos de miles de otros datos recibidos de otros usuarios. A la mayor parte le dicen que su navegador tiene una configuración única que no coincide con la de los otros cientos de miles probados hasta la fecha.
El estudio concluyó a partir de los datos de más de medio millón de usuarios que visitaron la página de pruebas que el 84% tenían una «huella digital» única, lo que permitía identificar a su navegador respecto a todos los demás. El dato era todavía peor para la gente que tenía instalados Flash o Java (la mayoría) pues el 94% eran únicos y diferentes. Aunque en esa información no se transmiten datos personales, no es difícil ver cómo puede hacerse la identificación entre el navegador web que alguien usa y sus datos personales reales: basta que visite cualquier servicio que emplee estas técnicas y además requiera datos de registros reales: una tienda, un servicio gratuito que exija registro confirmado por correo, etcétera. Desde ese momento sus datos reales quedan enlazados con el navegador web que usa, y no solo en ese servicio web sino potencialmente en cualquier otro. La EFF advierte que ya hay compañías vendiendo software que ofrece este tipo de «seguimiento web» para identificar a los usuarios.
Los únicos usuarios que salen bien parados en el estudio son los que tienen desactivadas las cookies y el JavaScript (lo cual resulta incómodo al navegar, pues la mayoría de las páginas lo usan para interactuar con el contenido), los que emplean redes de servidores específicas para hacer anónima su navegación, los usuarios de teléfonos móviles Android y iPhone (sus navegadores son más limitados) y los que trabajan en empresas donde el software se instala masivamente y siempre por igual para todos los usuarios.
La EFF ha transmitido sus preocupaciones a las empresas que desarrollan navegadores web para que tengan todos estos aspectos en cuenta y puedan defender la privacidad de los usuarios de forma más fiable. Hay más información en el informe completo de la EFF: How Unique Is Your Web Browser? [PDF, 430 KB].