Supercookie.me es un ingenioso método demostrado por Jonas Strehle (un programador de 20 años) para identificar el navegador que visita una web mediante una especie de «huella digital» imborrable. Lo hace utilizando algo tan aparentemente inofensivo como es el icono Favicon de la página. Lo verdaderamente inquietante del asunto es que a pesar de su nombre no se trata de una «cookie» convencional: no puede borrarse. Ni eliminando las cookies, ni la caché, ni el historial, ni abriendo una «ventana anónima», ni con Do-Not-Track, usando una VPN, ni con un Adblocker… Es tan intratable como el Alien después de haberse zampado a media tripulación de la Nostromo.
La idea original está descrita con sumo detalle técnico en un trabajo titulado Tales of favicons and Caches: Persistent Tracking in Modern Browsers de Solomos, Kristoff, Kanich y Polakis, de la Universidad de Chicago. La web Supercookie.me es una mera demostración de cómo funciona.
Por explicarlo de forma resumida: los favicons son esos pequeños iconos () que se muestran normalmente junto a la URL de la página, por ejemplo en la barra del navegador, en los favoritos, como icono de la app, etcétera. Como se accede a ellos muy frecuentemente, el navegador los guarda en una memoria caché especial: el «caché de favicons» (F-Cache). Pues resulta que el servidor web al que se pide la página puede detectar si el navegador del usuario tiene un favicon determinado para una página dada. De este modo, realizando varias peticiones con ciertos valores, puede reconstruir un identificador determinado para cada visitante.
Según explica en la página de Github donde está el código esta vulnerabilidad –que podría considerarse como tal, porque no funciona como se espera de ella– afecta a todos los navegadores importantes: Chrome, Firefox, Safari y Edge al menos. Algunos de ellos también en sus versiones para móviles iOS/Android, en mayor o menor medida.
Una curiosidad es que puede distinguir más usuarios cuantas más redirecciones haga la web que se visita. El número exacto es proporcional es 2n, siendo n el número de redirecciones, de modo que hay «supercookies» de estas para un sinfín de visitantes. En la demo se utilizan 14 saltos (que podrían pasar desapercibidos para los visitantes) y unos 16.000 IDs distintos. Si visitas la web te asignará un número hexadecimal, que no variará aunque borres las cookies, la caché o abras una ventana de incógnito. La única forma de que el identificador sea distinto es usar otro navegador diferente.
Relacionado:
- Privacidad en Internet: llega la «cookie eterna» casi imposible de borrar
- Nuevas preocupaciones sobre privacidad en un estudio de la EFF
- Los sitios web ya pueden identificar con distintos navegadores
- Google probando una tecnología para eliminar «cookies»
- Panopticlick 3.0: para saber cuánta privacidad proporciona tu navegador