Un script de seguimiento de huellas dactilares de usuario es un fragmento de código JavaScript que se ejecuta dentro de una página web para verificar cierta funcionalidad del navegador.

Hoy en día, los anunciantes online suelen utilizar las huellas digitales como mecanismo de seguimiento de usuarios. Recopilan información sobre los usuarios de diversas formas, creando una o más “huellas digitales” para cada uno y luego las utilizan para rastrear al usuario cuando accede a otros sitios en Internet.

Debido a que algunos anunciantes utilizan actualmente huellas digitales del navegador que violan la privacidad, algunos navegadores como Firefox, Chrome, Opera, Brave y Tor Browser han implementado funciones para detectar y bloquear este tipo de código malicioso.

El 10% de los 100.000 sitios principales utilizan scripts de filtrado.

En un artículo académico publicado a principios de este mes, un grupo de científicos de la Universidad de Iowa, Mozilla y la Universidad de California-Davis analizaron cómo los operadores de sitios web utilizan hoy en día los populares scripts de huellas dactilares del navegador.

Utilizando el kit de herramientas de aprendizaje automático FP-Inspector que ellos mismos desarrollaron, el equipo de investigación rastreó y analizó los 100.000 sitios web más populares en Internet de acuerdo con las clasificaciones de tráfico web de Alexa.

“Descubrimos que la colección de huellas dactilares del navegador está presente actualmente en más del 10% de 100.000 sitios web y más de una cuarta parte de los 10.000”, dijo el equipo de investigación.

Estadísticas de huellas dactilares
Estadísticas presentadas por los investigadores sobre huellas dactilares

Sin embargo, el equipo de investigación también señala que, a pesar de la gran cantidad de sitios web que actualmente recopilan huellas digitales, no todos los scripts se utilizan para el seguimiento. Algunos también se utilizan para la detección de fraudes, ya que los bots automatizados tienden a tener huellas dactilares iguales o similares, y los scripts de huellas dactilares del navegador son un método confiable para detectar el comportamiento automático.

Estadísticas de las huellas dactilares
Informe sobre el tracking presentado por los científicos

Los científicos han encontrado nuevas técnicas de seguimiento

El equipo de investigación también analizó qué funciones específicas del navegador o scripts API de JavaScript intentaban identificar al usuario.

“Nuestra idea clave es que los scripts de huellas dactilares del navegador generalmente no usan un método (como la impresión de pantalla) de forma aislada, sino que combinan varios métodos juntos”, dicen los investigadores.

Los investigadores dijeron que identificaron grupos con técnicas repetitivas de toma de huellas dactilares, así como grupos que contienen nuevas técnicas que no se informaron anteriormente como capacidades potenciales de toma de huellas dactilares, lo que indica que las empresas están invirtiendo activamente en encontrar nuevas formas de rastrear a los usuarios en función de la huella. su navegador.

Lo siguiente es un resumen de algunas de las nuevas técnicas de toma de huellas dactilares descubiertas por los investigadores:

  • Impresiones de permiso. Los investigadores dijeron que algunos sitios web verificaron la API de permisos del navegador para determinar si el usuario otorgó o denegó el permiso. Los científicos dijeron que encontraron casos específicos en los que los scripts de huellas dactilares verificaron si un usuario había otorgado acceso a un sitio web para notificaciones, geolocalización y cámaras , y luego usaron esa información para rastrear al usuario.
  • Eliminación de impresiones periféricas. Los investigadores dijeron que también encontraron scripts que verifican si los sitios web tienen acceso para conectarse a gamepads y dispositivos de realidad virtual y utilizan esta información para rastrear a los usuarios. En otros casos, algunos sitios web han identificado a los usuarios utilizando una distribución de teclado instalada, generalmente accesible a través de la función getLayoutMap del navegador .
  • Huellas digitales API. Los investigadores dijeron que algunos sitios web verificaron si ciertas API estaban habilitadas en el navegador del usuario. Por ejemplo, algunos scripts de huellas digitales verificaron la API de AudioWorklet (solo navegadores Chromium), mientras que otros verificaron si ciertas funciones de JavaScript como setTimeout o mozRTCSessionDescription fueron anuladas por extensiones.
  • Identificación del tiempo. Los investigadores dijeron que también encontraron que ciertos escenarios de huellas dactilares miden el tiempo que lleva realizar ciertas funciones. Por ejemplo, algunos sitios web usaron la API de rendimiento para rastrear eventos como domainLookupStart, domainLookupEnd, domInteractive y msFirstPaint durante una operación predefinida.
  • Impresión de animación . Esta categoría es uno de los métodos de toma de huellas digitales más comunes en la actualidad, pero los investigadores dijeron que han descubierto nuevas formas de abusar de los sitios web de la API AudioContext.
  • Eliminación de huellas dactilares de sensores. Al igual que con las funciones relacionadas con la animación web, los escenarios de huellas digitales con sensores se abusaron con frecuencia, pero el equipo de investigación dijo que encontró sitios web que buscaban el sensor de proximidad de un dispositivo poco conocido.


Puede encontrar más información sobre la investigación del equipo en el documento titulado ” Toma de huellas dactilares: aprender a detectar comportamientos de huellas dactilares del navegador ” , que se presentará en el Simposio de seguridad y privacidad de IEEE del próximo año en mayo de 2021.

El equipo de investigación también informó que ha pasado una lista de dominios que albergan scripts de huellas digitales descubiertos por FP-Inspector en Easylsit / EasyPrivacy y Disconnect , dos proyectos que administran las llamadas listas negras, que son una lista de dominios que están subidos en bloqueadores de anuncios como AdBlock.

Puede bloquear los scripts de huellas dactilares activando la protección antihuellas en la configuración de su navegador o instalando una extensión de bloqueo de anuncios como Privacy Badger .