La Agencia Española de Protección de Datos publica un informe para explicar cómo funciona el 'fingerprinting': el conjunto de datos extraídos de tu dispositivo para saber qué persona lo maneja

Al contrario que las cookies, la huella digital se basa en recabar y cruzar datos sobre la configuración personal de cada equipo

El objetivo de la identificación es el perfilado publicitario, el modelo de negocio de la gran mayoría de webs y plataformas digitales que dan servicios gratuitos


..... Analizar la huella digital de los dispositivos conectados a Internet permite a las páginas y plataformas web identificar a la persona que está detrás de cada aparato. Funciona a partir de la recolección masiva de información sobre los detalles de cada uno de ellos. Sirve para singularizarlos en el océano de 4.000 millones de ordenadores, teléfonos y otros dispositivos conectados a la red, fichar quién es su usuario y qué perfil de consumidor tiene. La recopilación de información llega a ser tan abusiva que provoca dudas sobre su legalidad, como ha alertado este jueves la Agencia Española de Protección de Datos (AEPD).

En un amplio informe sobre la huella digital y cómo afecta a los usuarios españoles, la Agencia avisa que las técnicas de minado de información ya van mucho más allá de las conocidas cookies (ficheros que las páginas web instalan en los dispositivos que las visitan para marcarlos, con diversos objetivos). De hecho, es la protección ante ellas por parte de los usuarios y de los servicios antivirus lo que ha provocado la explosión de las técnicas para "salvar esas protecciones para recopilar y explotar datos", adelanta la AEPD.

La recolección de información utiliza varias técnicas. Algunas se basan en instalar y ejecutar aplicaciones en el dispositivo del usuario que, sin su conocimiento o permiso, recogen y transmiten datos personales de este hacia los servidores de la web o servicio digital en cuestión que quiere identificarlo.

Otras más simples, pero también muy efectivas, analizan al detalle la configuración del equipo. Se trata de estudiar y cruzar datos sobre el tipo, versión y ajustes del navegador, las aplicaciones instaladas, el idioma, zona horaria, configuración de pantalla, el uso de la batería, los codecs de audio y vídeo detectados, la memoria disponible, la presencia de teclados virtuales, la información sobre los sensores del terminal (acelerómetro, GPS, giroscopio, etc.), el número de monitores conectados y su configuración y cualquier detalle sobre personalización del equipo como, curiosamente, si el usuario ha intentado aumentar las medidas de seguridad ante las técnicas de recogida de información.

La AEPD señala que "el conjunto de datos recabados puede ser tan extenso, o enriquecerse de tal forma, que identifique unívocamente al usuario".

Técnicas avanzadas de minería de datos


Avisa la AEPD que: "Contrariamente a lo que pueda pensar, el perfilado no se limita a recopilar y analizar los hábitos de navegación del usuario o las búsquedas que realiza en servidores. Las técnicas más avanzadas permiten registrar los movimientos que realiza el usuario a través de la página web con el ratón, examinando en que partes de la pantalla se detiene por más tiempo. Por otro lado, los desarrollos de software para dispositivos, como por ejemplo JavaScript o Flash, facilitan la implementación de procedimientos para recoger información muy concreta del dispositivo, como por ejemplo el modelo de navegador, tipo y versión de sistema operativo, resolución de la pantalla, arquitectura de procesador, listas de fuentes de texto, plugins o dispositivos instalados, direcciones IP, etc. La combinación apropiada de toda esta información permite confeccionar una suerte de huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma univoca a cada usuario en internet".

La Agencia señala que el hecho de que el contenido de ese paquete de información personal minada a los usuarios sea "desconocido" provoca "serias dudas" sobre su adecuación a las protecciones obligatorios del Reglamento General de Protección de Datos Personales (RGDP) de la UE. En concreto, la AEPD duda de su respeto del principio de minimización (recoger solo los datos personales necesarios para dar un determinado servicio y solo durante el período necesario), el de evaluación de impacto (un estudio obligatorio cuando entre los datos recogidos son "de categoría especial", como los referidos a raza, creencias religiosas o ideología de los usuarios), o la necesidad de conseguir el consentimiento informado del usuario antes de minar su información.

Si el producto es gratis es que el producto eres tú

El propósito de toda esta recopilación de información es la publicidad. Tal y como recoge el estudio de la AEPD, "actualmente, el modelo que subyace tras la mayoría de los servicios web se basa en prestar un servicio de forma totalmente gratuita, a cambio de la monetización de los datos recopilados de los usuarios". Excepto en el caso de las plataformas más grandes, como Facebook o Google, esa monetización no la realiza la propia web o servicio digital, sino una agencia de publicidad, por lo que los datos pasan por varias manos.

La forma de rentabilizar al máximo ese servicio de publicidad es conocer el número máximo de detalles posibles del perfil como consumidor del usuario. Es la forma de aumentar la efectividad de la publicidad que se les ofrece. Identificar a la persona que navega desde cada aparato es el modelo de negocio de real de la inmensa mayoría de páginas web y servicios gratuitos.

Incluso aunque el usuario haya intentado establecer una protección ante la recogida de datos, los sistemas de minado de información son capaces de saltárselos

Es la razón por la cual, como constata la AEPD, en ellas "no se proporcionan herramientas para poder evitar la recogida de datos, ya que una vez iniciado el acceso la página en Internet, y antes de que el usuario haya podido visualizarlo, el servidor ya tiene toda la información de su fingerprint".

Aunque el usuario haya intentado establecer protecciones, los sistemas de minado de información son capaces de saltárselos. "Incluso se han detectado casos en los que, de forma general, no se atiende a la configuración DNT (Do Not Track) establecida por el usuario para desactivar la recogida de la huella digital en los servicios de Internet", señala el informe.

Protegerse no es fácil

La AEPD avisa que el 'modo privado' o 'navegación anónima' de los navegadores no sirve de nada ante la recolección de la huella digital: "A las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas". Ocurre algo similar con las VPN o redes de anonimización, que aunque filtran la información sobre la dirección IP del usuario, dejan a la vista toda la relativa al dispositivo y sus características.

Existen herramientas que permiten camuflar la huella digital. No obstante, estas resultan "complejas para un usuario común, dificultan la navegación en Internet y tienen una efectividad limitada", lamenta el regulador de privacidad español. La más efectiva, pese a que la AEPD apenas la menciona en una línea del estudio, es el uso del navegador Tor: "Enmascara la huella del terminal cuando se accede a Internet", se limita a exponer.

La AEPD apenas la menciona en una línea del estudio, pero el uso del navegador Tor es la manera más efectiva de evitar el seguimiento: "Enmascara la huella del terminal cuando se accede a Internet", se limita a exponer.

Entre las opciones que lista está activar el Do Not Track (DNT) presente en casi todos los navegadores y que indica la voluntad del usuario de deshabilitar las técnicas de seguimiento. "Lamentablemente, no todos los servicios web cumplen o respetan la solicitud DNT del usuario", recuerda la AEPD, ya que no constituye una obligación: " De hecho, algunos servicios web utilizan esta información como un factor más de la huella digital del usuario".

Otra de las recomendaciones es usar bloqueadores de publicidad. El estudio ha detectado que los más eficaces son Ghostery y uBlock Origin. Existen múltiples opciones, como Privacy Badger, de la Electronic Frontier Foundation.

Los últimos consejos por parte de la APED son alternar el uso de navegadores ("no elimina el uso de la huella, pero permitirá que no toda la información sobre la actividad del usuario se consolide asociada a un mismo identificador", explica) e instalar el mínimo de extensiones posibles en ellos. Todas ellas sirven para identificar al usuario: "Cuantas más extensiones se tengan instaladas y más alejado se encuentre el navegador de su configuración por defecto más capacidad para singularizarnos".

eldiario.es / Carlos del Castillo, 07/02/2019

Hasta el más pequeño detalle se usa para saber quién eres: así es la huella digital que dejas en Internet