¿Qué es una huella digital?
A huella digital Es el conjunto de señales de red, navegador, dispositivo y comportamiento que identifican de forma única a un usuario o una sesión en línea, sin necesidad de cookies. Funciona de forma pasiva: cualquier sitio web que visite puede recopilar estas señales y vincularlas entre visitas o cuentas. El resultado es un identificador persistente que se mantiene incluso tras el modo de navegación privada, la eliminación de cookies y el uso de una VPN.
Cómo se crea una huella digital
Las huellas digitales son conjuntos de datos, no señales aisladas. Los navegadores revelan docenas de atributos durante la visualización normal de una página: la cadena de agente de usuario, las fuentes instaladas, la salida de píxeles del lienzo, el renderizador WebGL, el comportamiento del procesamiento de audio, la resolución de pantalla, la zona horaria y mucho más. Cada atributo reduce el conjunto de posibles usuarios; en conjunto, pueden identificar un dispositivo concreto.
Las investigaciones confirman la eficacia de esta combinación. Un estudio de 2024 (Evaluación del riesgo de la identificación digital en la web, WWW 2024, arXiv 2403.15607, 2024) analizaron varios corpus y encontraron índices de singularidad que oscilaban entre el 33,6 % (Gómez-Boix, ~2 millones de muestras) hasta el 89,4 % (Laperdrix et al., ~118 000 muestras), mientras que el trabajo anterior de Eckersley situaba la cifra en el 83,6 % en unas ~470 000 muestras. Esta variación pone de manifiesto hasta qué punto la metodología y la composición del corpus influyen en la singularidad medida. El mismo estudio de 2024 se basó en decenas de millones de sesiones reales de Chrome en cientos de miles de sitios web y confirmó que las señales combinadas de la API web siguen conteniendo suficiente entropía para identificar a los usuarios, incluso cuando los navegadores añaden aleatorización (Evaluación del riesgo de la identificación digital en la web, WWW 2024, arXiv 2403.15607, 2024).
La dirección IP también forma parte de la huella digital. Los sistemas de detección de bots cotejan las señales del navegador con el ASN, la geolocalización y la reputación de la IP. Una discrepancia entre un perfil de navegador realista y una IP de centro de datos constituye en sí misma una señal de detección.
Casos de uso
Detección de fraudes. Los bancos y las plataformas de comercio electrónico realizan un análisis de huellas digitales de los dispositivos para detectar el «credential stuffing», la apropiación de cuentas y el fraude en los pagos. La detección de una nueva huella digital en una cuenta conocida activa pasos de verificación adicionales.
Limitación de la frecuencia de los anuncios. Los anunciantes limitan el número de impresiones por usuario en todos los navegadores y tras la eliminación de las cookies, vinculando la exposición publicitaria a la huella digital del dispositivo en lugar de a una cookie.
Recopilación de datos en la web. Los clientes automatizados deben presentar una huella digital coherente y verosímil para evitar bloqueos por detección de bots. Todas las señales, incluidas la dirección IP, la versión del navegador, el hash de canvas y la huella digital TLS, deben ser coherentes. El uso de una dirección IP residencial procedente de una red de acceso a dispositivos garantiza que la capa de red coincida con lo que presentaría un dispositivo de consumidor real, lo que reduce la probabilidad de que la propia dirección IP active una señal de discrepancia.
Verificación de identidad. Los productos de prevención del fraude y cumplimiento normativo combinan las huellas dactilares con comprobaciones de autenticidad para vincular una sesión a una persona verificada a lo largo de múltiples interacciones.
Preguntas frecuentes
La huella digital del navegador constituye una de las capas de la huella digital. El panorama completo incluye también la capa de red (dirección IP, ASN, geolocalización), las señales a nivel de dispositivo (tamaño de la pantalla, concurrencia de hardware) y las señales de comportamiento (ritmo de escritura, movimiento del ratón). La huella digital del navegador abarca únicamente las señales que revelan las API de renderizado y de JavaScript del navegador.
La navegación privada borra las cookies, pero no modifica las señales del hardware ni de la API del navegador. Una VPN cambia la dirección IP, pero deja intactas las salidas de Canvas, las fuentes y WebGL. La mayoría de los sistemas de identificación digital combinan suficientes señales como para que ninguna de estas medidas, por sí sola, sea suficiente para evitar la detección.
La identificación mediante huellas digitales se basa en las señales que los navegadores revelan de forma predeterminada durante la visualización normal de las páginas: el encabezado «user-agent», la salida de «canvas», las capacidades de WebGL, el comportamiento del audio y otros elementos. No se requiere ninguna solicitud de permiso. Algunas leyes de protección de datos consideran la identificación mediante huellas digitales como un tratamiento de datos personales, aunque su aplicación varía según la jurisdicción.
El tamaño y la composición del corpus son los factores principales. Las muestras más pequeñas y homogéneas presentan índices de singularidad más elevados que los corpus grandes y diversos que incluyen numerosos dispositivos móviles idénticos. El estudio WWW de 2024 confirmó que la metodología es más importante que la técnica subyacente a la hora de medir la entropía de las huellas digitales (Evaluación del riesgo de la identificación digital en la web, arXiv 2403.15607, 2024).