¿Qué es el «fingerprinting» de WebGL?
Identificación mediante huellas digitales de WebGL Es un método de identificación del navegador que lee datos a nivel de la GPU a través de la API de WebGL para crear una firma del dispositivo prácticamente única. Combina la cadena del fabricante de la tarjeta gráfica, la cadena completa del renderizador del controlador y la salida de píxeles de una escena 3D renderizada. No se requiere ningún permiso del usuario para recopilar ninguno de estos valores.
¿Cómo funciona la identificación mediante huellas digitales de WebGL?
Cuando se carga una página, JavaScript consulta el contexto de WebGL para obtener dos parámetros de extensión: UNMASKED_VENDOR_WEBGL y UNMASKED_RENDERER_WEBGL. Estas funciones devuelven el fabricante de la GPU y la cadena completa del renderizador, incluyendo el modelo de la tarjeta, la versión del controlador y el backend de renderizado. En un equipo con Windows y una tarjeta NVIDIA, esa cadena podría ser «ANGLE (NVIDIA, NVIDIA GeForce RTX 4070 Direct3D11 vs_5_0 ps_5_0, D3D11)» (BrowserLeaks - Prueba de huella digital de WebGL, 2025).
Más allá de la cadena del controlador, un script puede renderizar una escena 3D oculta y leer los píxeles resultantes. Los diferentes tipos de hardware de GPU y las distintas versiones de los controladores producen resultados de rasterización ligeramente diferentes, por lo que el hash de píxeles añade otra capa de entropía. En conjunto, estas dos señales permiten identificar un dispositivo a lo largo de las sesiones, incluso después de borrar las cookies.
Los sistemas de seguimiento y lucha contra el fraude utilizan los datos de WebGL como uno de los elementos de una pila más amplia de huellas digitales. Se combina de forma natural con las huellas digitales de «canvas» y de audio, ya que las tres señales proceden de procesos de renderizado que dependen del hardware, lo que hace que sean más difíciles de falsificar de forma sistemática.
Preguntas frecuentes
No. Los valores de WebGL proceden del hardware de la GPU y de los datos del controlador, no de los datos almacenados en el navegador. Borrar las cookies no tiene ningún efecto sobre la información que la tarjeta gráfica envía al navegador.
A menudo, la cadena del renderizador basta por sí sola para identificar un dispositivo y determinar su modelo y versión de controlador concretos. La mayoría de los sistemas de seguimiento la combinan con señales relacionadas con el lienzo, el audio y las fuentes para lograr una mayor precisión en poblaciones de usuarios más amplias.
Los sistemas de detección de bots comparan la cadena del renderizador WebGL con perfiles conocidos de navegadores sin interfaz gráfica. Los entornos sin interfaz gráfica suelen mostrar cadenas de GPU genéricas o incoherentes, lo que genera una señal de riesgo y puede dar lugar a pasos de verificación adicionales.