Fingerprinting del navegador: cómo te identifican sin cookies (y cómo reducirlo)
Introducción
Mucha gente cree que, si rechaza cookies, deja de estar “rastreada”. Ojalá fuera tan fácil.
Hoy existe una técnica muy común llamada fingerprinting (huella del navegador): en vez de guardar un identificador como cookie, la web calcula un identificador a partir de características de tu dispositivo y navegador. Y lo hace cada vez que visitas una página.
En este post te explicamos lo que importa: qué es el fingerprinting, qué señales usa, cómo comprobar tu huella y un stack realista para reducirla sin vivir peleándote con Internet.
Mini guía rápida (elige tu nivel)
| Nivel | Para quién | Qué haces | Impacto |
|---|---|---|---|
| Base (10 min) | La mayoría | Protección antirrastreo del navegador + uBlock Origin + menos extensiones | Alto |
| Intermedio (30–45 min) | Privacidad seria sin “modo extremo” | Separar contextos (perfiles/containers) + DNS anti-track + ajustes anti-fingerprinting | Muy alto |
| Avanzado | Riesgo alto (activismo, exposición pública, investigación) | Tor/Mullvad Browser + disciplina operativa | Máximo (con coste) |
Qué es el fingerprinting (sin humo)
El fingerprinting consiste en recopilar señales (HTTP headers + APIs del navegador + capacidades del dispositivo) para construir un perfil lo bastante “estable” como para reconocerte. No necesita cookies, porque no depende de almacenar nada: depende de medirte.
No es “magia negra”: es estadística. Una señal sola no identifica, pero la combinación puede ser única o casi única.
Qué datos se usan para “pintar” tu huella
Aquí va lo importante: las señales típicas y por qué son útiles para rastrear.
| Señal | Ejemplos | Por qué sirve | Cómo reducirla |
|---|---|---|---|
| Headers | User-Agent, Accept-Language | Delatan navegador/OS/idioma (y combinan bien con otras señales) | Usar navegadores con protección anti-fingerprinting / evitar configuraciones raras |
| Pantalla | Resolución, escala, ventana | Una resolución “rara” te hace destacar | Evitar personalizaciones extremas / usar defensas tipo “letterboxing” |
| Canvas | Renderizado de texto/imagen | Varía por GPU, fuentes y render | Bloqueo/mitigación en navegador + reducción de trackers |
| WebGL | GPU, vendor, renderer | Señal fuerte por hardware gráfico | Mitigación de APIs + reducir scripts de terceros |
| Audio | AudioContext/WebAudio | Pequeñas variaciones generan firmas | Defensas del navegador / reducir JS de terceros |
| Fuentes | Tipografías instaladas | Configuración única = huella única | No “tunees” el sistema con fuentes raras si te importa privacidad |
| Extensiones | Patrones detectables | Demasiadas extensiones te vuelven “raro” estadísticamente | Menos es más: 1–2 extensiones buenas |
Importante: fingerprinting también se usa para seguridad
No todo fingerprinting es “publicidad mala”. Algunas empresas lo usan para detectar fraude (por ejemplo: “mismo usuario, dispositivo completamente distinto, operación de alto riesgo”).
El problema aparece cuando se usa para rastreo persistente sin transparencia o para perfilado agresivo. Y en el mundo real… se usa para ambas cosas.
Casos de uso reales (para que entiendas el impacto)
1) “He rechazado cookies, pero me siguen persiguiendo anuncios”
Rechazar cookies reduce una parte, pero si el navegador sigue siendo muy reconocible, pueden correlacionar sesiones con otras señales. El resultado: te “reconocen” sin cookie directa.
2) Discriminación de precio / ofertas diferentes
Algunas estrategias comerciales ajustan precios o condiciones según señales de dispositivo/navegador o historial correlacionado. No siempre es literal “te cobran más por X”, pero el fingerprinting ayuda a sostener esa segmentación.
3) Suplantación y phishing dirigido
A más correlación de tu vida digital, más fácil es construir mensajes creíbles y atacar por ingeniería social. No hace falta “hack”: hace falta contexto.
Cómo medir tu huella (herramientas que puedes usar)
Si no mides, no sabes si has mejorado o solo te has autoengañado. Tres herramientas útiles:
- EFF Cover Your Tracks: test de tracking y fingerprinting (visión “cómo te ven”).
- AmIUnique: mide lo “único” de tu fingerprint frente a otros.
- BrowserLeaks: tests por componente (Canvas, WebGL, WebRTC, etc.).
Stack recomendado (OSS-first) por niveles
Nivel Base (para la mayoría, sin romper webs)
- Navegador: Firefox / Brave / Safari (con protecciones activas por defecto).
- Bloqueador: uBlock Origin (una extensión buena, no diez).
- Higiene: reduce extensiones, y evita “tuneos raros” del navegador (te vuelven único).
Nivel Intermedio (privacidad seria, aún usable)
- Separación de contextos: usa perfiles o contenedores (trabajo / personal / navegación general).
- Cookies aisladas por sitio: activa protecciones anti-cross-site en el navegador.
- DNS anti-track: usa un DNS con filtrado (NextDNS o similar) para cortar trackers a nivel red.
- Anti-fingerprinting del navegador: activa protección específica si está disponible (sin pasarte si rompe webs).
Nivel Avanzado (riesgo alto)
- Tor Browser o navegadores orientados a anti-fingerprinting (p.ej., Mullvad Browser).
- Disciplina: no mezcles identidades (no loguees tus cuentas “reales” en el perfil anónimo).
- Expectativas: más privacidad = más fricción. No hay magia.
Buenas prácticas que funcionan (sin obsesión)
- Menos extensiones = huella menos única. Elige 1–2 bien.
- Separa contextos: un navegador/perfil para logins críticos y otro para navegar “por ahí”.
- No confíes en incógnito: borra historial local, no evita fingerprinting.
- Actualiza navegador y sistema: seguridad base antes que “tweaks”.
- Revisa permisos: cámara, micro, ubicación, notificaciones.
Errores comunes (que dan falsa sensación de control)
- Instalar 8 extensiones “de privacidad” y volverte único estadísticamente.
- Creer que VPN = anonimato (no: el fingerprint sigue ahí).
- Rechazar cookies y pensar que ya no hay rastreo (hay más vectores).
- Usar el mismo navegador logueado para todo (correlación máxima).
Checklist pro (para repetir cada 3 meses)
- ¿Tu navegador tiene protección anti-tracking/fingerprinting activa?
- ¿Tienes pocas extensiones y de confianza?
- ¿Usas separación de contextos (perfiles/containers)?
- ¿Has medido tu huella en una herramienta tipo EFF/AmIUnique?
- ¿Has revisado permisos (cámara/micro/ubicación) y sesiones?
Conclusión
El fingerprinting recuerda una verdad incómoda: sin cookies no significa sin rastreo. Pero tampoco se trata de vivir con miedo.
Se trata de aplicar un stack razonable: protecciones del navegador + bloqueo de trackers + separación de contextos + medición de huella. Pequeñas decisiones que, sumadas, cambian el resultado.
En Gondor defendemos privacidad realista: menos promesas mágicas, más criterio y medidas que se pueden sostener.