Canvas fingerprinting: cómo un sitio web te rastrea sin que tengas idea

[Sieg2x]

Las cookies son la amenaza del pasado.

A todos les gusta hablar de las cookies y como son usadas para rastrearnos todo el tiempo, tanto que a cada web se le exige que declare a los usuarios que utiliza cookies para mejorar la experiencia de usuario por x o y razón. Pero, actualmente hay técnicas de rastreo más "invisibles" y complejas que permiten a un sitio web identificarte sin que te enteres de nada, y sin que ninguna cookie intervenga en el proceso, se llama: Canvas Fingerprinting.

Lo sentimos, no tiene nombre en español, y todavía no tiene ni artículo en español en la Wikipedia. Para algunos hasta suena a teoría de conspiración, pero si algo nos ha enseñado la era post-Snowden, es que siempre hay que pensar lo peor, y aún así nos quedaremos cortos.

Viajemos al año 2012

El canvas fingerprinting es una técnica para identificar un navegador o un dispositivo que fue presentada por primera vez en el año 2012 por Keaton Mowery y Hovav Shacham. Ellos proponían utilizar un sistema en el que tradujeran texto y contenido WebGL a un lienzo canvas para luego evaluar los pixeles producidos.

Explicado en cristiano: el elemento canvas es parte de HTML5, permite interpretación dinámica de formas e imágenes. Explotando la API de Canvas de los navegadores modernos, se pueden detectar las diferencias más sutiles en el renderizado del mismo texto que hacen tu navegador o el mio, y así extraer una huella digital en fracción de segundos para identificarte sin que te enteres.

En el 2014 investigadores de la Universidad de Princeton en los Estados Unidos y de la Universidad Ku Leuven de Bélgica evaluaron las páginas de inicio de los 100 mil sitios web con más tráfico según Alexa y encontraron que el 5.5% incluía un script canvas para hacer fingerprinting, es decir un elemento de rastreo para identificar al usuario con una huella digital única.

También encontraron que la mayoría de los scripts de rastreo pertenecían a un único proveedor: addthis.com. 5542 sitios de los 100 mil revisados rastreaban usando esta técnica. Algunos de los más destacados incluyen a varias webs de pornografía como YouPorn, y el portal de la Casa Blanca. Luego de la publicación del estudio en 2014, varios sitios removieron los scripts de Addthis.

Las opciones actuales para mitigar este tipo de amenazas son bastante limitadas, en parte porque es difícil distinguir el rastreo no deseado. Puedes usar la extensión Privacy Badger de la EFF para bloquear rastreadores. Pero, el uso del navegador anónimo Tor es la única forma segura de evitar el canvas fingerprinting, ya que el mismo te advierte si existe un script de este tipo intentando rastrearte.

Fuente: http://hipertextual.com/2016/02/canvas-fingerprinting-rastreo

[Fl0ppy]

https://addons.mozilla.org/de/firefox/addon/canvasblocker/

Blocks the JS-API for modifying <canvas> to prevent Canvas-Fingerprinting.</canvas>