¿Qué es el fingerprinting de navegador y cuán única es probable que sea la mía?

El paper Panopticlick de Eckersley 2010 (How Unique is Your Web Browser?, Privacy Enhancing Technologies Symposium 2010, Berlín) midió 18,1 bits de entropía identificadora con solo 8 características (User-Agent, cabeceras HTTP Accept, plug-ins, fuentes, zona horaria, tamaño de pantalla, supercookies, flag de cookies) a través de aproximadamente 470.000 navegadores. El 84% tenían configuraciones únicas — significa que al azar, solo 1 de cada 286.777 compartiría una huella. Entre navegadores con Flash o Java la cifra subió a 94% únicos con 18,8 bits. Las bibliotecas modernas de fingerprinting combinan 30+ señales alcanzando mayor unicidad. El valor combinado persiste a través de borrado de cookies, modo incógnito y cambios de IP, razón por la que el fingerprinting se rastrea como preocupación de privacidad junto con las cookies.

¿Qué superficies de mi navegador contribuyen realmente a la huella?

Los contribuyentes de alta entropía están bien documentados: renderizado de píxeles en Canvas (varía por driver GPU + versiones de fuente), salida de muestreo de AudioContext (varía por DSP de audio), cadena renderer WebGL (gl.getParameter expone modelo GPU), fuentes enumeradas (Canvas measureText sondea fuentes instaladas), resolución de pantalla y profundidad de color (window.screen), idiomas preferidos (navigator.languages), zona horaria (Date.getTimezoneOffset), concurrencia de CPU (navigator.hardwareConcurrency) y la cadena User-Agent. Valores de baja entropía como cookies-enabled y Do Not Track también contribuyen. La combinación es lo único, no un valor individual. Incluso con cookies borradas y sesión fresca, la huella persiste porque estas superficies no se reinician. Existen herramientas que puntúan tu huella específica contra la distribución global; la EFF mantiene el sucesor canónico de Panopticlick con esa finalidad.

¿Qué es UA-Client Hints y mejora realmente la privacidad?

UA-Client Hints (UA-CH) es un draft del W3C (especificación del Web Incubator Community Group / WICG) que reemplaza la cabecera User-Agent legacy con un valor base congelado más cabeceras por opt-in. A partir de Chrome 89 (3 de marzo de 2021), Chrome y los navegadores derivados de Chromium envían Sec-CH-UA y Sec-CH-UA-Mobile por defecto; los sitios que necesiten versión del navegador, plataforma o detalles de arquitectura deben pedirlas explícitamente vía Accept-CH. Esto reduce el fingerprinting pasivo porque la cadena User-Agent ya no es de alta entropía — pero no previene fingerprinting vía Canvas, WebGL o fuentes. La mejora de privacidad es parcial: UA-CH restringe un eje (identidad del navegador) dejando los otros (renderizado, hardware) intactos. Firefox y Safari no han adoptado UA-CH con la misma profundidad que Chrome — Mozilla lo considera un cambio incremental más que una victoria fundamental de privacidad.

¿En qué difieren legalmente cookies y fingerprints y qué consentimiento aplica?

Las cookies caen bajo la Directiva ePrivacy 2002/58/CE Artículo 5(3) (modificada por la Directiva 2009/136/CE) que requiere consentimiento informado del usuario antes de almacenar o acceder a datos en el terminal del usuario — ese es el prompt que muestra cada sitio. Combinado con el Artículo 6 del RGPD (base legal: normalmente consentimiento para rastreo, interés legítimo para función esencial), esto da a los usuarios un punto de control. Los fingerprints de navegador no almacenan nada en el dispositivo — leen configuración que el navegador ya expone — pero el Artículo 5(3) se extendió en 2009 para cubrir también 'acceso a información', así que técnicamente el fingerprinting con fines de rastreo también requiere consentimiento. La aplicación es desigual. Do Not Track (una señal opt-out del lado del navegador propuesta en el W3C) perdió impulso porque pocos sitios lo respetaban; Apple deprecó DNT en Safari 12.1 (marzo de 2019) y el W3C cerró el grupo de trabajo Tracking Protection en enero de 2019.

Comprobación de Privacidad del Navegador

Q: ¿Cómo puedo reducir mi exposición al fingerprinting?

Existen tres caminos nativos del navegador. La preferencia privacy.resistFingerprinting de Firefox existe desde Firefox 41 (2015) dentro del proyecto Tor Uplift; el letterboxing — que aplica múltiplos de 200×100 px a las dimensiones de ventana — se incorporó en Firefox 67 el 21 de mayo de 2019. La preferencia también redondea performance.now() y los timestamps de animación a 16,67 ms, declara la zona horaria como UTC y falsea el User-Agent con un valor tipo Tor Browser. Intelligent Tracking Prevention de Safari (anunciado WWDC junio 2017, lanzado en Safari 11 septiembre 2017) mantiene las cookies de terceros accesibles durante 24 h tras la última interacción de origen del usuario, las particiona entre 24 h y 30 días y las purga tras 30 días de inactividad. Privacy Sandbox de Chrome propuso inicialmente Topics API para targeting de anuncios por intereses y FedCM para identidad federada; Google retiró Topics y Protected Audience en octubre de 2025, sobreviviendo FedCM y CHIPS. UA-Client Hints (Chrome 89, 3 de marzo de 2021) congela la cadena User-Agent y expone Sec-CH-UA / Sec-CH-UA-Mobile / Sec-CH-UA-Platform por opt-in. Las extensiones de navegador pueden falsear superficies adicionales pero rompen algunos sitios; el trade-off depende de tu modelo de amenaza.

Sobre esta herramienta

El fingerprinting de navegador construye un identificador único a partir de detalles de configuración que los sitios web pueden leer sin consentimiento explícito: User-Agent, resolución de pantalla, fuentes instaladas, WebGL renderer, Canvas, AudioContext y señales de hardware como núcleos de CPU. El estudio Panopticlick de Eckersley 2010 (How Unique is Your Web Browser?, PETS 2010) midió 18,1 bits de entropía identificadora entre cerca de medio millón de usuarios — 84% de navegadores tenían configuraciones únicas, distinguibles de uno entre 286.777 otros. Esta herramienta inspecciona lo que tu navegador actual expone: fugas de IP por WebRTC (que pueden burlar una VPN), camino del resolver DNS, firma de Canvas+Audio, renderer WebGL, enumeración de fuentes y especificaciones de hardware. Toda la inspección ocurre en local — ningún dato sale de tu navegador. Los resultados resaltan las superficies más arriesgadas para que apliques mitigaciones: privacy.resistFingerprinting de Firefox (v67+, mayo 2019, del proyecto Tor Uplift), Intelligent Tracking Prevention de Safari (desde Safari 11/iOS 11, septiembre 2017), Privacy Sandbox de Chrome (Topics API retirada octubre 2025; FedCM retenido), o extensiones que falsean señales. Las cookies caen bajo el consentimiento del Art. 5(3) de la Directiva ePrivacy, pero los fingerprints corren pasivamente — conocer el tuyo es el primer paso para reducirlo.

Cómo ejecutar un chequeo de privacidad

Abre la página — la herramienta inspecciona tu sesión de navegador actual automáticamente (sin entrada manual).
Revisa el reporte de superficies de huella: Canvas / AudioContext / WebGL / fuentes / pantalla + estado de fuga WebRTC + camino del resolver DNS.
Compara contra la línea base Eckersley 2010 (18,1 bits = 1 entre 286.777 unicidad) para estimar tu anonimato relativo.
Aplica mitigaciones por navegador: privacy.resistFingerprinting de Firefox, ITP de Safari, UA-CH + Privacy Sandbox de Chrome, o falseo basado en extensión.

Casos de uso comunes

Auditar un perfil de navegador endurecido antes de trabajo sensible en privacidad.
Confirmar que una configuración de VPN o Tor enmascara realmente las superficies esperadas.
Comprobar fugas IP por WebRTC que burlan el túnel VPN vía STUN.
Verificar que una extensión (Brave Shields, Privacy Badger, NoScript) entrega la mitigación esperada.

Preguntas frecuentes

¿Qué es el fingerprinting del navegador y cuán única es la mía?

Eckersley 2010 (Panopticlick, PETS) midió 18,1 bits de entropía en 8 características — 84% de navegadores eran únicos entre ~470.000 encuestados. Las bibliotecas modernas combinan 30+ señales alcanzando mayor unicidad.

¿Qué superficies del navegador contribuyen a la huella?

Canvas, AudioContext sampling, WebGL renderer, fuentes enumeradas, resolución + profundidad de color, idiomas, zona horaria, núcleos de CPU y User-Agent. La combinación es lo único — no un valor individual.

¿Cómo puedo reducir mi exposición al fingerprinting?

privacy.resistFingerprinting de Firefox (v67+, mayo 2019, proyecto Tor Uplift), ITP de Safari (desde Safari 11, septiembre 2017), Privacy Sandbox de Chrome + UA-Client Hints (Chrome 89, marzo 2021).

¿Qué es UA-Client Hints?

Un borrador del W3C que reemplaza la cabecera User-Agent heredada. Chrome 89 (3 de marzo de 2021) envía Sec-CH-UA y Sec-CH-UA-Mobile por defecto; los sitios deben solicitar versión/plataforma vía Accept-CH por adhesión explícita.

Cookies vs fingerprints — ¿qué consentimiento aplica?

Las cookies caen bajo el Art. 5(3) de la Directiva ePrivacy UE requiriendo consentimiento informado + Art. 6 del RGPD. Los fingerprints son pasivos pero la modificación de 2009 extendió el Art. 5(3) para cubrir también 'acceso a información'.

Por qué funciona el fingerprinting — y qué hace realmente cada mitigación nativa del navegador

Cada configuración de navegador es un vector de docenas de valores: User-Agent (cabecera enviada en cada petición), resolución de pantalla y profundidad de color (window.screen), fuentes del sistema (renderizadas vía Canvas measureText), cadena renderer WebGL (gl.getParameter), núcleos de CPU (navigator.hardwareConcurrency), idiomas preferidos (navigator.languages), zona horaria (Date.getTimezoneOffset), renderizado de píxeles en Canvas (refleja GPU + driver + versión de fuente) y salida de muestreo de AudioContext (características de DSP). Eckersley 2010 reportó 18,1 bits de entropía combinada en 8 características; las bibliotecas modernas combinan 30+ señales alcanzando mayor unicidad. Las estrategias de mitigación se apilan distinto. La preferencia privacy.resistFingerprinting de Firefox existe desde Firefox 41 (2015) dentro del proyecto Tor Uplift; el letterboxing — que ajusta las dimensiones de ventana a múltiplos de 200×100 px — se incorporó en Firefox 67 (21 de mayo de 2019). La preferencia también redondea los timers de alta resolución (performance.now()) a 16,67 ms, fuerza la zona horaria a UTC y falsea el User-Agent con un valor tipo Tor Browser. Intelligent Tracking Prevention de Safari (anunciado en WWDC junio 2017, lanzado en Safari 11 septiembre 2017) toma la vía cookies: las cookies de terceros son accesibles durante 24 h tras la última interacción de origen del usuario, se particionan entre 24 h y 30 días y se purgan tras 30 días de inactividad. Privacy Sandbox de Chrome propuso inicialmente Topics API para targeting de anuncios por intereses y FedCM para identidad federada; Google retiró Topics y Protected Audience en octubre de 2025, dejando FedCM y CHIPS como componentes supervivientes. UA-Client Hints (Chrome 89, 3 de marzo de 2021) reduce la superficie del User-Agent congelándolo y exponiendo Sec-CH-UA / Sec-CH-UA-Mobile / Sec-CH-UA-Platform por opt-in.

Inspección de superficies susceptibles de fingerprinting en el navegador (Canvas, WebGL, AudioContext, fuentes, UA, pantalla, hardware)
Detección de fugas IP WebRTC (exposición de IP real basada en STUN)
Inspección del camino del resolver DNS (texto plano vs DoH/DoT cifrado)
Línea base de entropía Eckersley 2010 (18,1 bits / 8 características / n≈470.000)
Guía de mitigación por navegador (flags nativos Firefox/Safari/Chrome)
Análisis solo en cliente (ningún dato de huella sale de tu navegador)

Gratis. Sin registro. Las tools de navegador (subred, JWT, fuerza de contraseña) corren localmente; las de consulta usan APIs públicas (Cloudflare DoH, RDAP, registros de certs). Detalle por herramienta en /es/methodology/.

Fuentes (6)

Eckersley, P. (2010). How Unique Is Your Web Browser?. Privacy Enhancing Technologies Symposium (PETS) 2010, LNCS 6205, Springer Berlin Heidelberg, pp. 1–18.
Mozilla (2019). Resist Fingerprinting (privacy.resistFingerprinting preference, Firefox 67+ from Tor Uplift project). support.mozilla.org/kb/resist-fingerprinting + Bugzilla 1333933.
Apple Inc. (2017). Intelligent Tracking Prevention. webkit.org/blog (announced WWDC June 2017, shipped Safari 11 / iOS 11 September 2017).
W3C / WICG (2021). User-Agent Client Hints. wicg.github.io/ua-client-hints (shipped Chrome 89, March 2021).
European Parliament & Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). Article 6 lawful basis for processing, eur-lex.europa.eu.
European Parliament & Council (2002). Directive 2002/58/EC (ePrivacy Directive), amended by Directive 2009/136/EC. Article 5(3) terminal device data consent, eur-lex.europa.eu.

Son los RFCs del IETF, las publicaciones del NIST y los estándares del W3C que la herramienta implementa o consulta. Localízalos en el IETF Datatracker (datatracker.ietf.org) o en el organismo correspondiente.

Por Marco B. · Última verificación junio 2026 — corre en tu navegador