La huella digital de los dispositivos o «fingerprinting» es un tema que preocupa a la AEPD. A estos efectos ha elaborado un completo informe en el que analiza las posibilidades de rastreo de los usuarios a través de este sistema en sus dispositivos móviles. Una materia de actualidad que desde aquí se intentará explicar brevemente.
Para la realización de este estudio la AEPD ha analizado nada menos que 14.000 páginas que utilizan este tipo de técnicas para configurar perfiles, identificarlos y proceder al rastreo de datos. En el estudio se recogen consejos a los usuarios para evitarlo. También contiene ciertas recomendaciones a empresas que explotan estos datos y desarrolladores de las aplicaciones que lo posibilitan.
¿Qué es la huella digital o fingerprinting?
Hay un conjunto de datos que son capaces de identificar un dispositivo móvil como único. A este conjunto de datos es a lo que se denomina la huella digital, por analogía con la huella dactilar humana que es única.
Teniendo identificado el dispositivo como único, es fácil, recabando más datos, establecer un completo perfil del usuario al que pertenece el mismo, ya que estos dispositivos suelen ser de uso personal.
¿Qué tipo de datos se recopilan a través de la huella digital?
La recopilación de datos no se limita solo a saber cómo navega el usuario o las búsquedas que realiza en Internet. El análisis es tan exhaustivo que consigue detallar qué movimientos hace el usuario con el ratón y donde se detiene, además de cuestiones como su geolocalización, los plugins y apps que tiene instalados.
¿Qué alcance tiene en cuanto a protección de privacidad?
La protección de la privacidad queda tan expuesta que es casi imposible desligarse de este seguimiento si es que llega a percibirse.
Al contrario que las cookies que se pueden borrar y el vínculo de seguimiento por parte de la web termina, la huella digital es imborrable. Pero, además, en caso de que se borren las cookies es capaz de restablecerlas. De hecho se ha llegado a denominar a este sistema como «cookieless monsters».
Como se puede apreciar, el sistema es absolutamente invasivo. El grado de seguimiento es absoluto e individualiza perfectamente cada dispositivo. Por si esto fuera poco, todo se hace de una forma totalmente transparente lo que impide que el usuario pueda tomar medidas para que no ocurra.
¿Qué legitimidad tienen las webs para realizar este tipo de seguimientos con huella digital?
En realidad hay ciertos usos legítimos de la huella digital. Por ejemplo, cuando son parte integrante de mecanismos que se orienten a la autenticación por factor múltiple que sirven a los bancos, entre otros, para verificar sin lugar a duda que el usuario que accede al sistema es el autorizado inequívocamente. Pero esto es solo una excusa, en algunos casos, para realizar un seguimiento inadecuado de los hábitos del usuario en su navegación web.
¿Qué elementos facilitan la implantación de estos sistemas de seguimiento?
Tener instalado JavaScript o Flash facilita sensiblemente la instalación de estos sistemas en los dispositivos y su funcionalidad. Pero una de las cuestiones que más facilita este tipo de procedimientos es la relajación que tiene el usuario generalmente a la hora de definir su seguridad y configurar la privacidad de su dispositivo y los navegadores.
¿Qué medidas puede tomar el usuario para reducir el riesgo de estos seguimientos?
Entre las medidas que el usuario puede poner en marcha en su dispositivo para evitar que se establezca un perfil mediante huella digital del mismo la Agencia Española de Protección de Datos aconseja las siguientes en el propio informe:
– Establecer la opción de Do Not Trak, no realizar seguimiento, en el navegador de su dispositivo móvil. Hay que advertir que esta orden de no seguimiento no es seguida por igual por todos los navegadores.
– Instalar bloqueadores. Estos permiten a los usuarios desactivar la aparición de publicidad y frenar el seguimiento. La habilitación de bloqueadores se realiza a través de las extensiones o add ons del navegador. La ventaja de los bloqueadores es que, en las pruebas realizadas por la AEPD para este estudio, han demostrado su efectividad.
– Deshabilitar JavaScript. Esto evita gran parte de las capturas e impide la navegación en determinadas webs potencialmente peligrosas.
– Alternar el uso de navegadores. Más que una medida se trata de establecer un hábito efectivo. El hecho de alternar los navegadores hace más difícil el poder trazar un perfil único e inequívoco.
– Reducir la instalación de otro tipo de extensiones en el navegador. Esto es debido a que, precisamente, estas extensiones son utilizadas para establecer el perfil único. Cuanto más se aleje el navegador de la configuración original más especial se vuelve.
Una de las cuestiones en las que hace hincapié la AEPD es la necesidad de configurar adecuadamente la privacidad en los dispositivos. Huir de técnicas simplistas que no evitan los seguimientos, como la navegación privada o de incógnito, y asesorarse correctamente sobre cómo proteger los dispositivos. De otra forma la vulnerabilidad es muy elevada.
