La huella digital de tu conexión

Se ha hablado mucho ya en el pasado del Proyecto Panopticlick de la Electronic Frontier Foundation, que trata de identificar de forma única un navegador entre un mar de usuarios conectándose a Internet pero yo quería dedicarle una entrada hoy para introduciros en el proyecto Japi Tracing que han hecho mis alumnos del Master de Seguridad de la UEM para “tracear usuarios al estilo Google”. Vayamos al tema.

Huella digital de la conexión

Un navegador, en pro de la usabilidad máxima de un interfaz de usuario web, permite que por medio de JavaScript, Java, Flash y un montón de plugins, se acceda a información del navegador aparentemente inofensiva, como son la resolución de la pantalla, el valor del campo User-Agent, el idioma del sistema operativo, si acepta o no acepta cookies, las fuentes cargadas en el sistema o los plugins activados en el navegador. Todos estos valores, de por sí, no ofertan información sensible aparente para la seguridad y la privacidad del usuario... pero.... ¿es esto así?

Lo curioso de esto es que, algo tan tonto como las fuentes del sistema se ve afectado por el software que está instalado en el equipo, es decir, que conociendo determinadas fuentes se puede conocer qué programa o programas se han instalado en el equipo. Sin embargo, eso no es lo importante en este caso, sino que dos equipos gemelos, dependiendo de qué programas hayan instalado van a terminar con un conjunto de fuentes distintas, que los diferenciarán uno del otro.

Así, en el Proyecto Panopticlick se identifica, siguiendo unas métricas, cuál es la probabilidad de que otro equipo tenga las mismas fuentes activas en una conexión del navegador. En mi caso, 1 de cada 125.609 equipos tienen las mismas fuentes que yo. Teniendo en cuenta el idioma de mi sistema operativo, la versión, la resolución, el valor de User-Agent, si tengo activadas las cookies y la región geográfica desde la que me conecto, esta información me hace prácticamente único en España.

Luego, esos datos conforman la huella digital de mi conexión en un instante de tiempo. Es cierto que mi huella digital puede cambiar a medida que se instala nuevo software o se cambia la configuración del sistema, y que un usuario puede contar con varias huellas digitales de conexión si utiliza varios navegadores, pero aún así, el abanico de huellas puede ser muy reducido y lentamente cambiante.

¿Qué navegador me hace más traceable?

Yo he hecho el test con tres navegadores distintos, y el que me hace más “unico” y por tanto más traceable es Apple Safari, que me obtiene que solo 1 de cada 1.758.530 equipos tienen la misma configuración que yo. Es decir, que aquí en España, que somos unos 30 millones de navegantes, solo hay unas aproximadamente 20 personas como yo que tienen mi misma huella digital de conexión cuando me conecto con Safari. Pocas, pocas.

Volviéndonos paranoicos

Ahora, hagámoslo más fácil para el “vigilante”. Supongamos que tenemos una cuenta de... no sé, Google, Facebook o WindowsLiveMail y que nos hayamos conectado a ella desde nuestro equipo habitual, con nuestro navegador habitual... y que estos servicios guardan en los logs de conexión nuestras huellas digitales de conexión.

En este hipotético caso, existiría un "registro de huellas digitales de conexión” asociadas a nuestro perfil. Si ahora nos desconectamos de nuestra cuenta y nos conectamos a otro sitio que ha recogido estos datos con un simple javascript (como los muchos que cargan todas las webs de hoy en día), ¿podría saberse quién fue el que se conectó? Pues, evidentemente, si se cruza esa huella de conexión digital con la base de datos de usuarios y huellas se podría llegar a saber.

Ahora imaginate una película de ciencia ficción

Si alguien tiene monitorizados los logs de “huellas de conexión” podría estar buscando la huella de un usuario en concreto, saber desde qué dirección IP se ha conectado, llamar al ISP y obtener la ubicación GPS de esa dirección en minutos y...¿apuntar los satélites a esa zona geográfica?

Desde que se conocen este tipo de sistemas, Javascript y los plugins de lo que sea, se han hecho muy poco amigos de los amantes de la privacidad de los usuarios, pero... ¿Se puede vivir sin javascript y sin plugins? Pues en un porcentaje pequeño de sitios sí que se puede vivir y la funcionalidad permanece intacta, pero en otro montón de sitios no se puede, incluidos sitios de la administración pública – yo me quejo de la Española – donde deberían estar mucho más restringidos – y fomentan que los usuarios habiliten javascript y los plugins, aumentando la facilidad de encontrar usuarios voluntariosos de dar información de su huella digital de conexión.

Prueba tu huella, y comprueba cuánto de traceable eres a partir de tus diferentes navegadores, y recuerda, si haces algo malo... puede que te incrimine tu huella digital, así que revisa tus procesos de anonimato.