¿Qué es el Fingerprinting o Huella Digital del Dispositivo?

Actualmente, detrás de la mayoría de los servicios web en los cuales se nos presta un servicio totalmente gratuito, nos encontramos con que, a cambio de esto, en la mayoría de los casos se rentabiliza la información de los usuarios, recogida a través de servicios de marketing, los cuales dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio.

Por lo tanto, además de identificar al usuario y realizar un seguimiento y recopilación de sus datos, se le perfila con la finalidad de poder maximizar la eficacia de la publicidad que se nos ofrece.

Una de las técnicas de seguimiento, ya conocida por todos, son las cookies, las cuales como ya sabemos, se trata de archivos creados por un sitio web, que contienen pequeñas cantidades de datos y que se envían entre un emisor y un receptor. A este respecto referenciamos una serie de artículos de nuestro blog que pudieran ser de interés, para conocer más sobre el tema pincha en los siguientes aquí y aquí. Sin embargo, nos encontramos ante un mercado muy dinámico, por lo que los diversos agentes implicados en el mercado de internet no cesan en la investigación de nuevas formas de recopilación y explotación de datos de los usuarios.

¿Cuáles son estas nuevas técnicas de seguimiento? En concreto en este artículo nos centraremos en el análisis de la técnica del fingerprinting.

El fingerprinting o la huella digital del dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario con el propósito de perfilarlo.

Es decir, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal.

Cabe añadir, que las técnicas de identificación mediante huella digital del dispositivo se llegan a describir como “cookieless monster”. Esto es así, dado que no es necesario instalar ningún tipo de cookie en el dispositivo para recoger toda la información del usuario, y si esto sucede de forma totalmente transparente al usuario, éste no puede tomar medidas para evitarlo.

En relación con la obligación de información, que encontramos regulada en el art.22 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas, que permiten al usuario dar su consentimiento para el uso de cookies. Sin embargo, no es tan común en la actualidad encontrar información para el usuario sobre el uso de técnicas basadas en la huella digital para el perfilado del usuario.

Atendiendo a esta información, existen numerosas propiedades que se pueden recopilar de un dispositivo a través del navegador web y que permiten recoger información suficiente para que, en determinadas situaciones, se pueda identificar unívocamente al terminal, como hemos mencionado antes.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo como son, por ejemplo:

 -El tipo, versión y configuración personal del navegador.
 – Información sobre las aplicaciones instaladas.
 -Idioma.
 -Zona horaria.
 -Dirección IP.

En base a esto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha redactado un estudio sobre este tema, si quieres visualizarlo integro pincha aquí , en el cual nos habla en uno de sus puntos del nivel de identificación que puede alcanzar esta técnica, en el cual hace referencia a lo siguiente:

Es necesario comenzar aclarando que cada una de las técnicas de huella digital del dispositivo por separado, no permitiría la particularización de un dispositivo o del individuo que lo utiliza.

No obstante, cuando se combinan estas técnicas con el único objetivo de particularizar un dispositivo, la cantidad de información que se consigue en este caso, sí que ayuda a que se realice una individualización, bien del dispositivo o bien del individuo que lo está utilizando.

Actualmente, se estima que hay unos 4.000 millones de ordenadores, smartphones y otro tipo de terminales en el mundo, de los cuales, con un conjunto suficiente de datos discriminantes, se pueden llegar a individualizar todos ellos, y precisamente esto es lo que hace el fingerpringting.

A todo ello, cabe añadir que esta práctica se realiza de forma masiva, ya que todo terminal que se conecte a una página web que use esta técnica, quedará identificado para siempre en ese servidor. Todo esto a nivel global, ya que recordemos que el alcance de internet es planetario.

Con relación a todo lo que hemos referenciado hasta ahora, la AEPD en el mencionado informe ha realizado una interesante evaluación de nivel de identificación, en la cual habla de una serie de proyectos de investigación que permiten comprobar si un navegador/dispositivo es potencialmente identificable mediante el fingerpringting.

En estos estudios realizados en 2018 por la AEPD, dirigidos al público español, se ha utilizado la herramienta OpenWPM. Esta herramienta permite automatizar parcialmente el estudio y así poder conseguir indicadores del empleo de técnicas fingerprinting. Si bien es cierto, que de este modo no se determina si la página esta usando 100% estas técnicas, sí que se puede deducir que en dicho servicio web se están empleando potencialmente.

También hemos de tener en cuenta que nos encontramos ante dos procesos distintos:
-Por un lado, el que se utilicen estas funciones para extraer información del usuario.
-Por otro lado, el uso o procesamiento de esa información que pueda realizar el servidor.

Además del uso de la herramienta antes mencionada OpenWPM, también han sido usadas otra herramientas en forma de plugins específicos así como otros navegadores desarrollados para potenciar la privacidad de los usuarios con el objetivo de validar las detecciones realizadas automáticamente con Open WPM.

No obstante, en este estudio que realiza la AEPD incorpora también una serie de recomendaciones, que nos pueden ayudar a evitar el uso de esta técnica con nuestros dispositivos. De este modo se puede evitar el uso de la huella con fines de seguimiento y perfilado, estas medidas serían las siguientes:

-Utilización de la opción Do Not Track del navegador.
– Instalación de bloqueadores.
– Deshabilitar el uso del Javascript.
– Alternar el uso de navegadores.
– Navegación privada.
– Utilización de redes de anonimizarían o VPN´s.

Finalmente, de la información que hemos expuesto en los apartados anteriores, queremos resaltar a modo de conclusión los problemas del fingerpringting:

– Estas técnicas recogen datos del equipo del usuario, de forma general, sin su conocimiento ni consentimiento. Por lo tanto, no se está cumpliendo con una obligación legal.

– El conjunto de los datos recabados puede ser tan extenso, que identifique unívocamente al usuario, y cabe resaltar que entre esos datos pueden encontrarse algunos de los definidos como de categoría especial según el Reglamento General de Protección de Datos, (en adelante,RGPD).

– No se proporcionan herramientas para poder evitar esta recogida de datos, ya que una vez iniciado el acceso a la pagina de internet, el servidor ya tiene toda la información de su fingerprint.

– El usuario no dispone de medios para ejercer los derechos establecidos en el RGPD (arts.15 a 22) cuando se recogen o asocian datos personales.

Por lo tanto, el tratamiento de datos mediante técnicas de huella del dispositivo debería de seguir, en todo caso, los criterios recogidos en la Guía del Uso de Cookies de la AEPD y lo establecido en el RGPD, en lo que respecta a los tratamientos de datos de carácter personal.