¿Qué es la huella digital en internet y cómo funciona?

Quizás no lo sepas, pero el navegador web que estás utilizando para acceder a esta página es un cofre del tesoro lleno de datos.
Se conoce como huella digital a monitorear y entender esos datos. Como veremos en este artículo, se trata de una herramienta fantástica para reducir las tasas de fraude en tu empresa

¿Qué es la huella digital en internet?

En la vida real, tus huellas dactilares son únicas y te identifican como individuo. En el mundo online, las configuraciones del navegador pueden identificar a los individuos. Mientras que mucha gente utiliza los mismos navegadores, sus configuraciones de hardware y software son tan variadas que pueden actuar como identificaciones de usuario.

La huella digital del navegador te permite obtener información granulada acerca de cada uno de los parámetros de esta configuración. Por ejemplo, es posible que puedas saber qué idioma predeterminado seleccionó el usuario en su navegador, visualizar qué fuentes están instaladas y más. Puedes leer una lista más completa de estos puntos de información más abajo.

La clave está en obtener la mayor cantidad de información posible acerca de quién es el visitante de tu sitio web con base en la configuración de su navegador. Esto es particularmente útil en el contexto de la prevención de fraude y la ciberseguridad, donde ciertos parámetros pueden apuntar instantáneamente a configuraciones sospechosas. Por ejemplo, la huella digital del navegador puede detectar cuando los usuarios hacen uso de herramientas de emulación o suplantación de identidad, lo cual debería incrementar tu sospecha respecto a sus intenciones en tu sitio web. 

Debido a que estas “huellas dactilares” tienden a ser únicas, también pueden actuar como identificaciones de usuario. Esto permite a mercadólogos y publicistas monitorear usuarios a lo largo de la web, y enviar contenido específico basado en su actividad online.

El último aspecto a considerar es que la huella digital del navegador

es una práctica algo controvertida, por lo que numerosos grupos defensores de la privacidad han desarrollado técnicas y herramientas anti monitoreo y anti huella digital.

¿Qué datos se recolectan?

Las herramientas de huella digital del navegador recolectan datos que se relacionan con las configuraciones de software y hardware de los usuarios, lo que incluye:

Lo anterior es únicamente una muestra de cuántos parámetros se toman en consideración para crear una huella digital.

¿Cómo funciona la huella digital?

La huella digital funciona usualmente añadiendo un fragmento de código JavaScript a tu sitio web o al código de tu aplicación web. Esto le permite a tu empresa o proveedor externo extraer los datos de navegación y almacenarlos.

En Seon, contamos con tres métodos distintos, cada uno con sus pros y sus contras.

Hash del navegador

El hash del navegador genera una identificación al observar todos los puntos de información de la huella digital tales como el agente de usuario, sistema operativo, configuración de ventanas, pantallas, fuentes y mucho más. 

• Pros: El hash no cambia incluso si el usuario borra su caché y cookies o utiliza modo incógnito. 
• Contras: Diversos navegadores (e.g. Edge, Chrome y Firefox) generarán diferentes hashes en la misma computadora. Incluso la actualización de un navegador forzará la creación de un nuevo hash.

Hash de cookie

Se crea una nueva identificación con cada sesión de navegador. 

• Pros: Es fácil comprobar que múltiples usuarios son la misma persona si comparten el mismo hash de cookie. 
• Contras: Borrar el caché y los cookies del navegador genera un nuevo caché.

Hash de dispositivo

Esta identificación se crea a partir de los datos de hardware tales como el lienzo HTML5, GPU, huella digital acústica, presencia de soporte para pantallas táctiles, entre otros.

• Pros: Identificación única basada en la suma de los puntos de información que se relacionan con el dispositivo. Las herramientas de estafadores tales como AntiDetect o FraudFox generarán el mismo hash, lo cual puede probar el uso de una máquina virtual, un emulador o una conexión de escritorio remoto. Las extensiones utilizadas para la suplantación de identidad en un dispositivo también generarán una identificación única, lo que incrementa la sospecha. 
• Cons: Se generan muchas menos identificaciones únicas, ya que cualquier persona con el mismo teléfono o laptop y la misma versión de navegador generará los mismos hashes. 

Como puedes ver, siempre es mejor combinar los tres hashes para darse una mejor idea de quiénes son los usuarios. Los métodos anteriores de detección de fraude sólo observaban el hash de cookie o el agente de usuario, pero los defraudadores actuales son demasiado hábiles como para caer ante esos métodos.

¿La huella digital del navegador es legal?

Sí, la huella digital del navegador es legal ya que toda la información recabada se considera como pública y no incluye datos personales de ningún tipo. Sin embargo, hay que tener en cuenta que la solución de fraude que recolecta los datos debe cumplir con todas las legislaciones aplicables. Por ejemplo, SEON cumple completamente con el GDRP y cuenta con la certificación ISO-27001.

¿Qué es la huella digital de multi-navegador?

Mientras que la huella digital estándar depende de qué navegador utilice la persona, el método llamado huella digital de multi-navegador ha permitido que los investigadores identifiquen a personas basándose únicamente en el hardware. 

Este desarrollo podría tener consecuencias drásticas tanto para los usuarios enfocados en la privacidad como para las compañías de prevención de fraudes. Ten en cuenta, sin embargo, que varios de los métodos e innovaciones presentadas por los investigadores en la huella digital de multi-navegador ya han sido integrados a soluciones de huella digital en internet. Esto incluye algunos de los puntos de información de huella digital de SEON, los cuales seguimos actualizando.

Los beneficios de la huella digital del navegador

Como una tecnología, la huella digital del navegador puede ofrecer numerosos beneficios a negocios.

Identificar usuarios

Es muy probable que cada configuración de software y hardware de usuario sea única. Esto significa esencialmente que esta configuración que te permite identificar la huella digital registrada por el usuario y conocer mejor tus usuarios.

Una vez que identificas al usuario, puedes monitorear sus movimientos a lo largo de tu sitio. También es útil saber si se trata de visitantes recurrentes. 

Presentar contenido a la medida

Uno de los beneficios clave de tener una identificación de usuario factual es que puedes ofrecer tu contenido de usuario específico. Esto puede ser desde páginas web geolocalizadas o redirigirlas hacia recursos apropiados.

Lo mismo aplica para la mercadotecnia dirigida. Una vez que sabes que estás tratando con un cliente leal, puedes enviarle ofertas únicas tales como bonos, puntos de lealtad o descuentos especiales.

Bloquear intentos de robo de identidad

Los ataques de robo de identidad en internet suceden cuando alguien ingresa a una cuenta que no le pertenece. Pero si lograste crear una identificación para el titular original de la cuenta, se vuelve mucho más sencillo detectar los inicios de sesión sospechosos. 

Por ejemplo, un nuevo inicio de sesión desde un dispositivo y una geolocalización nunca antes vistos podría aumentar tu sospecha. 

Hay que tomar en cuenta que una herramienta anti fraudes eficiente no bloqueará todos los inicios de sesión en nuevos dispositivos porque a veces, se tratará simplemente de alguien que ingresa desde un nuevo dispositivo móvil o computadora. La clave está en que debes saber cuándo solicitar autenticación adicional, con base en una combinación de puntos de información y lo que significa cada uno.

Descubrir conexiones entre usuarios

Cuando las configuraciones de varios usuarios son similares, puedes deducir que estás tratando con una misma persona que intenta un ataque de cuentas múltiples.

En el contexto de la prevención de fraudes, esto te permite prevenir problemas tales como el abuso de bonos. Las compañías de iGaming y los casinos online tienen un incentivo adicional para bloquear el juego colusivo entre grupos o jugadores (o una persona que pretende ser múltiples jugadores).

Marcar conexiones sospechosas

Finalmente, un uso fundamental de la huella digital es ayudar a revelar configuraciones de usuario sospechosas. Esto incluye cualquier tipo de configuración que apunte a:

• Emuladores y herramientas de suplantación de identidad: software diseñado para enmascarar los datos reales y replicar las configuraciones de otro equipo.
• Uso de VPN, proxy y Tor: software diseñado para ocultar la dirección IP real y enrutar el tráfico del usuario a través de otra red.

Una vez más, estos tipos de puntos de información no serán siempre puntos de fraude. Pero debes estar sumamente atento a estos usuarios.

Las deficiencias de la huella del navegador

Mientras que esta huella digital es una forma fantástica de darse una idea de quiénes son los visitantes de tu sitio, no es una varita mágica. He aquí las razones:

Los datos tienen una vida útil corta

Ésta es un área en la que recomendamos a los gestores de prevención de fraude prestar particular atención. Muchas compañías de prevención de fraude se enorgullecen por su capacidad de monitorear cientos o miles de puntos de datos en línea de huella digital. 

Pero la capacidad de rastrear más datos personales no siempre es lo mejor si esa información está obsoleta. Un enfoque más audaz y mejor es encontrar y enriquecer los puntos recientes con otros módulos de prevención de fraudes para crear una solución de detección de fraudes de múltiples capas para proteger tu negocio y a tus usuarios. 

Los defraudadores son suficientemente expertos

El mero hecho de que existe software específicamente diseñado para suplantar dispositivos, navegadores y sistemas operativos muestra claramente que los defraudadores tienen experiencia con la huella digital en línea. Harán todo lo posible para manipular los datos para ocultar su identidad en el mundo real.

Por su puesto, para los buenos, la pelea consiste en identificar estos métodos de suplantación y establecer técnicas apropiadas de rastreo. Un ejemplo de esto en años recientes fue cuando se entendió que la huella digital del navegador del tamaño del lienzo puede ayudar a identificar un fraude, puesto que los agentes maliciosos tienden a redimensionar sus navegadores para trabajar en varias plataformas al mismo tiempo.

Los usuarios regulares están más preocupados por la privacidad

El auge de los navegadores enfocados en la privacidad como Brave o Firefox muestra que los usuarios no disfrutan al ser rastreados. Estos navegadores y otros, tales como la última versión de Microsoft Edge, implementan características de privacidad en su código. Por ejemplo, desactivando JavaScript, bloqueando el rastreo de píxeles y el rastreo de cookies de forma predeterminada o admitiendo únicamente HTTPS. 

Abundan las opciones anti-rastreo para los los usuarios generales, tales como el navegador Tor, NoScript (el cual desactiva JavaScript en todos lados), Ghostery (que te permite bloquear y auditar tu huella digital) o docenas de herramientas de bloqueo publicitario que regularmente encabezan las listas de las extensiones más descargadas en cualquier tienda de aplicaciones. 

Y mientras que el público en general no es suficientemente experto en tecnología para desplegar las herramientas apropiadas, existe una sensación general de que la privacidad de datos es importante y de que el monitoreo representa una amenaza. Tal como reporta el Pew Research Center, el 81% de los ciudadanos en Estados Unidos creen que no tienen el suficiente poder sobre cómo las compañías monitorean sus datos. El mismo porcentaje cree que los riesgos sobrepasan los beneficios, lo que podría traer un incremento en tecnologías para el consumidor diseñadas para atender estas inquietudes. 

La recolección de datos necesita ser reconocida

Existen problemas de recolección de datos y privacidad que podrían incrementar con herramientas de huella digital del navegador y el canvas fingerprinting. 

Es por ello que debes asegurarte de que tu solución de huella digital en internet cumpla con las leyes y regulaciones locales. Al ser una práctica legal, necesitas reconocer cualquier huella digital en tus términos y condiciones, ya que algunos visitantes podrían optar por rechazarlas (tal como sucede en una política de cookies). 

¿Qué es un navegador con anti huella digital?

Es importante saber que cada vez que los gestores de riesgos despliegan nuevas características de la huella digital del navegador, los defraudadores organizados crean herramientas diseñadas para confundirlos. 

Esto es particularmente evidente con el auge de los navegadores anti huella digital o las herramientas de suplantación de navegador, que se despliegan para emular otras configuraciones. Los defensores de la privacidad también los recomiendan a aquellos que buscan evitar la publicidad dirigida o simplemente reducir la recolección de datos personales.

8 características de la huella digital del navegador para prevenir el fraude

La huella digital del navegador es un proceso, lo que significa que diferentes herramientas pueden ofrecer resultados similares. Echemos un vistazo a las características estándar y veamos cómo funcionan.

Hashing

Todos los datos devueltos por la huella digital en línea se procesan a través de una función de hash. Esto es una larga cadena de letras y números que convierte datos de dimensiones arbitrarias en valores de dimensión fija. Esto hace más fácil registrar, encriptar, analizar y comparar la información.

Por ejemplo, SEON trabaja con cientos de parámetros, pero únicamente tres tipos de hashes: hash de cookie, hash de navegador y hash de dispositivo. 

Canvas fingerprinting

Los sitios web escritos en HTML5 contienen un elemento de código llamado lienzo (canvas). Este elemento se utiliza para dibujar gráficos en una página web. También genera datos tales como el tamaño de fuente o la configuración activa de colores de fondo, los cuales son relevantes al momento de crear una identificación de usuario única para monitoreo. Es la característica más poderosa de la huella digital del navegador.

• La huella digital de lienzo de HTML5 detecta: las fuentes instaladas en el cliente, el tamaño de fuente del navegador, el color de fondo activo, la tarjeta gráfica, el sistema operativo y más.

La huella digital de HTML5 se usa como técnica de prevención de fraudes gracias al hecho de que la misma imagen de lienzo puede representarse de manera distinta en diferentes computadoras.  

Huella digital de WebGL

Tal como los elementos del lienzo, WebGL es un API de JavaScript que representa imágenes y gráficos en una pantalla. Una imagen es representada con una dimensión fija y, ya que diferentes GPUs utilizan diferentes algoritmos para representarla, es posible estimar el tipo de tarjeta gráfica que el usuario tiene instalada.

• La huella digital de WebGL detecta: el modelo de tarjeta gráfica, la resolución de la pantalla…

Detección de agente de usuario

Un agente de usuario, o UA, es una parte del software diseñada para identificar un navegador con el sitio web. Es una línea que, cuando es detectada por el sitio, puede mostrar contenido personalizado para navegadores en específico. 

Hay algunas advertencias sobre la detección de agente de usuario, todas relacionadas con la forma en que se utilizan estos puntos de información en el mundo real. Primero, los desarrolladores web se basan usualmente en herramientas de cambio de agente de usuario para previsualizar cómo lucirá un sitio en una variedad de dispositivos. Los defraudadores utilizan el mismo tipo de herramienta para suplantar un navegador. Los navegadores web predeterminados de Android utilizan el mismo agente de usuario que Safari para hacer más fácil la compatibilidad. Google también está depreciando los agentes de usuario en su navegador Chrome. 

Aún así, la detección de agente de usuario es una parte integral de la huella digital del navegador y sigue siendo útil cuando se le considera en conjunto con otros elementos. 

• La detección de agente de usuario revela: el nombre, versión y número de versión del navegador.

Huella digital de audio

Producir sonido desde un navegador móvil y la pila de audio de un dispositivo es sorprendentemente complejo. En la huella digital de audio, un sitio web utiliza el API AudioContext para enviar un sonido de baja frecuencia desde el navegador al dispositivo, y mide cómo el dispositivo procesa esos datos. Esto ayuda a informar cómo procesar el audio, pero el audio no se graba, recaba o reproduce, por lo que no es necesario el acceso al micrófono o los altavoces. Y aún así, esta técnica puede informar una huella digital con múltiples parámetros y valores.

• La huella digital de audio detecta: el valor del AudioBuffer, el valor del DynamicsCompressor…

Huella digital del dispositivo

Las compañías que crean aplicaciones móviles específicamente para sistemas operativos de smartphones pueden utilizar un SDK(kit de desarrollo de software) para obtener información adicional acerca de los dispositivos, ya sea que estén fabricados por Apple, Samsung o algún otro fabricante. 

• Dichos productos de huella digital del dispositivo móvil detectan: dirección MAC, número de serie (solo Android), zona horaria del dispositivo, vida de la batería, detalles del CPU…

Detección de Tor

De forma predeterminada, Tor hace que cada usuario tenga exactamente la misma huella digital. Esto asegura que las compañías carezcan de la información de huella digital de Tor, lo que a fin de cuentas le proporciona a los defraudadores anonimidad ante soluciones básicas de prevención de fraudes. 

Sin embargo, la detección de Tor funciona al realizar una prueba para verificar que la dirección IP del usuario coincide con un nodo de salida conocido de Tor, y de ese modo determinar si el usuario está utilizando Tor. Mientras que un usuario de Tor podría no tener una intención maliciosa, los usuarios de Tor deberían marcarse como de alto riesgo de forma predeterminada debido a la alta probabilidad  de actividad fraudulenta. 

Detección de Selenium

Selenium es una herramienta de código abierto que automatiza navegadores, que fue originalmente dirigida a ayudar en las pruebas de aplicaciones web. Selenium es muy fácil de configurar y permite a los usuarios ejecutar acciones programadas de forma distribuida. 

Aunque es una herramienta útil para desarrolladores, también es una de las herramientas preferidas por los agentes maliciosos que quisieran extraer datos de tu sitio web. Por ejemplo los scalpers o acaparadores de boletos. Desafortunadamente, estas personas están incentivadas a ocultar lo que hacen, y necesitas ser proactivo para detectarlas. 

Mientras Selenium es difícil de detectar, puedes utilizar JavaScript para comprobar evidencias del WebDriver, la tecnología detrás de esta herramienta. De hecho, nuestra próxima actualización de reglas marcará automáticamente como riesgosos a los navegadores que estén automatizados, lo que te permitirá bloquear el tráfico de bots y el abuso de servicios.

Cómo realiza SEON la huella digital en internet

En SEON, tuvimos la gran suerte de desarrollar nuestro módulo de huella digital en conjunto con Gábor Gulyás, un pionero en la huella digital de dispositivos. Su experiencia nos ayudó a crear una huella digital basada en cientos de parámetros. Sin embargo, también recomendamos combinar nuestro módulo con otros métodos de detección de fraude, tales como:

• Búsqueda de redes sociales, que recolecta datos de redes sociales para enriquecer tu entendimiento de la gente en tu sitio.
• Búsqueda invertida de teléfonos y correos electrónicos para enriquecer y crear un mejor análisis de huella digital en línea. 
• Análisis de Ip y detección de proxy para asegurar que entiendes más respecto a las conexiones entre visitantes. 
• Aprendizaje automático (Machine learning), el único motor lo suficientemente poderoso para observar todos los datos a escala y sugerir reglas de riesgo confeccionadas para tu modelo de negocio.

Todos los módulos de huella digital en internet están disponibles como parte de la plataforma SEON, y fueron diseñados por expertos en prevención de fraudes para negocios de cualquier vertiente. Para ver cómo ayudamos a reducir los costos y pérdida de recursos por fraude en un 70% a 80% sin sacrificar la experiencia de usuario, solicita una prueba gratuita de SEON.

Preguntas Frecuentes

Recursos externos

• Cover Your Tracks: About Us
• Pew Research Center: Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information
• Tom’s Guide: The best ad blockers in 2021