¿Qué es el device fingerprinting?
Los fabricantes de navegadores como Apple, Brave y Mozilla han intentado acabar con el fingerprinting como táctica para recopilar información para identificar los dispositivos de las personas online. Y, sin embargo, este método sigue utilizándose. Publicado originalmente el 30 de agosto de 2019, hemos actualizado este artículo para ilustrar qué es el fingerprinting.
La cookie es el método más conocido para identificar y rastrear a las personas online. Pero no es el único. Durante años, el device fingerprinting ha pasado un poco desapercibido como una alternativa más a la cookie. Sin embargo, los fabricantes de navegadores, como Apple, Google y Mozilla, han señalado recientemente el device fingerprinting como una práctica invasiva de la privacidad que están tratando de erradicar como parte de una campaña más amplia contra el rastreo online.
¿Qué es el device fingerprinting?
El device fingerprinting es una forma de combinar ciertos atributos de un dispositivo -como el sistema operativo que utiliza, el tipo y la versión del navegador web que usa, la configuración del idioma del navegador y la dirección IP del dispositivo- para identificarlo como un dispositivo único. Es un método de identificación imperfecto. A diferencia de la cookie, que es efectivamente un monitor de seguimiento colocado en un dispositivo individual, el device fingerprinting se basa en la probabilidad de que un dispositivo reconocido con ciertos atributos en un día sea el mismo dispositivo visto con esos mismos atributos en otro día.
¿Para qué se utiliza?
El uso del device fingerprinting para identificar y rastrear a alguien online es similar al reconocimiento de alguien en una rueda de reconocimiento policial. Un testigo puede recordar ciertas características de un sospechoso -como su altura, el color y la longitud de su pelo, si era hombre o mujer, etc.- y si alguien en la rueda de reconocimiento comparte esas características, el testigo puede asumir que esa persona es el sospechoso. Puede que tenga razón, pero está haciendo una suposición informada sobre la identidad de la persona basándose en este mosaico de información.
El device fingerprinting puede ser, en cierto modo, una forma más fiable de identificar y rastrear los dispositivos online. Esta práctica surgió en el sector de la publicidad online como una alternativa a las cookies para entornos como las Apps móviles, donde las empresas no pueden colocar cookies para rastrear definitivamente los dispositivos individuales. Y dado que las personas pueden eliminar las cookies de sus navegadores, pero es menos probable que cambien de sistema operativo o restablezcan sus direcciones IP, el device fingerprinting puede proporcionar una forma más consistente de rastrear a las personas en la web.
El device fingerprinting parece sospechoso. ¿Hay alguna manera de que alguien no permita que las empresas utilicen el device fingerprinting para rastrearlo en Internet?
La verdad es que no. Las personas pueden utilizar redes privadas virtuales para disfrazar sus direcciones IP, pero, en general, es difícil evitar el device fingerprinting. Esto se debe a que la información utilizada para el device fingerprinting es información básica que se pasa cada vez que un sitio web se carga en un navegador para asegurarse de que el sitio se carga correctamente, por ejemplo, reconociendo que una persona está utilizando un navegador que no es compatible con una característica particular o está configurado para ver el contenido en un idioma determinado.
¿Los navegadores no pueden hacer nada para evitar el device fingerprinting?
Sí, y lo están haciendo. En el último año, Apple, Google y Mozilla han anunciado que limitarán el device fingerprinting en sus respectivos navegadores. Los enfoques que adoptan son diferentes. Apple oculta los datos que se recopilan y combinan para el fingerprinting en un esfuerzo por dificultar que las empresas utilicen esa información para identificar un dispositivo y, al mismo tiempo, pasar los datos suficientes para que los sitios se carguen correctamente. Mozilla se basa en una lista de Third-Party que nombra a empresas específicas que realizan el fingerprinting y bloquea a esas empresas el acceso a la información utilizada para el fingerprinting. Y Google ha propuesto, pero no ha puesto en práctica, un "presupuesto de privacidad" para limitar la cantidad de información utilizada para el device fingerprinting a la que puede acceder una empresa determinada cada vez.
¿Utilizan muchas empresas de tecnología publicitaria el device fingerprinting para rastrear a las personas?
No está claro, ni siquiera entre las empresas de tecnología publicitaria. Digiday ha preguntado a siete empresas de tecnología publicitaria -BounceX, Dataxu, Index Exchange, LiveRamp, Lotame, Sovrn y Tapad- si utilizan el device fingerprinting, y las siete han respondido que no lo hacen debido a la dificultad de ofrecer a las personas la opción de no participar en este tipo de seguimiento.
"No veo que se utilice mucho el fingerprinting", dijo Mark Connon, director de operaciones de Tapad, una empresa de tecnología publicitaria especializada en publicidad entre dispositivos.
Sin embargo, aunque estas empresas no utilizan el device fingerprinting, otras sí podrían hacerlo. Ad exchanges han preguntado a Bill Simmons, director de tecnología de Dataxu, si la empresa de compra de publicidad automatizada utiliza el fingerprinting de los dispositivos, y cuando responde que Dataxu no lo hace, "la gente se sorprende de que no lo hagamos", dijo Simmons, que ha tomado la respuesta de los intercambios como una indicación de que muchas empresas de tecnología publicitaria pueden utilizar el fingerprinting.
Un indicio más claro de qué empresas utilizan el fingerprinting puede encontrarse en la lista de empresas que Mozilla utiliza para bloquear el fingerprinting. Esa lista incluye la empresa de verificación de anuncios DoubleVerify y la plataforma de demanda MediaMath. MediaMath se negó a comentar su uso de el fingerprinting, y DoubleVerify no respondió a una solicitud de comentarios. Sin embargo, es posible que ninguna de las dos empresas utilice las huellas dactilares para rastrear a las personas con fines de orientación publicitaria.
¿Es sólo para la segmentación publicitaria?
No del todo. Los sitios web de los bancos, por ejemplo, pueden utilizar la misma información para comprobar si una persona que intenta acceder a una cuenta determinada es la propietaria de la misma, basándose en si utiliza un dispositivo o un navegador que ya ha sido utilizado anteriormente para iniciar sesión, dijo el director de marketing de Lotame, Adam Solomon. También puede utilizarse para medir los anuncios en varios dispositivos. Las empresas suelen utilizar las direcciones IP para asociar varios dispositivos que se conectan a la misma red wifi dentro de un mismo hogar. Esta asociación les ayuda a reconocer cuántas veces se han mostrado los anuncios de una marca en esos dispositivos, de modo que pueden gestionar la frecuencia con la que se bombardea a la gente con los anuncios de la marca.
