Tookapic

A todos les gusta hablar de las _cookies_ y como son usadas para rastrearnos todo el tiempo, tanto que a cada web se le exige que declare a los usuarios que utiliza _cookies_ para mejorar la experiencia de usuario por x o y razón. Pero, actualmente hay **técnicas de rastreo más «invisibles» y complejas que permiten a un sitio web identificarte sin que te enteres de nada**, y sin que ninguna _cookie_ intervenga en el proceso, se llama: **_canvas fingerprinting_**.

Lo sentimos, no tiene nombre en español, y todavía no tiene ni artículo en español en la Wikipedia. Para algunos hasta suena a teoría de conspiración, pero si algo nos ha enseñado la era post-Snowden, es que siempre hay que pensar lo peor, y aún así nos quedaremos cortos.

## Viajemos al año 2012

**El _canvas fingerprinting_ es una técnica para identificar un navegador o un dispositivo** que fue presentada por primera vez en el [año 2012 por Keaton Mowery y Hovav Shacham](http://cseweb.ucsd.edu/~hovav/papers/ms12.html). Ellos proponían utilizar un sistema en el que tradujeran texto y contenido WebGL a un [lienzo canvas](https://www.wikiwand.com/es/Elemento_canvas) para luego evaluar los pixeles producidos.

Explicado en cristiano: el elemento canvas es parte de HTML5, permite interpretación dinámica de formas e imágenes. Explotando la API de Canvas de los navegadores modernos, se pueden **detectar las diferencias más sutiles en el renderizado del mismo texto que hacen tu navegador o el mio**, y así extraer una huella digital en fracción de segundos para identificarte sin que te enteres.

## Addthis

En el 2014 investigadores de la Universidad de Princeton en los Estados Unidos y de la Universidad Ku Leuven de Bélgica [evaluaron las páginas de inicio de los 100 mil sitios web con más tráfico según Alexa y encontraron que el 5.5% incluía un _script_ canvas para hacer _fingerprinting_](https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_never_forgets.pdf), es decir **un elemento de rastreo para identificar al usuario con una huella digital única**.

También encontraron que la mayoría de los _scripts_ de rastreo pertenecían a un único proveedor: **addthis.com**. 5542 sitios de los 100 mil revisados rastreaban usando esta técnica. Algunos de los más destacados incluyen a varias webs de pornografía como YouPorn, y el [portal de la Casa Blanca](https://www.eff.org/deeplinks/2014/07/white-house-website-includes-unique-non-cookie-tracker-despite-privacy-policy). Luego de la publicación del estudio en 2014, varios sitios removieron los _scripts_ de Addthis.

**Las opciones actuales para mitigar este tipo de amenazas son bastante limitadas**, en parte porque es difícil distinguir el rastreo no deseado. Puedes usar la extensión [Privacy Badger de la EFF](https://www.eff.org/privacybadger) para bloquear rastreadores. Pero, el uso del navegador anónimo Tor es la única forma segura de evitar el _canvas fingerprinting_, ya que el mismo te advierte si existe un _script_ de este tipo intentando rastrearte.