Proteger la privacidad de tus datos es una tarea cada vez más complicada. Así como cada vez existen mejores herramientas para evitar el rastreo en línea, también se están desarrollando métodos más y más sofisticados para obtener información identificable y crear una huella dactilar de nuestra actividad en la web. De eso se trata el fingerprinting, al fin y al cabo. Pero lo peculiar de esta historia es que puede rastrear a las personas en internet por las pequeñas diferencias en la GPU de sus dispositivos.

Según BleepingComputer, el trabajo corresponde a un grupo de investigadores de universidades de Australia, Israel y Francia. Estos han creado una técnica —DrawnApart— que no solo puede identificar los ordenadores y móviles a través de sus gráficas; también aumenta la duración promedio del seguimiento a un 67%, en comparación con los métodos de rastreo en línea ya existentes.

Un punto interesante que se desprende de la investigación es que se han utilizado 2.550 dispositivos y 1.605 configuraciones diferentes de CPU. Esto habla a las claras de que el fingerprinting a través de la GPU es un proceso muy dañino para la privacidad de las personas. Ciertamente no se trata de un procedimiento sencillo; sin embargo, el solo hecho de que se pueda hacer un rastreo en línea de cualquier individuo en base a la información que se desprende de la unidad de procesamiento gráfico de su dispositivo de preferencia, es muy preocupante.

De acuerdo con el citado medio, los investigadores se han apoyado en WebGL para lograr el fingerprinting a través de la GPU. Como dicha API —que se utiliza para renderizar gráficos en 2D y 3D— es multiplataforma y compatible con todos los navegadores web de la actualidad, ha sido la vía perfecta para avanzar en la creación de una huella dactilar de la actividad en internet de cada dispositivo.

Creando una huella dactilar con base en la GPU de los dispositivos

Foto por Rafael Pol en Unsplash

DrawnApart es un método de rastreo en línea que puede obtener información súper específica de una GPU y convertirla en un perfil identificable. Entre los datos recolectados se encuentran "el número de unidades de ejecución de la unidad de procesamiento gráfico, y la medición del tiempo necesario para completar el renderizado de vértices", entre otros, explica BleepingComputer.

Se desarrollaron dos métodos, uno en pantalla y otro fuera de ella, que someten a la GPU a operaciones de mayor o menor intensidad para el fingerprinting. Se menciona la toma de 176 medidas en 16 puntos diferentes que permiten crear la huella dactilar, incluso cuando los equipos han sido sometidos a cambios de otras piezas de hardware.

Esto significa que, por minúsculas que sean las diferencias entre una GPU y otra, DrawnApart es capaz de sacarlas a la superficie para identificarlas. No importa que sean de la misma marca, ni que se encuentren instaladas en dispositivos idénticos. Entre los equipos utilizados para las pruebas hubo ordenadores con procesadores Intel i5 y distintas configuraciones gráficas, Mac Mini con chip M1 y smartphones Android de las líneas Samsung Galaxy S.

El fingerprinting cuenta con métodos cada vez más sofisticados

El fingerprinting no es nuevo, pero sorprende cómo se avanza en el desarrollo de nuevos métodos para rastrear la actividad en línea de las personas. En el ámbito de los móviles, recordemos que Apple introdujo una muy esperada medida llamada App Tracking Transparency en iOS 14.5; la misma permite bloquear el rastreo en línea de las aplicaciones, pero ello no ha impedido que los desarrolladores adopten técnicas cada vez más furtivas para crear una huella dactilar de cada dispositivo.

Así, por ejemplo, se ha detectado que algunas han logrado escapar de sus límites para recolectar información muy específica de los iPhone. En principio parecen datos inofensivos, pero al conectar los puntos es posible armar una imagen del smartphone y de la persona que lo usa. Estamos hablando del nombre del dispositivo, el país en el que está registrado, la empresa de telefonía utilizada, el nivel de batería disponible, el espacio total de almacenamiento y cuánto queda libre, y hasta el idioma configurado en el teclado, entre muchos otros.

Photo by George Prentzas on Unsplash

Pero si volvemos a DrawnApart, los investigadores aseguran que el fingerprinting a través de la GPU puede extender drásticamente el período de rastreo en línea. Específicamente se menciona que un algoritmo puede realizar un seguimiento promedio de poco más de 17 días; pero al sumar la huella dactilar que se genera con la unidad de procesamiento gráfico es capaz de alcanzar los 28 días. De esta forma, alguien que combine las técnicas obtiene información fiable durante prácticamente un mes. Esto es tiempo mucho más que suficiente para generar un perfil de nuestra actividad en la web con un dispositivo de uso frecuente.

Pero esto no es todo. Aunque DrawnApart se ha probado en condiciones de temperatura y voltaje básicamente ideales, el método no se ha visto resentido por otras variaciones. Esto significa que los cambios en las cargas de trabajo o los reinicios en el sistema no son un problema.

WebGPU podría padecer el mismo problema

Como mencionamos anteriormente, los creadores de DrawnApart se han apoyado en WebGL para su sistema de fingerprinting a través de la GPU. Sin embargo, consideran que el problema también existiría en WebGPU, la futura API para gráficos 3D de alto rendimiento en la web. "Los efectos de las API de cómputo acelerado sobre la privacidad de los usuarios deben ser considerados antes de que se habiliten globalmente", aseguran los investigadores.