PrivSec Lab · 36 términos

Glosario de privacidad y seguridad del navegador

Definiciones técnicas precisas para la terminología utilizada en nuestra investigación. Cada entrada es autónoma y está anclada con una URL estable para citación. Los términos abarcan vectores de fingerprinting, seguridad de transporte, autenticación y frameworks de seguridad.

Fingerprinting de navegador#browser-fingerprinting: La recopilación de atributos del navegador y dispositivo — renderizado canvas, fuentes instaladas, modelo GPU, zona horaria, resolución de pantalla y muchos más — para generar un identificador estadísticamente único sin cookies. A diferencia de las cookies, las huellas sobreviven al borrado del historial, el modo privado y el uso de VPN.
Huella canvas#canvas-fingerprint: Huella derivada al dibujar texto y formas en un elemento HTML canvas oculto y leer los píxeles vía toDataURL() o getImageData(). El renderizado subpíxel, el hinting de fuentes, la composición GPU y el antialiasing del SO producen firmas únicas por combinación GPU/driver/SO.
Fuga WebRTC#webrtc-leak: Vulnerabilidad de privacidad donde la pila WebRTC del navegador expone la IP real del usuario — incluidas IPs de red local — vía candidatos ICE, incluso con una VPN activa. Puede mitigarse desactivando permisos de medios WebRTC o usando un navegador que bloquee candidatos ICE no proxificados.
DNS-over-HTTPS (DoH)#doh: Protocolo que cifra las consultas DNS enviándolas por HTTPS a un resolver, evitando la interceptación del ISP y la vigilancia en tránsito. Oculta las consultas de dominio a observadores de red pero centraliza las consultas en el resolver elegido; soportado de forma nativa en Firefox, Chrome y la mayoría de navegadores.
DNS-over-TLS (DoT)#dot: Protocolo que cifra las consultas DNS usando TLS en el puerto 853. A diferencia de DoH, usa un puerto dedicado que los firewalls pueden detectar y bloquear. Preferido en configuraciones enterprise o a nivel de SO; funcionalmente equivalente a DoH en protección de privacidad para usuarios finales.
HTTP Strict Transport Security (HSTS)#hsts: Cabecera de respuesta HTTP que instruye a los navegadores a acceder a un sitio solo por HTTPS durante una duración especificada (max-age). Previene ataques de SSL stripping. Los sitios pueden solicitar inclusión en la lista de precarga HSTS para estar integrados en los navegadores antes de la primera visita.
Content Security Policy (CSP)#csp: Cabecera de respuesta HTTP que declara desde qué fuentes una página puede cargar scripts, estilos, imágenes y otros recursos. Una CSP estricta — especialmente con nonces o hashes — elimina la mayoría de vectores XSS bloqueando scripts inline y hosts externos no autorizados.
Referrer Policy#referrer-policy: Cabecera HTTP o meta tag que controla cuánta información de la URL actual se envía en la cabecera Referer al navegar. El valor más estricto, no-referrer, omite la cabecera; strict-origin-when-cross-origin es el valor por defecto del navegador desde 2021 y se recomienda para la mayoría de sitios.
Cookie de primera parte (first-party)#first-party-cookie: Cookie establecida por el dominio que el usuario visita directamente. Usada para gestión de sesión, preferencias y autenticación. Los navegadores conservan estas cookies por defecto, aunque los navegadores modernos aplican límites de expiración (ITP las limita a 7 días cuando se establecen vía JavaScript).
Cookie de terceros (third-party)#third-party-cookie: Cookie establecida por un dominio diferente al que visita el usuario, generalmente vía recursos embebidos como píxeles publicitarios o scripts de analítica. Mecanismo histórico principal de rastreo entre sitios; bloqueada por defecto en Safari y Firefox, y eliminada progresivamente en Chrome a través del Privacy Sandbox.
Enhanced Tracking Protection (ETP)#etp: Sistema anti-rastreo integrado de Firefox que bloquea rastreadores de terceros, criptomineros y fingerprinters basándose en la lista de bloqueo de Disconnect.me. Disponible en modos Estándar, Estricto y Personalizado; el modo Estricto también bloquea cookies cross-site de todos los terceros.
Intelligent Tracking Prevention (ITP)#itp: Sistema anti-rastreo de Safari basado en aprendizaje automático que identifica dominios capaces de rastreo entre sitios y restringe sus cookies. ITP limita las cookies establecidas por JavaScript a 7 días y las cookies de primera parte atribuidas al rastreo a 24 horas.
Cadena User-Agent#user-agent: Cabecera de solicitud HTTP enviada por el navegador que identifica el nombre, versión, SO y motor de renderizado. Históricamente un vector de fingerprinting de alta entropía; la iniciativa User-Agent Reduction de Google congeló progresivamente los detalles de versión en Chrome para reducir su poder identificador.
Entropía (fingerprinting)#entropy: Entropía de Shannon medida en bits: H = −Σ p(x) log₂ p(x) sobre la distribución observada de una señal. N bits significa que la señal puede distinguir hasta 2^N individuos. Una entropía canvas de 16,3 bits significa que aproximadamente 1 de cada 80.000 usuarios tiene un valor único para esa señal.
TOTP (contraseña de un solo uso basada en tiempo)#totp: Método de autenticación de dos factores estandarizado en RFC 6238 que genera un código de 6 dígitos válido por 30 segundos, derivado de un secreto compartido y la marca de tiempo Unix actual. Resistente a ataques de repetición pero vulnerable al phishing en tiempo real.
Passkey / FIDO2#passkey: Credencial de autenticación resistente al phishing basada en criptografía de clave pública (WebAuthn / FIDO2). La clave privada nunca abandona el dispositivo; el servidor almacena solo una clave pública. Las passkeys están vinculadas al origen, haciéndolas inmunes al phishing de credenciales y la suplantación de dominio.
Modelo de amenazas#threat-model: Análisis estructurado de quién podría atacar un sistema, qué activos apuntaría y qué mitigaciones son proporcionales al riesgo. Un modelo de amenazas práctico identifica activos, enumera adversarios y sus capacidades, mapea rutas de ataque y prioriza controles por probabilidad e impacto.
STRIDE#stride: Framework de clasificación de amenazas desarrollado en Microsoft: Spoofing (suplantación), Tampering (manipulación), Repudiation (repudio), Information Disclosure (divulgación de información), Denial of Service (denegación de servicio), Elevation of Privilege (elevación de privilegios). Usado en revisiones de diseño.
Ataque a la cadena de suministro#supply-chain-attack: Ataque que apunta a una dependencia upstream de confianza — un paquete npm, una herramienta CI/CD, un servidor de build — en lugar del objetivo final directamente. Comprometer una biblioteca ampliamente usada puede propagar código malicioso a miles de proyectos downstream simultáneamente.
Zero-day#zero-day: Vulnerabilidad desconocida para el proveedor de software y sin parche disponible. Un exploit zero-day aprovecha esta ventana antes de que el desarrollador pueda emitir una corrección. Los zero-days de navegador en motores JavaScript (compiladores JIT) son especialmente críticos porque pueden activarse remotamente vía una página web.
Sandboxing#sandboxing: Límite de seguridad que aísla un proceso y restringe su acceso a recursos del sistema, otros procesos y la red. Los procesos de renderizado del navegador se ejecutan en sandboxes a nivel del SO para contener el daño de una página comprometida; una escapada de sandbox permite romper este límite.
Aislamiento de sitio (Site Isolation)#site-isolation: Arquitectura de navegador donde cada origen (esquema + hostname + puerto) se renderiza en un proceso del SO separado. Previene que una página maliciosa lea memoria de otro origen mediante ataques de canal lateral tipo Spectre. Activado por defecto en Chrome desde 2018 y en Firefox como Project Fission.
Huella WebGL#webgl-fingerprint: Huella derivada de la cadena de renderizador GPU (RENDERER, VENDOR) y la salida shader única producida por la API WebGL. El proveedor, modelo y versión de driver GPU producen artefactos de renderizado distintos entre máquinas, haciendo de WebGL el segundo vector de fingerprinting de mayor entropía tras el canvas.
Huella de audio (AudioContext)#audio-fingerprint: Huella calculada ejecutando una onda sinusoidal a través de la API OfflineAudioContext y midiendo la señal resultante. Las diferencias en el procesamiento de audio en punto flotante entre SO/hardware producen valores estables y únicos. Resistente al restablecimiento porque refleja el comportamiento del hardware y drivers.
Encrypted Client Hello (ECH)#ech: Extensión TLS que cifra el campo Server Name Indication (SNI) en el handshake TLS, ocultando el nombre de host de destino a observadores en tránsito. Sin ECH, incluso el tráfico HTTPS revela el dominio de destino; ECH cierra esta brecha cuando es soportado por cliente y servidor.
Server Name Indication (SNI)#sni: Extensión TLS que indica al servidor qué nombre de host quiere el cliente durante el handshake, habilitando hosting virtual de múltiples sitios HTTPS en una sola IP. El SNI se transmite en texto plano por defecto, filtrando el dominio de destino a observadores de red hasta la adopción de ECH.
Enmascaramiento CNAME (CNAME cloaking)#cname-cloaking: Técnica de rastreo donde un subdominio de primera parte (ej.: metrics.example.com) se aliasa vía CNAME a un host rastreador de terceros. Al establecerse la cookie bajo el dominio de primera parte, las reglas de ITP y bloqueo de cookies que apuntan a dominios de terceros son evadidas.
Permissions Policy (Feature Policy)#permission-policy: Cabecera HTTP que permite a un sitio deshabilitar o restringir funciones del navegador — cámara, micrófono, geolocalización, pago, USB — para su propio frame y para iframes de terceros embebidos. Reduce la superficie de ataque evitando que APIs potentes no usadas sean accesibles en contextos comprometidos.
Cross-Site Scripting (XSS)#xss: Clase de vulnerabilidades de inyección donde un atacante inyecta JavaScript malicioso en una página que luego se ejecuta en los navegadores de otros usuarios. XSS reflejado apunta a parámetros URL; XSS almacenado persiste en base de datos; XSS DOM manipula código del lado del cliente. La CSP es la principal capa de mitigación.
Clickjacking#clickjacking: Ataque que superpone un iframe transparente sobre un elemento de UI visible, engañando al usuario para que haga clic en algo invisible. Mitigado por X-Frame-Options o la directiva CSP frame-ancestors, que impiden que una página sea embebida en un iframe en otro origen.
Cross-Origin Resource Sharing (CORS)#cors: Mecanismo del navegador que restringe que JavaScript de un origen lea respuestas de otro origen, a menos que el servidor de destino lo permita explícitamente mediante cabeceras Access-Control-Allow-Origin. Aplica la política same-origin a nivel de respuesta HTTP para solicitudes fetch y XHR cross-origin.
Atributo SameSite de cookies#cookie-samesite: Atributo de cookie que controla cuándo se envían en solicitudes cross-site. SameSite=Strict las omite en navegación cross-site; Lax las envía solo en navegaciones de nivel superior; None permite transmisión cross-site pero requiere Secure. Los navegadores definen Lax por defecto desde 2020, mitigando muchos ataques CSRF.
Navegación privada / Modo incógnito#private-browsing: Modo del navegador que descarta historial, cookies y caché al terminar la sesión. No previene el rastreo en tiempo real: la IP, fugas WebRTC, huella TLS y huella canvas permanecen completamente activos. Un error común es creer que el modo privado proporciona anonimato.
Defensa por uniformidad#uniformity-defense: Estrategia anti-fingerprinting que hace que todos los usuarios produzcan la misma huella de navegador — salida canvas idéntica, fuentes, tamaño de pantalla — de modo que ningún individuo pueda ser distinguido. Tor Browser y Mullvad Browser implementan este enfoque. Contrasta con la aleatorización.
Defensa por aleatorización#randomization-defense: Estrategia anti-fingerprinting que inyecta ruido aleatorio por sesión y por origen en las salidas canvas, audio y WebGL. Brave Shields usa este enfoque. Previene el rastreo estable a largo plazo pero no logra uniformidad a nivel de multitud, por lo que la desvinculación entre sesiones varía según la señal.
Spectre / ataque de canal lateral#spectre: Clase de ataques microarquitecturales que filtran datos de otros procesos explotando la ejecución especulativa en CPUs modernas. En navegadores, los ataques Spectre basados en JavaScript llevaron a deshabilitar SharedArrayBuffer y reducir la precisión de temporizadores; el aislamiento de sitio y las cabeceras cross-origin isolation son las principales mitigaciones.

Investigación y herramientas relacionadas