El fingerprinting del navegador ha pasado de ser una curiosidad de investigación a convertirse en el método dominante de seguimiento entre sitios en la web abierta. La presión sobre las cookies — ya completada en Safari y Firefox, y aunque Google dio marcha atrás en 2024 en la eliminación forzada de las cookies de terceros en Chrome — no redujo el seguimiento: aceleró la migración hacia identificadores sin estado derivados del dispositivo, un desplazamiento que mapeamos capa por capa en nuestro informe pillar sobre el estado de la privacidad de los navegadores en 2026. Esta guía cubre cada vector, cada defensa y los datos empíricos necesarios para evaluar tu exposición real en 2026.
1. El panorama de amenazas de fingerprinting en 2026
La lógica económica del fingerprinting es sencilla: las redes publicitarias necesitan identificadores persistentes entre sitios para atribuir conversiones, construir perfiles de comportamiento y valorar el inventario. Las cookies fueron el estándar de la industria hasta que los fabricantes de navegadores comenzaron a aplicar restricciones SameSite e ITP (Intelligent Tracking Prevention) a partir de 2017. A medida que la fiabilidad de las cookies se erosionaba, la industria invirtió masivamente en alternativas sin cookie.
En 2026, los identificadores derivados de huellas se han vuelto muy comunes en las solicitudes de pujas programáticas, y los grandes intermediarios de datos operan redes de fingerprinting que cubren una proporción sustancial de los navegadores activos, con perfiles que se actualizan periódicamente. Una huella que cambia — porque el usuario actualizó su controlador de GPU o cambió su pantalla — se vuelve a asociar con el perfil mediante coincidencia probabilística contra señales de comportamiento.
Tres segmentos económicos impulsan la inversión en tecnología de fingerprinting:
Ad-tech. Las pujas en tiempo real requieren un identificador estable para hacer coincidir una solicitud de puja con un perfil de usuario en mucho menos de un segundo. Las huellas canvas y de audio, combinadas con la subred IP y el User-Agent, entregan un identificador con una tasa de colisión muy baja para navegadores de escritorio.
Detección de fraude. Los procesadores de pagos y las plataformas de comercio electrónico utilizan la huella del dispositivo para distinguir a los usuarios legítimos del fraude automatizado. Este caso de uso a menudo se trata favorablemente en la regulación — lo que complica las exenciones legislativas y las posturas de los fabricantes de navegadores sobre la restricción de API.
Vigilancia estatal. El fingerprinting ha sido documentado en al menos 14 programas nacionales de inteligencia de señales. A diferencia del seguimiento por cookies, el fingerprinting no requiere ninguna cooperación del propietario del dispositivo y no deja rastro forense.
¿Cuáles son los principales vectores de huella activa del navegador?
El fingerprinting del navegador utiliza API de JavaScript para recopilar señales derivadas del dispositivo. La investigación pública (como el estudio «How Unique Is Your Web Browser?» / Panopticlick de la EFF y el trabajo académico posterior) muestra que los vectores de mayor entropía incluyen el renderizado canvas, los datos GPU de WebGL, el procesamiento AudioContext y la enumeración de fuentes instaladas — cada uno del orden de aproximadamente 10 a 16 bits en escritorio. Combinada, una huella de escritorio supera con holgura los ~33 bits necesarios para la identificación única a escala global.
La huella activa utiliza API del navegador accesibles mediante JavaScript que procesan o renderizan contenido, con la salida recopilada como identificador.
Fingerprinting canvas — sigue siendo el vector activo con mayor entropía. Un script dibuja texto y formas en un elemento <canvas> oculto y lee los datos de píxeles via toDataURL() o getImageData(). El renderizado subpíxel, el hinting de fuentes, la composición acelerada por GPU y el antialiasing a nivel del sistema operativo producen firmas que difieren entre modelos de GPU, versiones de controladores y sistemas operativos. La investigación pública sobre fingerprinting sitúa el canvas solo entre los vectores de mayor entropía — del orden de ~16 bits en Chrome de escritorio — suficiente para aislar a un usuario entre decenas de miles.
Fingerprinting WebGL — extrae cadenas de vendor y renderer de GPU via WEBGL_debug_renderer_info y mide la ejecución de shaders. La combinación de la cadena VENDOR y una salida de shader Perlin-noise añade entropía sobre el canvas — la investigación pública la sitúa del orden de ~10 bits — con tasas de colisión muy bajas dentro de la misma familia de GPU.
Fingerprinting AudioContext — procesa una onda sinusoidal de 1000 Hz a través de un OfflineAudioContext y hashea el buffer de salida. Las características del compresor, los coeficientes del remuestreador y el redondeo en coma flotante difieren según el sistema operativo y la pila de audio. Los estudios reportan una entropía del orden de ~7 bits. La técnica se completa rápidamente y no requiere interacción del usuario ni permisos.
Enumeración de fuentes — se realizaba históricamente midiendo el ancho de renderizado de texto en un <span> oculto. Los scripts modernos usan FontFace.load() y document.fonts.check() para una enumeración más rápida y fiable de las fuentes del sistema instaladas. En un sistema de escritorio con cientos de fuentes, el conjunto instalado es un vector de alta entropía (del orden de ~10 bits o más según la investigación pública). Los dispositivos móviles tienen conjuntos de fuentes más pequeños y uniformes, por lo que mucho menos.
Concurrencia de hardware y memoria. navigator.hardwareConcurrency informa el número de núcleos de CPU; navigator.deviceMemory devuelve uno de ocho valores discretos (0,25–8 GB). Juntos añaden unos pocos bits y se correlacionan fuertemente con la clase de dispositivo.
Geometría de pantalla y ventana. screen.width, screen.height, screen.colorDepth, window.devicePixelRatio y la diferencia entre window.outerWidth y window.innerWidth contribuyen colectivamente a varios bits en escritorio y a menos en móvil.
Zona horaria y configuración regional. Intl.DateTimeFormat().resolvedOptions().timeZone devuelve la cadena de zona horaria IANA. Combinado con navigator.language, navigator.languages y la configuración regional de Intl.NumberFormat, esto añade varios bits más y reduce el origen geográfico al nivel de región urbana en muchos casos.
Combinada, la huella activa en todos los vectores anteriores supera con holgura los ~33 bits necesarios para la identificación única en Internet global en escritorio, y se mantiene alta en móvil.
3. Vectores de huella pasiva
La huella pasiva no requiere JavaScript — opera en señales de la capa de red presentes en cada solicitud HTTP.
User-Agent y Client Hints. El encabezado User-Agent históricamente revelaba el nombre del navegador, la versión mayor y menor, el nombre y versión del sistema operativo y la arquitectura de CPU en una sola cadena. El equipo de Chrome introdujo los User-Agent Client Hints (UA-CH) para migrar a un UA predeterminado con menor entropía y hints de alta entropía de suscripción opcional. En la práctica, los sitios solicitan CH completos via encabezados Accept-CH, y Chrome los cumple — la entropía migró de pasiva a semi-pasiva pero no disminuyó. Firefox y Safari mantienen cadenas UA congeladas o simplificadas que reducen la entropía pasiva a ~8 bits.
Orden y gramática de encabezados HTTP. El orden, la capitalización y la presencia de los encabezados Accept, Accept-Encoding, Accept-Language, Sec-Fetch-* y Priority varían según el navegador y la versión de manera detectable. Esta técnica no requiere JavaScript y funciona contra cualquier cliente HTTP.
Fingerprinting de IP y TLS. El mensaje TLS ClientHello contiene la lista de suites de cifrado, el orden de extensiones, los grupos compatibles y los valores ALPN que difieren por implementación TLS. El fingerprinting JA3/JA4 extrae estos campos y produce un hash. Un navegador basado en Chromium en Windows produce un hash JA4 diferente al mismo Chromium en Linux o macOS. La geolocalización IP añade 5 a 8 bits para atribución a nivel de ciudad. Huella pasiva combinada en escritorio: ~22 bits sin JavaScript ejecutado.
Señales de comportamiento. Las trayectorias de movimiento del ratón, el timing de pulsaciones, la velocidad de desplazamiento y la presión táctil son utilizados por los sistemas de detección de fraude y cada vez más por el ad-tech para la re-identificación entre sesiones. Requieren JavaScript para la recopilación pero se clasifican como pasivos porque el usuario los proporciona implícitamente durante la interacción normal.
¿Cómo se defienden los navegadores contra el fingerprinting?
Existen dos estrategias. La aleatorización (Brave, LibreWolf) inyecta ruido por sesión en las salidas canvas, WebGL y audio, rompiendo la correlación entre sesiones. La cobertura estática (Tor Browser, Mullvad Browser) hace que todos los usuarios presenten la misma huella, impidiendo la identificación dentro de la población. La aleatorización es más usable; la cobertura estática es más robusta para el anonimato pero exige un tamaño de ventana fijo y JIT desactivado.
Tor Browser. La implementación de referencia de la estrategia de cobertura estática. Todos los usuarios presentan la misma huella estandarizada: User-Agent Firefox ESR congelado, API canvas devolviendo ruido blanco a un nivel consistente, WebGL deshabilitado o devolviendo cadenas genéricas, AudioContext limitado, fuentes restringidas a un conjunto integrado y viewport forzado a 1000×1000. La efectividad depende del tamaño de la población: con menos de 3-4 millones de usuarios activos de Tor Browser, el tamaño del conjunto de cobertura es el factor limitante.
Firefox Resist Fingerprinting (RFP). El flag privacy.resistFingerprinting de Firefox (disponible desde Firefox 41, soportado formalmente desde Firefox 68+) aplica un amplio conjunto de valores falsificados: resolución de pantalla congelada, zona horaria simulada a UTC, valores navigator simplificados, aleatorización canvas, precisión reducida de métricas de fuentes y supresión de la granularidad de window.performance.timing. RFP en 2026 cubre 34 superficies de API distintas. Contrapartida: algunas aplicaciones web fallan, especialmente las que usan timing requestAnimationFrame para animaciones o Intl para visualización de fechas localizadas.
Brave Shields. Brave aplica ruido calibrado por sesión y por sitio a las salidas canvas, WebGL y AudioContext. El ruido está calibrado para ser imperceptible para los usuarios pero suficiente para romper la correlación entre sitios. Brave también elimina los encabezados Referer de terceros, aplica Storage Partitioning y aleatoriza hardwareConcurrency y deviceMemory. El modelo de defensa difiere de Tor: en lugar de cobertura uniforme, Brave apunta a hacer poco fiable el vínculo entre sitios a través de la inconsistencia.
Mullvad Browser. Basado en el conjunto de parches anti-fingerprint de Tor Browser pero sin el requisito de la red Tor. Se entrega con uBlock Origin en modo estricto por defecto. Diseñado para ser emparejado con una VPN de confianza para separar la identidad de red de la identidad del navegador. Mullvad Browser aplica la misma estrategia de cobertura estática que Tor Browser — es la opción más sólida fuera de Tor para la resistencia al fingerprinting.
Compromiso aleatorización vs cobertura estática. La aleatorización (Brave, algunas extensiones de Firefox) impide la vinculación entre sitios pero puede detectarse. La cobertura estática (Tor, Mullvad) impide la detección de la propia defensa y la vinculación intra-población, a costa de requerir que todos los usuarios presenten la misma apariencia.
5. De dónde proceden estas cifras (y cómo comprobar tu propio navegador)
La entropía se mide en bits usando la fórmula de Shannon aplicada a la distribución de valores observados. H = -Σ pᵢ log₂(pᵢ). Un solo bit de entropía divide la población a la mitad. Alrededor de 20 bits bastan para aislar a una persona entre un millón, y la investigación pública muestra que una huella de escritorio combinada supera cómodamente los ~33 bits necesarios para la unicidad global.
Los rangos de entropía aproximados utilizados a lo largo de esta guía proceden de la investigación pública sobre fingerprinting, y no de ningún conjunto de datos propietario nuestro. La referencia fundacional es el estudio Panopticlick de la EFF, «How Unique Is Your Web Browser?» de Peter Eckersley, que midió por primera vez la entropía por vector en una amplia muestra de voluntarios y halló que la mayoría de los navegadores eran únicos. El proyecto Cover Your Tracks de la EFF continúa este trabajo, y una extensa literatura académica sobre fingerprinting de canvas, WebGL, audio y fuentes ha reproducido el mismo panorama general: el canvas figura entre los vectores de mayor entropía, y un puñado de vectores combinados bastan para hacer únicos a la mayoría de los navegadores de escritorio.
La forma más fiable de conocer tu propia exposición es probar tu navegador real en lugar de fiarte de una sola tabla:
- Ejecuta la herramienta Cover Your Tracks de la EFF (coveryourtracks.eff.org) para ver cuáles de las señales de tu navegador son más identificativas.
- Usa nuestra propia herramienta de prueba de huella del navegador para inspeccionar las señales de canvas, WebGL, audio, fuentes y cabeceras que tu navegador expone ahora mismo.
Lo que importa es el orden relativo, y está bien establecido en la literatura: canvas, WebGL y enumeración de fuentes encabezan la lista; hardware, geometría de pantalla y zona horaria aportan menos bits pero se acumulan. Las defensas cambian el panorama — el ruido por sitio de Brave busca reducir notablemente la unicidad de canvas y WebGL, mientras que Tor Browser y Mullvad Browser pretenden hacer que cada usuario parezca idéntico (cerca de ~0 bits distintivos dentro de su población), a costa de ser trivialmente reconocibles como usuarios de Tor/Mullvad.
6. La frontera de 2026
Maduración del Privacy Sandbox. Google desplegó la API Topics en Chrome estable en 2025 y la API Protected Audience (antes FLEDGE) para remarketing en 2024. El Storage Partitioning — aislando el almacenamiento por sitio de primer nivel — se lanzó en Chrome 115 y Firefox 109. La Bounce Tracking Mitigation, dirigida a la sincronización de cookies basada en redirecciones, está en Chrome estable desde la versión 127.
FedCM (Federated Credential Management). FedCM reemplaza los flujos SSO basados en cookies de terceros. Enruta las solicitudes de identidad a través del navegador como mediador, reduciendo la capacidad del proveedor de identidad para rastrear la navegación del usuario. Sin embargo, el navegador mismo se vuelve consciente de las relaciones del usuario con su proveedor de identidad — una nueva señal de perfilado a nivel del vendor del navegador que los investigadores de privacidad están examinando.
Trust Tokens / Private State Tokens. Los Private State Tokens permiten a los sistemas de detección de fraude verificar que un usuario pasó previamente una verificación humana sin vincular el evento de verificación específico. El token está vinculado al dispositivo y no rota entre sitios, creando un posible identificador estable entre sitios que el W3C Privacy CG ha señalado como una preocupación abierta.
Particionamiento de almacenamiento. Chrome, Firefox y Safari ahora particionan localStorage, sessionStorage, IndexedDB y SharedWorker por origen de primer nivel. Esto elimina el canal de temporización de caché y el vector de seguimiento por almacenamiento compartido que estuvieron activos durante una década.
WebAuthn y passkeys. La autenticación por passkey vincula las credenciales a un dispositivo en lugar de a una contraseña, lo que reduce el riesgo de phishing pero crea una señal de identidad de dispositivo estable. Una parte confiante que recibe passkeys obtiene prueba criptográfica de que la misma clave de dispositivo firmó múltiples eventos de autenticación — exactamente la vinculación entre sesiones que proporciona el fingerprinting, ahora con consentimiento explícito del usuario.
7. Qué usar ahora mismo: matriz de decisión
| Perfil | Navegador recomendado | Notas |
|---|---|---|
| Alto riesgo (periodista, activista, denunciante) | Tor Browser | Única opción con huella uniformemente estática. Aceptar cargas 2-5× más lentas. |
| Privacidad sólida, uso diario | Mullvad Browser + VPN | Cobertura estática + uBO por defecto. La VPN oculta el patrón de salida-Tor al ISP. |
| Privacidad general, uso normal | Brave (Shields por defecto) | Mejor ratio UX/protección. No es a prueba de fingerprinting pero rompe el seguimiento masivo. |
| Desarrollador / usuario avanzado en Firefox | Firefox + RFP + uBO | Manual, rompe algunos sitios, máxima reducción de entropía fuera de Tor/Mullvad. |
| Móvil iOS | Safari + iCloud Private Relay | CNAME uncloaking bloqueado, IP enmascarada por relay. Sin defensa canvas — la opción más débil de esta lista. |
| Móvil Android | Brave para Android | Shields activo en móvil. Preferible a Chrome. |
Ninguna VPN por sí sola es suficiente — la identidad de red y la identidad del navegador son superficies de ataque separadas que requieren mitigaciones separadas.
Las cifras de entropía de esta guía son rangos aproximados procedentes de la investigación pública sobre fingerprinting — el estudio Panopticlick de la EFF («How Unique Is Your Web Browser?», Peter Eckersley), el proyecto EFF Cover Your Tracks y la literatura académica — y no de ningún conjunto de datos propietario nuestro. Prueba tu propio navegador con la herramienta EFF Cover Your Tracks y nuestra prueba de huella del navegador.
Lecturas relacionadas
- Estado de la privacidad del navegador 2026
- Análisis profundo Lockdown Mode JSC
- Comparativa navegadores privados 2026
- Prueba tu huella de navegador en directo
- Comprueba las cabeceras de seguridad HTTP de tu sitio
Guías relacionadas: Realidad de la prevención de rastreo en Safari.
