fingerprint

Panopticlick: brillante test que “saca” tu huella digital ¡Probálo!

Hoy te contamos de un proyecto que mide cuán fácil puede ser ubicarte geográficamente sólo leyendo datos en tu navegador web. ¡Hacé la prueba!

En este espacio hablamos mucho sobre privacidad, intimidad, y derechos que no es posible ejercer (y que en consecuencia podría decirse que no existen). Cada vez que lo hacemos, aparecen comentarios del tipo “bienvenidos a Internet”, “la privacidad no existe”, “no tengo nada que ocultar” y otras frases similares. Como siempre, insistimos en que antes de hacer esas afirmaciones, es importante saber para poder decidir, y que si alguien decide que prefiere mantener a resguardo su información, debe poder hacerlo.

Cuando decimos “trackear”, “trazar” o “tracear” nos referimos a la posibilidad de asociar un navegador y un sistema en distintos momentos, horarios y en sitios web diferentes

Por otra parte, el hecho de que la realidad no sea la que queremos que sea, tiene que ser un argumento para cambiarla, y no para dar perdida toda batalla y dedicarse a cumplir ciega y pacatamente con los designios que tengan las poderosas para con nosotras. También hay que agregar, que somos las personas (no en carácter de usuarias sino de personas) quienes tenemos derecho a la intimidad, por lo que el hecho de no contar con ella se trata de una violación a nuestros derechos y esto, bajo cualquier contexto, es inaceptable.

Una de las razones por la que es muy fácil obtener información de las personas, es que no están al tanto de cuán importante es cada dato que enviamos por Internet o que colocamos en una computadora.

Si desactivaste las cookies y activaste el modo “privado” de tu navegador (incógnito, en algunos navegadores), probablemente sientas que nadie puede ver a dónde vas ni qué visitás en Internet. Te cuento que te equivocás, y que hay un proyecto dedicado a medir cuán individualizable es tu navegador. La Electronic Frontier Foundation (EFF) lanzó un proyecto llamado Panopticlick bajo el slogan “¿cuán único y traceable es tu navegador?”. Se trata de una web-app que mide exactamente lo que anuncian.

El panóptico es un centro penitenciario “ideal” que ideó Jeremy Bentham en 1791. Es un sistema que permite observar a todas las internas sin que ellas puedan saber si están o no siendo observadas, algo realmente repudiable. El concepto se masificó (o mediatizó) cuando Michel Foucault lo consideró en su libro Vigilar y Castigar como un ejemplo de una nueva tecnología más trascendente que el ejército, la educación o las fábricas. Ése es el concepto tomado por la web de la que te hablamos hoy.

Panopticlick demuestra que no importa cuán esforzado sea tu intento de ganar privacidad, siempre quedan huellas que permiten tracearte y que combinándolas con otros datos pueden servir inclusive para ubicarte geográficamente, y además esto puede obtenerse con un solo click.

El sitio hace un análisis de las características de tu navegador en el que incluye plugins, tamaño de pantalla, la zona horaria y otras características que hacen único a tu equipo. Luego determina cuán fácilmente pueden identificarse estas características.

Cuanto más único tu equipo, más fácil ubicarte.

Para resguardar tu intimidad, hay millones de cosas que hacer, todo depende del esfuerzo que le pongas y cuán dentro de tu equipo querés que entre gente a husmear tu vida. El tema es que también es contraproducente: hice la prueba en un equipo hiper seguro, pero con una combinación de software y hardware muy particular, por lo que el test arrojó que este equipo es único entre 3.461.412. Lo que, si tenemos en cuenta la cantidad de equipos conectados a la red en nuestro país según el último informe, nos dice que en Argentina existen sólo 5 equipos más como el que usé para el test.

cropped cropped cropped world connected21

Claro, es un equipo armado para que sea difícil tracearlo, si lo hacen, probablemente terminen en cualquier lugar, pero si alguien se esfuerza en rastrearlo, sería verdaderamente simple encontrarlo. La única forma de que no te rastreen es que tu máquina no esté conectada a Internet y, de ser posible, que nunca lo haya estado ni vaya a estarlo.

Ahora, el problema del trackeo es que se puede deducir tu identidad. Dicen en la EFF “si lo único que tengo de una persona es su código postal, no sé quién es esta persona, si todo lo que sé es su fecha de nacimiento, no sé quién es esta persona, si sólo se su género, no sé quién es esta persona. Pero si sé estas tres cosas de una persona, probablemente podría deducir su identidad”.

La entropía, definida en estudios como los que realiza la EFF, es una magnitud matemática que nos permite medir cuán cerca de alguien proviene un determinado acto como para intentar definirlo de forma individual, única. La EFF mide la entropía en bits y plantea que puede intuitivamente generalizar el número de posibilidades que existe de una variable aleatoria, si hay dos posibilidades, entonces hay 1 bit de entropía, si hay cuatro, hay 2 bits de entropía. Agregando más bits, el número de posibilidades se duplica exponencialmente.

Si lo único que sabemos de alguien es que tiene un navegador conectado a Internet, entonces, en nuestro país, deberemos investigar a 1 persona entre 19.196.652 según los datos del censo. Pero si sabemos que ese navegador es Chromium, la cuenta se reduce a 11.517.991,2, si sabemos que es Internet Explorer a 2.879.497,8. Éso, para la EFF, sería sólo 1bit de entropía. Pero lo cierto es que podemos saber mucho más de una persona.

Un navegador, buscando sacar el jugo a las características y avances de la web, permite que se acceda a información aparentemente inofensiva a través de Java, JavaScript, Flash y los plugins que tengas al navegador. Estos datos son la IP, la resolución de la pantalla, si tiene las cookies habilitadas o no, qué plugins está ejecutando y otros datos más que van colaborando con individualizar al navegador. Toda esta información -más el software que tenés instalado en tu computadora- configuran tu huella digital en Internet. No se trata de una huella fija, ya que va a cambiar en la medida en que instales o desinstales software o modifiques tu configuración. En apariencia, estos datos no son importantes, pero ¿qué pasa si los cruzamos?

Panopticlick-Browser-FingerprintingEl Panopticlick sigue determinadas reglas para identificar cuán único es un equipo. Podés leer estas reglas, el estudio de la EFF y sus conclusiones (es interesantísimo) en este enlace.

Según puede leerse en el informe publicado por la EFF, basado exclusivamente en visitantes al sitio del proyecto, las huellas digitales son cambiantes, esto les hizo pensar que en realidad no era tan fácil individualizar a las personas que visitaron la web. Pero encontraron luego que utilizando un algoritmo simple podían adivinar y seguir a muchos de sus visitantes aunque estas cambiaran su huella digital, pues el algoritmo permitía encontrar la huella digital “madre” en el 99.1% de los casos y arrojaba un porcentaje minúsculo de falsos positivos: 0.87%.

Bueno, ahora avancemos un poco. Ya sabemos que sólo con nuestra huella digital (insisto: leé el informe de la EFF, es muy interesante) podemos tener una enorme cantidad de información de una persona, pero… ¿y si vamos más profundo?

Las redes anti-sociales como Facebook o los sistemas hiper invasivos como Google o Micro$oft además dejan una huella mucho más identitaria que las del software. Suponete que luego de conectarte a Facebook se te ocurre ingresar a buscar algo en Google o en cualquier sitio que utilice software como javascript o java (una enorme cantidad de webs) para poder funcionar, entonces este sitio podría sumar los datos que guarda Facebook en tu computadora con los datos que recolectan utilizando ese software y de esta manera achicar ENORMEMENTE la brecha.

Panopticlick, como te decía, utilizó un algoritmo simple para encontrar huellas digitales fundadoras y con esto individualizar una huella digital aunque esta haya cambiado. Supongamos que somos el Estado y tenemos poder. Si a tu huella digital madre le sumamos que vía cualquier red social van a poder obtener tu nombre de usuaria, que puede determinarse tu zona geográfica a través de tu dirección IP y que tu proveedor de Internet tiene exactamente la IP que estás usando, durante cuánto tiempo y en qué contexto, es muy simple llegar a vos.

Ahora, si somos un Estado que quiere atacar a un determinado grupo y se nos da por comenzar a rastrear la navegación de esa usuaria y se nos ocurriera apuntar nuestros satélites a ese lugar… ¿qué pasa?

Divertite viendo cuán en la mira podés estar, o bien, desafiate viendo cómo correrte de ella.

¡Happy Hacking!

image/svg+xmlTribuna Hacker existe gracias a

1 comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *