El browser storage fingerprinting detecta qué mecanismos de almacenamiento tiene disponibles tu navegador —localStorage, sessionStorage, IndexedDB, cookies— para generar una señal de identificación. La disponibilidad y el comportamiento de estos almacenes revela información sobre tu configuración de privacidad. Analiza tu navegador en whatsmy.fyi.
¿Qué es el browser storage fingerprinting?
Los navegadores modernos ofrecen varios mecanismos de almacenamiento del lado del cliente, cada uno con características diferentes. El storage fingerprinting no examina qué datos están almacenados, sino qué almacenes están disponibles, cuáles funcionan, y cómo se comportan ante ciertas operaciones. Esta "firma de capacidades" es característica de configuraciones de privacidad específicas.
Los mecanismos de almacenamiento que se detectan
- localStorage: almacenamiento persistente de clave-valor sin fecha de expiración. Si está desactivado por el usuario, genera una excepción de seguridad al intentar acceder.
- sessionStorage: similar a localStorage pero limitado a la sesión actual del navegador.
- IndexedDB: base de datos de objetos en el navegador. Su presencia o ausencia, y los errores específicos que genera, son característicos de ciertos navegadores y configuraciones.
- Cookies: el mecanismo más antiguo.
navigator.cookieEnabledreporta si las cookies están activas. - Cache API y Service Workers: disponibles solo en contextos seguros (HTTPS); su presencia indica soporte para Progressive Web Apps.
La técnica Evercookie y el almacenamiento persistente
En 2010, el investigador Samy Kamkar publicó Evercookie, una técnica que utiliza todos los mecanismos de almacenamiento disponibles simultáneamente para crear una cookie "inmortal". Si el usuario borra un mecanismo, los demás lo restauran automáticamente. Evercookie usa hasta 20 vectores diferentes incluyendo localStorage, IndexedDB, Web SQL, userData de IE, cookies del navegador, cookies ETags, y hasta datos en imágenes PNG con datos RGBA codificados.
Aunque Web SQL está deprecado y muchas de estas técnicas han sido parcheadas, el principio sigue siendo relevante: múltiples almacenes redundantes dificultan la limpieza completa.
¿Qué revela tener localStorage desactivado?
Si un script detecta que localStorage lanza una excepción de tipo SecurityError, puede inferir varias cosas:
- El usuario está en modo de navegación privada en Safari (que bloquea localStorage)
- El usuario ha desactivado manualmente el almacenamiento de sitios web
- El navegador tiene restricciones de seguridad del sistema operativo
Irónicamente, tener localStorage desactivado hace que el usuario sea más identificable porque este comportamiento es inusual. Es un ejemplo del problema paradójico de la privacidad: las medidas extremas pueden hacerte más único.
IndexedDB y la detección de errores específicos
El comportamiento de IndexedDB cuando se deniega el acceso varía entre navegadores y entre versiones del mismo navegador. Chromium lanza un DOMException con el mensaje "Access denied." en algunos contextos; Firefox usa un mensaje diferente; Safari tiene su propio comportamiento en modo privado. Estas diferencias de implementación son señales de fingerprinting.
¿Cómo protegerse?
- Modo de navegación privada: limita el almacenamiento persistente pero no lo elimina completamente. Los datos se borran al cerrar la ventana privada.
- Firefox (ETP Strict): aísla el almacenamiento por dominio, evitando el rastreo entre sitios mediante localStorage o IndexedDB compartidos.
- Brave Browser: aísla el almacenamiento de terceros por sitio, similar al particionamiento de cookies.
- Borrado periódico de datos del sitio: desde la configuración del navegador, aunque el fingerprinting no almacena nada propio.
Storage fingerprinting vs. rastreo mediante cookies
El storage fingerprinting no es lo mismo que el rastreo mediante cookies. Las cookies son un mecanismo de rastreo activo que almacena un identificador. El storage fingerprinting detecta pasivamente qué mecanismos existen y cómo se comportan, sin escribir datos de rastreo propios. Esta distinción es importante desde el punto de vista del RGPD: el fingerprinting pasivo no require la misma gestión que las cookies pero sigue siendo procesamiento de datos personales.
Más sobre la huella digital del navegador
Consulta nuestra guía completa sobre la huella digital del navegador y explora técnicas relacionadas como el cookie enabled fingerprinting y el canvas fingerprinting.
