El canvas fingerprinting es una técnica de rastreo que usa el elemento <canvas> de HTML5 para dibujar una imagen invisible en tu navegador y convertir el resultado en un identificador único. Visita whatsmy.fyi para ver qué datos expone tu navegador ahora mismo.
¿Cómo funciona el canvas fingerprinting?
Cuando un sitio web ejecuta canvas fingerprinting, el script crea un elemento <canvas> oculto y dibuja texto, formas geométricas y gradientes de color sobre él. A continuación, extrae los datos de los píxeles generados mediante toDataURL() y calcula un hash de esa cadena. Este hash se convierte en tu huella digital de canvas.
El secreto está en que cada combinación de GPU, sistema operativo, controladores gráficos y fuentes instaladas produce un resultado de renderizado ligeramente diferente. Dos ordenadores distintos raramente generan exactamente la misma imagen aunque ejecuten el mismo código.
¿Por qué el canvas fingerprinting es tan preciso?
La precisión proviene de varios factores que se acumulan:
- GPU y controladores: cada tarjeta gráfica aplica su propio antialiasing y subpixel rendering al texto.
- Sistema operativo: Windows, macOS y Linux gestionan la representación tipográfica de forma diferente.
- Fuentes instaladas: la forma exacta en que se renderiza una fuente depende de qué versión está instalada y de la configuración de hinting.
- Aceleración por hardware: el mismo navegador en modo software produce un pixel diferente al modo con GPU activada.
Esta combinación genera un nivel de entropía equivalente a varios bits de identificación, lo que lo convierte en uno de los vectores de huella digital más estables.
¿Es invisible para el usuario?
Sí. El canvas suele crearse con estilo display: none o fuera del área visible. No hay ningún indicador visual de que el script se está ejecutando. El proceso tarda apenas unos milisegundos y ocurre de forma silenciosa durante la carga de la página.
¿Cómo protegerse del canvas fingerprinting?
Existen varias estrategias con distinto nivel de eficacia:
- Brave Browser: añade ruido aleatorio a los datos del canvas en cada sesión, lo que altera el hash sin romper la funcionalidad de los sitios.
- Firefox con resistencia a la huella digital: la opción
privacy.resistFingerprintingdevuelve un canvas en blanco o con ruido. - Extensiones Canvas Blocker: interceptan las llamadas a
toDataURL()y modifican los datos devueltos. - Tor Browser: normaliza el canvas para que todos los usuarios compartan la misma huella digital.
Bloquear JavaScript por completo también elimina el canvas fingerprinting, pero rompe la mayoría de los sitios modernos y resulta poco práctico para el uso cotidiano.
Canvas fingerprinting y el RGPD
En Europa, el Reglamento General de Protección de Datos (RGPD) clasifica los identificadores generados por huella digital como datos personales cuando pueden asociarse a un individuo. Esto significa que los sitios que emplean canvas fingerprinting con fines de seguimiento publicitario deben obtener el consentimiento explícito del usuario. En la práctica, muchos servicios lo utilizan sin informar adecuadamente, lo que lo convierte en un área de cumplimiento activamente vigilada por las autoridades de protección de datos en España y el resto de la UE.
Diferencias respecto a las cookies
A diferencia de las cookies, el canvas fingerprinting no almacena nada en tu dispositivo. No puedes borrarlo desde la configuración del navegador, no expira y sigue funcionando en modo de navegación privada. Esto lo hace especialmente difícil de eludir sin herramientas específicas.
¿Qué otros métodos de huella digital existen?
El canvas fingerprinting raramente se usa solo. Se combina con técnicas como WebGL fingerprinting, audio fingerprinting y font fingerprinting para crear un perfil mucho más preciso. Puedes ver tu huella digital completa del navegador para entender cuántos señales combinadas emite tu dispositivo.
