El font fingerprinting detecta qué fuentes tipográficas tienes instaladas en tu dispositivo midiendo cómo el navegador renderiza texto en diferentes tipografías. La lista resultante es única para la mayoría de los usuarios y no requiere cookies. Comprueba tu huella digital en whatsmy.fyi.
¿Cómo detecta un sitio web tus fuentes instaladas?
El método más común utiliza la API Canvas y la función measureText(). El script renderiza una cadena de texto con una fuente específica y mide el ancho resultante en píxeles. Si la fuente solicitada está instalada, el ancho corresponde a esa fuente; si no lo está, el navegador usa la fuente de reserva del sistema y el ancho es diferente.
Repitiendo este proceso con entre 300 y 700 fuentes diferentes, el script construye un mapa binario (presente/ausente) de tu biblioteca tipográfica. Este mapa es tu huella digital de fuentes.
¿Cuántas fuentes tiene un dispositivo típico?
Depende del sistema operativo y el software instalado:
- Windows: entre 50 y 150 fuentes del sistema, más las que instalen las aplicaciones (Microsoft Office añade decenas).
- macOS: entre 100 y 250 fuentes; las versiones del sistema operativo y las aplicaciones de Adobe modifican significativamente la lista.
- Linux: muy variable; desde 20 fuentes en un sistema mínimo hasta cientos en una estación de trabajo de diseño.
- Android / iOS: conjuntos más reducidos y estandarizados, lo que hace que los móviles sean menos únicos por fuentes pero más únicos por otras señales.
Entropía del font fingerprinting
Cada fuente adicional instalada que difiere de la configuración estándar del sistema operativo añade entropía. Un usuario que tenga instalado Adobe Creative Cloud, por ejemplo, tendrá cientos de fuentes adicionales que lo distinguen de la mayoría. Los estudios muestran que el font fingerprinting puede identificar de forma única entre el 70 % y el 85 % de los visitantes de un sitio web.
Font fingerprinting mediante CSS
Existe una variante basada únicamente en CSS que no requiere JavaScript. El truco usa la regla @font-face con una URL remota: si el navegador intenta cargar la fuente, la URL es registrada en el servidor, confirmando que la fuente no estaba instalada localmente. Aunque este método es más limitado, es funcional incluso con JavaScript desactivado.
¿Cómo protegerse del font fingerprinting?
- Brave Browser: limita el acceso a las métricas de fuentes y normaliza los resultados de
measureText()para presentar un conjunto estandarizado de fuentes independientemente de las que estén instaladas. - Firefox (privacy.resistFingerprinting): restringe las fuentes disponibles a una lista predefinida, ocultando las instaladas por el usuario.
- Tor Browser: va más lejos y devuelve solo las fuentes del sistema base, haciendo que todos los usuarios tengan la misma huella de fuentes.
Las extensiones de bloqueo de huella digital también pueden interceptar las llamadas a measureText(), aunque pueden romper la representación tipográfica en algunos sitios.
Relación con el canvas fingerprinting
El font fingerprinting y el canvas fingerprinting están estrechamente relacionados: ambos usan el elemento canvas y el motor de renderizado de texto. La diferencia es que el canvas fingerprinting captura los píxeles completos del canvas como hash, mientras que el font fingerprinting solo mide el ancho del texto para inferir qué fuentes existen.
¿Quién utiliza el font fingerprinting?
Las redes publicitarias, los servicios de prevención de fraude y las plataformas de análisis de usuarios emplean el font fingerprinting como parte de un perfil de huella digital más amplio. También aparece en herramientas de análisis de seguridad. Consulta nuestra guía completa sobre la huella digital del navegador para entender cómo se combinan estas técnicas.
