Mientras exploras una web, Chrome filtra tu información — y el modo incógnito no lo evita.

Mientras los usuarios navegan en Google Chrome de forma tranquila, decenas de mecanismos ocultos ya recopilan un expediente detallado sobre ellos. No se trata de ataques teóricos descritos en trabajos científicos, sino de herramientas reales que funcionan ahora mismo y se utilizan en millones de sitios.

El autor de un extenso análisis técnico recopiló prácticamente la lista completa de vulnerabilidades del navegador en el lado del cliente. La conclusión principal suena desagradable: Chrome casi no protege contra el seguimiento oculto, y muchos métodos permiten saber del usuario más de lo que él mismo conoce de su propio dispositivo.

Uno de los métodos más extendidos – la llamada «huella del navegador». El sitio dibuja una imagen oculta mediante interfaces gráficas y luego analiza el resultado. Diferentes tarjetas gráficas, sistemas operativos e incluso pequeñas particularidades del renderizado producen un patrón único. Este método se emplea en aproximadamente el 12,7% de los sitios populares. Chrome no impide esas comprobaciones.

De forma similar funcionan otras tecnologías. A través de WebRTC los sitios averiguan las direcciones IP de los usuarios, mediante WebGL obtienen datos sobre la tarjeta gráfica, por medio de WebGPU características del dispositivo y por el sistema de audio cómo procesa el sonido. Incluso la lista de fuentes instaladas, los idiomas de la interfaz y los parámetros de pantalla se combinan en un perfil único del usuario. Algunos métodos rozan el absurdo: analizan cómo el sistema muestra los emoji o qué voces están disponibles en la síntesis de voz.

También hay filtraciones más directas. La API del teclado revela la distribución. Los sensores de movimiento pueden transmitir particularidades de un dispositivo concreto. Incluso simples consultas CSS sin JavaScript permiten reunir decenas de características y enviarlas al servidor.

Y la protección integrada casi no existe. En otros navegadores ya han aparecido mecanismos que deliberadamente distorsionan esos datos o limitan el acceso a ellos. En Chrome no se han implementado medidas semejantes, y Privacy Sandbox, que debía resolver el problema, se cerró en 2025.

Otro capítulo aparte es el seguimiento mediante almacenes de datos. Las cookies siguen funcionando por completo, incluidas las de terceros. A pesar de las promesas de años de renunciar a ellas, el navegador continúa soportando el modelo antiguo. Los sitios registran identificadores y luego los usan para rastrear a los usuarios entre distintos recursos.

Incluso si se borran las cookies, quedan otros métodos. localStorage e IndexedDB almacenan datos durante años, la caché puede actuar como una «super-cookie», y cabeceras HTTP como ETag permiten identificar al usuario sin necesidad de JavaScript. También existen esquemas más ingeniosos: los sitios redirigen a través de recursos intermedios, añaden identificadores en los enlaces o camuflan los rastreadores como dominios "propios" mediante DNS.

Particularmente peligrosa es la llamada ofuscación CNAME. En ese caso, un servicio externo parece formar parte del sitio y el navegador le envía incluso cookies de servicio. Chrome no bloquea esos esquemas ni ofrece a las extensiones herramientas para una verificación completa.

A pesar de todo esto, el usuario no queda totalmente desprotegido. El autor describe cómo detectar estas técnicas mediante una extensión del navegador con privilegios ampliados. Dicha extensión puede interceptar llamadas a funciones, supervisar las solicitudes de red y analizar los almacenes de datos. La única limitación: los métodos a nivel de protocolo de red, como las huellas TLS, siguen siendo invisibles.

La conclusión general es contundente. Chrome casi no dificulta la recolección de huellas digitales, no limita el rastreo dentro de los sitios y no cierra esquemas complejos de ofuscación. Además, las técnicas hace tiempo que dejaron la teoría y se aplican en la red real cada día. Entender cómo funciona el rastreo es la única manera de oponerse, al menos en parte.