¿Aún no estás con nosotros?
Regístrate para acceder a todas las funciones del sitio.
RegistrarseHuella digital de WebAssembly: cómo el navegador se convierte en una máquina virtual y empieza a reconocer al usuario
03.05.26
Una tecnología de la que casi nadie habla
A veces, los cambios más notables en Internet comienzan de forma silenciosa. Mientras todos están ocupados con las guerras en torno al bloqueo de JavaScript y las configuraciones de privacidad «correctas», en el navegador lleva ya varios años existiendo una herramienta que amplía los límites de lo posible. Se trata de WebAssembly (Wasm): una forma de ejecutar código en la web casi a velocidad nativa.
Llamo a Wasm «la nueva bestia» de la web, y no solo por una bonita metáfora. Con él, los sitios web adquieren una nueva clase de posibilidades, incluyendo algo de lo que normalmente no se suele hablar en voz alta: nuevas formas de conocer al usuario.
¿Por qué JavaScript ha dejado de ser el principal sospechoso?
Durante mucho tiempo, JavaScript fue un blanco fácil. Decenas de mecanismos de rastreo e identificación se basan en él, por lo que en Tor Browser se bloquean los scripts de forma predeterminada, y NoScript y otras extensiones similares se han convertido en un símbolo de la «privacidad estricta».
El problema es que Wasm cambia el equilibrio. No elimina JavaScript, pero hace que el navegador sea notablemente más «computacional». Las viejas ideas sobre el «navegador seguro» empiezan a resquebrajarse, porque parte de las medidas se adentra ahora en un ámbito donde las simples prohibiciones no funcionan como estás acostumbrado.
¿Qué es WebAssembly y por qué es importante?
WebAssembly es un formato y un entorno de ejecución que permite ejecutar en el navegador código compilado desde C, C++, Rust y otros lenguajes. En pocas palabras, el sitio web obtiene acceso a cálculos de más bajo nivel que el JavaScript típico.
De ahí mi frase favorita: el navegador tiene la oportunidad de convertirse en un «minicomputador dentro del ordenador». En el extremo, esto se percibe como «casi un programa normal» en la ventana de una pestaña: monederos, mensajeros, complejos agentes antifraude. Sí, las comparaciones con VirtualBox suenan provocadoras. Pero el sentido es sencillo: el navegador se acerca más al hardware.
Una nueva huella digital: cuando la velocidad se convierte en un identificador
Lo más interesante empieza cuando se utiliza Wasm no por comodidad, sino por el fingerprinting.
Cuando hablo de «una enorme cantidad de huellas» a través de WebAssembly, no me refiero a los viejos y queridos Canvas o WebGL, que muchos ya han aprendido a manipular. Aquí entra en juego lo que normalmente se percibe como «simplemente velocidad»: rendimiento y el carácter de la ejecución.
El esquema parece casi ridículo por su simplicidad:
- JavaScript llama a las funciones de WebAssembly.
- WebAssembly vuelve a llamar a JavaScript.
- Este «ping-pong» se repite muchas veces.
- Mides cómo exactamente y con qué rapidez se ejecutan las mismas operaciones.
A continuación, conviertes las estadísticas en un identificador compacto. En la práctica, esto se empaqueta fácilmente, por ejemplo, en SHA-256.
Una precisión que da miedo
Si se combina todo con precisión, este enfoque es capaz de distinguir a los usuarios con un margen de error inferior al 1 %.
Por eso, la «sustitución del user-agent» en este panorama parece algo superficial. Cuando el motor y la infraestructura de hardware se interpretan a través del comportamiento de los cálculos, la cadena del encabezado de la solicitud cambia muy poco.
En la práctica, estas pruebas son capaces de:
- detectar el uso de máquinas virtuales,
- distinguir VPS y hardware de servidor de un PC doméstico,
- resaltar las diferencias en los tipos de CPU y la naturaleza de los cálculos.
Importante: es posible eludir estas pruebas. Pero, en la mayoría de los casos, ya no se trata de «instalar una extensión y olvidarse», sino de conocimientos de ingeniería y un ajuste preciso de los recursos. Para el usuario medio, esto suele ser inaccesible.
Dónde se está utilizando ya
Esto deja de ser un «experimento» justo en el momento en que empiezan a surgir nombres concretos.
Por lo que veo, ya está apareciendo en el arsenal de las grandes plataformas antifraude, entre las que se incluyen:
- CyberSource
- PerimeterX
También hay indicios de que Microsoft fue de los primeros en empezar a implementar el Wasm-fingerprinting en sus recursos, entre otras cosas para filtrar registros que parecen automatizados o que provienen de un entorno virtualizado.
¿Por qué se convertirá en la huella «más popular»?
La razón es trivial y desagradable:
- alta precisión,
- relativa facilidad de ejecución en el navegador,
- vinculación con características de hardware reales.
Si los sitios web comienzan a recopilar masivamente este tipo de telemetría, se convertirá rápidamente en un estándar de identificación difícil de ignorar. Y no hay que esperar a «algún momento en el futuro»: Wasm lleva mucho tiempo en los navegadores y ya se está utilizando.
¿Qué se deduce de todo esto?
Si lo resumimos en una sola idea, sería esta: la privacidad en el navegador depende cada vez menos de las casillas desmarcadas y cada vez más de cómo se comporta el hardware bajo carga.
WebAssembly se concibió como un acelerador de la web. En la práctica, se ha convertido también en un acelerador para los sistemas antifraude, que necesitan distinguir a las personas de los bots y a los dispositivos reales de los entornos virtualizados.
Por eso, el Wasm-fingerprinting no es otra «historia de miedo» más, sino un tema que vale la pena comprender al menos a nivel de principios. En adelante, lo encontrarán cada vez con más frecuencia, especialmente en ámbitos donde hay mucho en juego: finanzas, grandes plataformas, registros y protección contra abusos.
