El color de los enlaces ha estado revelando información sobre usted durante 20 años. ¿Y pensabas que era sólo diseño?

La empresa Google finalmente ha corregido una antigua vulnerabilidad en el navegador Chrome que permitía a los sitios web rastrear el historial de páginas visitadas por el usuario. Se trata del mecanismo de visualización de enlaces: cuando el usuario hacía clic en un enlace, este cambiaba de color de azul a violeta gracias al selector CSS «:visited». Esta diferencia visual podía utilizarse para crear escenarios en los que los sitios descubrían qué páginas había abierto anteriormente una persona.

El problema no era meramente teórico. En los últimos años, los investigadores han demostrado numerosos ataques relacionados con este mecanismo. Entre ellos se incluyen ataques por temporización, análisis de cambios de píxeles, interacciones con el usuario e incluso ataques a nivel de procesos. Todo esto permitía a los atacantes extraer información sobre el comportamiento del usuario en el navegador sin su consentimiento.

En la próxima versión de Chrome 136, Google implementará un mecanismo de «triple aislamiento» para la base de datos de enlaces visitados. Ahora, la información sobre si un enlace fue visitado se almacenará no de forma global, sino considerando tres parámetros: la propia URL, el dominio en la barra de direcciones y la fuente del marco en el que se muestra el enlace. Esto significa que un sitio ya no podrá determinar si un enlace específico fue abierto en otro recurso: su estado «:visited» simplemente no funcionará fuera del contexto original.

Al mismo tiempo, Google ha hecho una excepción para los «enlaces internos»: si el usuario visitó una página del sitio, entonces en ese mismo sitio se mostrará como visitada incluso si el acceso se produjo desde otro recurso. Según los desarrolladores, esto no infringe la confidencialidad, ya que el propio sitio ya sabe qué páginas suyas se han abierto.

Los ingenieros de la empresa decidieron no eliminar por completo la compatibilidad con el selector «:visited», ya que proporciona importantes indicaciones visuales y ayuda en la navegación. También se rechazó la opción de un sistema de permisos, ya que es fácil de eludir o de abusar de él, empujando al usuario a aceptar el rastreo.

La función de aislamiento «:visited» apareció de forma experimental ya en la versión Chrome 132. Actualmente puede activarse manualmente accediendo a «chrome://flags/partition-visited-link-database-with-self-links» y seleccionando el modo «enabled». A partir de la versión 136, la tecnología debería estar activada por defecto, eliminando un problema que existía desde hace casi dos décadas.

En otros navegadores, la situación es por ahora menos confiable. Firefox limita los estilos para «:visited» y prohíbe que JavaScript los lea, pero no aísla la información por dominios. Safari utiliza medidas agresivas de protección de la privacidad, incluida la tecnología Intelligent Tracking Prevention, pero tampoco implementa un aislamiento completo. De este modo, Google se ha convertido en la primera empresa en ofrecer una protección arquitectónica completa contra tales ataques.

Esta medida cierra una de las brechas de privacidad más antiguas en los navegadores y demuestra cuánto tiempo pueden permanecer sin resolverse incluso los problemas más evidentes debido al complejo equilibrio entre comodidad y seguridad.