Tor Browser ya no garantiza el anonimato: descubren una vulnerabilidad que permite rastrear a usuarios sin recurrir a cookies
Cómo lograr que Firefox muestre toda su información sin preguntas innecesarias
En los navegadores basados en Firefox se encontró una grieta inesperada que permite a los sitios «reconocer» al usuario incluso donde las personas esperan privacidad. No se trata de cookies ni de los métodos habituales de seguimiento.
El problema informaron especialistas de la empresa Fingerprint. Según ellos, la vulnerabilidad afecta a todos los navegadores basados en el motor Mozilla Firefox, incluido Tor Browser. Los navegadores revelan en la práctica una huella única que permite rastrear al usuario entre sitios sin cookies ni otros métodos habituales.
Un sitio puede crear un conjunto de bases de datos mediante el mecanismo IndexedDB, luego solicitar su lista y obtener un orden determinado. Ese orden resulta estable y único para un proceso concreto del navegador. Como resultado, sitios distintos no relacionados entre sí pueden ver la misma «huella» y entender que el usuario es el mismo.
Un aspecto particularmente desagradable está relacionado con el modo privado. Incluso después de cerrar todas las ventanas privadas, ese identificador puede persistir mientras el proceso de Firefox siga en funcionamiento. En Tor Browser la situación es aún peor. La función «Nueva identidad», que debería cortar completamente la relación entre sesiones, no ayuda: el orden de las bases de datos permanece igual y los sitios pueden vincular la actividad antes y después del reinicio.
La causa radica en la forma en que el navegador almacena los datos. En el modo privado, los nombres de las bases de datos se sustituyen por identificadores aleatorios y se registran en una tabla común que existe hasta que se reinicia el navegador. Cuando un sitio solicita la lista de bases, el navegador las devuelve sin ordenar. El orden final depende de la estructura interna del almacenamiento y permanece invariable dentro de un mismo proceso. Ese orden no está ligado a un sitio concreto, por lo que funciona de inmediato para todas las pestañas y dominios.
Para el ataque no se necesitan cookies, almacenamiento local ni otros mecanismos habituales. Basta con la interfaz estándar del navegador. Además, la «capacidad» de esa huella es bastante alta. Si un sitio crea, por ejemplo, 16 bases de datos, las posibles variaciones de orden son tan numerosas que resultan suficientes para diferenciar con fiabilidad a los usuarios dentro de una misma sesión.
Los desarrolladores informaron del problema a Mozilla y al equipo de Tor Project. La corrección ya salió en Firefox 150 y en la versión de soporte prolongado 140.10.0. La vulnerabilidad está registrada como Mozilla Bug 2024220. La solución resultó simple: el navegador ahora ordena la lista de bases de datos antes de entregarla, eliminando el «ruido» único que servía como identificador.