Fingerprinting de navegador - Docs de MetricSpot

Q: Mi equipo de fraude necesita FingerprintJS en el checkout. ¿Puedo mantenerlo?

Probablemente sí, con un alcance estrecho: cárgalo solo en /checkout y /login, documenta el propósito de seguridad en tu política de privacidad y apóyate en la excepción del EDPB de "estrictamente necesario para un servicio solicitado explícitamente por el usuario". Consigue el visto bueno de tu equipo legal — la frontera depende de la jurisdicción.

Qué comprueba esta verificación

Analiza los scripts cargados y el comportamiento en runtime en busca de técnicas conocidas de fingerprinting:

SDK comerciales — FingerprintJS Pro (fpjs.io, api.fpjs.io, CNAMEs metrics.<tu-dominio>), ThreatMetrix, IPQS, SEON.
Abuso de la Canvas API — llamadas a canvas.toDataURL() o getImageData() sobre elementos ocultos, fuera de pantalla u OffscreenCanvas justo después de renderizar una cadena fija.
Sondas WebGL — lectura de WEBGL_debug_renderer_info (cadenas de fabricante/renderizador de la GPU) sin un contexto 3D visible.
Fingerprinting con AudioContext — instanciar un OfflineAudioContext, ejecutar un oscilador y hashear el buffer.
Enumeración de fuentes — medir el ancho de cadenas de prueba con cientos de familias tipográficas para deducir cuáles están instaladas.

MetricSpot mantiene una lista blanca para SDK de analítica habituales (GA4, Plausible, Fathom) que tocan algunas de estas APIs de forma inocua, así que la regla solo salta cuando el patrón coincide con fingerprinting activo.

Por qué importa

Los reguladores han cerrado el resquicio de “no es una cookie, así que no aplica el consentimiento”. Las directrices del EDPB de 2023 sobre el art. 5(3) de la ePrivacy tratan cualquier técnica del lado cliente que lea o escriba información del dispositivo del usuario — fingerprinting incluido — como sujeta al mismo consentimiento previo, informado y opt-in que las cookies. La CNIL, la ICO y la DPC han confirmado esta línea.

Eso significa que un script de fingerprinting que se dispara antes de que el visitante acepte tu banner de consentimiento de cookies es la misma infracción que colocar una cookie _ga antes del consentimiento — y la supervisión es activa. La CNIL multó a Criteo con 40 M€ en 2023 en parte sobre esta base.

Más allá del ángulo legal: el fingerprinting identifica a usuarios entre sesiones y a través de la red. Si un SDK de terceros filtra la huella, has ayudado a construir un perfil en la sombra de cada visitante.

Cómo arreglarlo

Esta es una regla de detección, no un flag de configuración. La solución consiste en auditar lo que se está ejecutando y condicionarlo al consentimiento.

1. Inventario. Abre DevTools → Network → filtra por Initiator y busca los scripts que MetricSpot marcó. Rastrea cada uno hasta una regla del gestor de etiquetas o un <script> de tu plantilla. Si no sabes por qué está ahí, no debería estar.

2. Decide si lo necesitas. La detección de fraude en una página de checkout puede justificar FingerprintJS Pro. Una landing de marketing casi nunca. El margen del EDPB para lo “estrictamente necesario” es estrecho — la seguridad y la prevención del fraude pueden encajar, el enriquecimiento de analítica no.

3. Condiciónalo al consentimiento. Si mantienes el script, cárgalo solo después de que el usuario acepte. Con una CMP (OneTrust, Cookiebot, Iubenda, Klaro):

<!-- Don't load directly -->
<script src="https://fpjs.io/web/v3/<key>/loader.js"></script>

<!-- Gate via CMP - example: Klaro -->
<script type="text/plain" data-name="fingerprintjs"
        src="https://fpjs.io/web/v3/<key>/loader.js"></script>

Y en tu klaro-config.js:

services: [{
  name: "fingerprintjs",
  purposes: ["security"],
  required: false,
  default: false,
}]

4. Detección en servidor. Si el proveedor ofrece un SDK server-side (el serverApi de FingerprintJS Pro), prefiérelo en rutas autenticadas — se queda dentro de tu frontera de confianza de primera parte y es más fácil de auditar.

5. Documéntalo. Actualiza tu política de privacidad nombrando al proveedor, la finalidad (“prevención del fraude en pagos”), los datos recogidos y el plazo de retención. Una plantilla genérica no basta.

Empareja esta comprobación con la de rastreadores de terceros — ambas examinan el mismo inventario de scripts desde ángulos distintos.

Preguntas frecuentes

¿Es legal en la UE el “cookieless tracking”?

No, no sin consentimiento. El argumento de marketing de que cookieless = sin consentimiento es erróneo bajo la interpretación actual del EDPB. El disparador del consentimiento es leer o escribir en el dispositivo, sea cual sea el mecanismo.

¿Y la analítica server-side como Plausible o Fathom?

Esas están bien. Derivan un hash diario rotativo a partir de la IP y el user-agent en el servidor, nunca lo guardan y no sondean APIs del lado cliente. La lista blanca de MetricSpot las excluye.

Mi equipo de fraude necesita FingerprintJS en el checkout. ¿Puedo mantenerlo?

Probablemente sí, con un alcance estrecho: cárgalo solo en /checkout y /login, documenta el propósito de seguridad en tu política de privacidad y apóyate en la excepción del EDPB de “estrictamente necesario para un servicio solicitado explícitamente por el usuario”. Consigue el visto bueno de tu equipo legal — la frontera depende de la jurisdicción.