CreepJS: Cómo te ve la prueba de huella digital del navegador
Abre una página web cualquiera y, antes de hacer clic en nada, ya puede identificar tu navegador entre millones. Sin inicio de sesión, sin cookies, sin solicitud de permisos. Puedes borrar tu historial, cambiar al modo incógnito, usar una VPN para todo, y aun así, la página a menudo te reconocerá. No funciona a partir de tu dirección IP, sino gracias a las miles de pequeñas peculiaridades que tu navegador ofrece automáticamente. CreepJS es la herramienta que demuestra tu nivel de exposición, y una vez que la veas funcionar, la web dejará de parecer tan anónima. Esta guía explica qué es CreepJS, cómo te identifica, cómo combatir la erosión de la privacidad del navegador y por qué debería importarle a cualquiera que tenga más de una cuenta de criptomonedas.
¿Qué es la huella digital del navegador?
La huella digital del navegador es una identificación sin etiquetas. En lugar de instalar una cookie en tu dispositivo y leerla posteriormente, un script recopila discretamente las decenas de detalles que tu navegador revela simplemente al cargar una página, y luego los combina en un único valor que suele ser exclusivo de ti. La resolución de tu pantalla, las fuentes instaladas, tu zona horaria, tu agente de usuario , la forma exacta en que tu tarjeta gráfica procesa una imagen: cada uno de estos datos es insignificante por sí solo, pero combinados describen un navegador y casi ningún otro.
¿Qué tan única es esa combinación? En un estudio histórico de la EFF , Peter Eckersley descubrió que el 83,6 % de los navegadores eran únicos entre los visitantes que se sometieron a pruebas, cifra que ascendió al 94,2 % al incluir los detalles de los complementos, con una huella digital que contenía aproximadamente 18,1 bits de información identificativa. Un estudio posterior de 2018, realizado con dos millones de visitantes a un sitio web popular, situó la singularidad en el mundo real en un nivel inferior, alrededor del 33,6 %, debido a que los usuarios comunes se agrupan en configuraciones habituales. La realidad se encuentra entre estas cifras, y en cualquier caso, cuanto más inusual sea tu navegador, más te delatará tu huella digital única.
Esta técnica es mucho más común de lo que la mayoría de la gente cree. Un análisis de Princeton de un millón de sitios web importantes reveló que la técnica de huella digital Canvas se ejecutaba en aproximadamente el 1,6 % de ellos, superando el 5 % de los sitios más populares, y mediciones posteriores la situaron cerca del 10 % de los cien mil sitios principales para 2021. Su impacto es desigual, ya que una investigación de AmIUnique descubrió que aproximadamente el 90 % de los navegadores de escritorio eran únicos, frente al 81 % en dispositivos móviles, donde el hardware tiende a ser más uniforme. De una forma u otra, la técnica de huella digital se utiliza silenciosamente en una gran parte de las páginas que ya visitas.
¿Qué es CreepJS y quién lo creó?
CreepJS no es un rastreador que intenta vender tus datos; es una biblioteca de código abierto para la identificación de usuarios y una herramienta de simulación, creada por el desarrollador Abraham Juliot para demostrar la fragilidad de la mayoría de las medidas de privacidad y cómo funciona la identificación de usuarios en la práctica. Simplemente accedes a la demostración en vivo con tu navegador, este ejecuta las pruebas y te devuelve un informe sobre la fiabilidad y la capacidad de identificación de tu navegador.
El proyecto se encuentra en GitHub bajo una licencia MIT permisiva, cuenta con aproximadamente 2400 estrellas y agrupa más de veinte categorías de pruebas en una sola página. Se entiende mejor como una herramienta de referencia para la investigación que como un bloqueador de bots para el mundo real, el criterio que utilizan los investigadores de privacidad y los proveedores de sistemas anti-detección para evaluar su propio trabajo. Si tu configuración de sigilo no resiste CreepJS, tampoco resistirá un servicio comercial serio de identificación de huellas digitales, razón por la cual esta herramienta se ha convertido en el examen no oficial para el que todos se preparan.
El informe que genera es inusualmente detallado para una herramienta gratuita. Además de la puntuación de confianza principal, enumera todas las señales medidas, marca las que parecen manipuladas y muestra la estabilidad de tu huella digital al recargar la página. Por eso, los desarrolladores recurren a ella en primer lugar cuando quieren saber si un ajuste de privacidad realmente ha tenido algún efecto o si solo da esa impresión.
Cómo funciona CreepJS internamente
La mayoría de las comprobaciones de huella digital simplemente leen la configuración. CreepJS va más allá, ya que obliga a tu navegador a realizar acciones reales: dibujar una imagen, renderizar en 3D, analizar la huella digital de audio de un sonido generado, activar temporizadores y, finalmente, estudiar cómo tu máquina realiza cada tarea. Es mucho más difícil falsificar el "cómo" que el "qué", y ahí radica la reputación de CreepJS.
Las señales que recopila CreepJS
La herramienta obtiene información de diversas fuentes, y cada uno de estos atributos del navegador revela información ligeramente diferente sobre tu dispositivo. La siguiente tabla muestra los principales y la información que proporcionan.
| Señal | Lo que revela |
|---|---|
| Lienzo | Pequeñas diferencias de píxeles cuando tu dispositivo renderiza texto y formas. |
| WebGL / GPU | Tu hardware gráfico y controlador, expuestos a través de la renderización 3D. |
| Audio web | Cómo tu sistema de audio procesa una onda sonora generada |
| Fuentes instaladas | La lista exacta de fuentes que contiene su sistema |
| Resolución de pantalla | Tamaño de la pantalla, profundidad de color y relación de píxeles |
| Agente de usuario | Afirmaciones sobre el navegador, la versión y el sistema operativo |
| WebRTC | Detalles de la red local que pueden filtrarse a través de una VPN. |
Un script lee la mayoría de estos datos mediante JavaScript estándar y las API del navegador, incluidos los complementos que reporta el navegador. Luego, CreepJS ejecuta las mismas comprobaciones dentro de web workers y marcos ocultos para verificar las respuestas, ya que un navegador manipulado suele mostrar una respuesta en la ventana principal y otra diferente en otro lugar.
Puntuación de confianza, entropía y mentiras
CreepJS comprime cada señal en un hash, un valor compacto que representa todo tu perfil. A partir de este hash, genera una puntuación de confianza que refleja menos la rareza de tu perfil y más la coherencia y la apariencia predecible de tu navegador. Una configuración sencilla y coherente obtiene una buena puntuación, incluso si es común.
Lo ingenioso es la detección de mentiras. CreepJS busca "mentiras", esas pequeñas contradicciones que aparecen cuando alguien manipula su navegador, como un agente de usuario que afirma ser macOS mientras que las fuentes y la pila de gráficos instaladas indican claramente Windows. Si se falsifica un valor, se crea una discrepancia en otro lugar, y esa discrepancia suele ser más evidente que la señal original que se intentaba ocultar.
Va más allá de simplemente revisar etiquetas. CreepJS también mide el tiempo que tardan ciertas operaciones e inspecciona cómo el motor JavaScript redondea los resultados matemáticos, ya que las distintas versiones del motor redondean los cálculos trigonométricos de maneras sutilmente diferentes, y un número de versión falsificado no puede cambiar la forma en que el motor real realiza los cálculos. Si se acumulan suficientes de estas comprobaciones silenciosas, un disfraz convincente empieza a parecer un traje.
Lo que CreepJS revela sobre los navegadores sin interfaz gráfica
Esta es la parte que pone nerviosos a los programadores de web scraping y a los creadores de bots. Las herramientas de automatización de navegadores convencionales se activan casi al instante, porque una sesión predeterminada de Selenium o Playwright presenta indicadores obvios: el indicador navigator.webdriver está activado, el agente de usuario HeadlessChrome y señales que simplemente no se corresponden con las del navegador de una persona real. Los parches de sigilo atenúan esos indicadores, pero rara vez los eliminan por completo.
Las pruebas independientes realizadas con CreepJS demuestran la enorme diferencia que existe entre un bot sin procesar y uno bien diseñado. Las cifras que se muestran a continuación provienen de informes sobre detección de bots que sometieron cada herramienta a la misma prueba de huella digital.
| Configuración de automatización | Detección de CreepJS |
|---|---|
| Vanilla Selenium / Dramaturga | ~100% detectado |
| Dramaturgo con complemento sigiloso | ~40% detectado |
| ChromeDriver no detectado | ~31% detectado |
| Camoufox (Firefox reforzado) | Puntuación sin cabeza cercana al 0% |
La lección para cualquiera que desarrolle un programa de extracción de datos web es clara: desactivar una sola opción no basta, ya que CreepJS comprueba que todo el perfil funcione correctamente, y una herramienta de automatización encubierta en CreepJS suele obtener peores resultados que una herramienta honesta. El objetivo no es reducir el navegador al mínimo, ya que un perfil vacío resulta sospechoso, sino lograr que una sesión sin interfaz gráfica se renderice, se comporte y se cronometre exactamente como un navegador real en una pantalla real, lo cual es mucho más complejo que simplemente desactivar una sola configuración.
Cómo evitar la detección de CreepJS en cuentas de criptomonedas
Este es el punto de vista que rara vez veo en una explicación de CreepJS. Las plataformas de intercambio y airdrop utilizan huellas digitales de los visitantes por la misma razón que los casinos vigilan la sala: para detectar a una persona que maneja muchas cuentas en secreto. Una sola huella digital compartida puede vincular toda una red de billeteras "separadas" a una sola máquina.
Por qué los exchanges y los airdrops te identifican
Aquí hay mucho dinero en juego. Cuando el protocolo LayerZero llevó a cabo su operación contra el fraude Sybil en mayo de 2024, identificó 803.093 direcciones como sospechosas de utilizar múltiples cuentas para la minería de criptomonedas, y al final, aproximadamente el 59% de todos los solicitantes fueron eliminados. La identificación de dispositivos y navegadores es una de las herramientas más potentes que utilizan las plataformas para vincular esas cuentas. Se pueden crear monederos nuevos en segundos, pero generar una huella digital genuinamente nueva es mucho más difícil.
¿Qué hacen realmente los navegadores anti-detección?
Aquí es donde entran en juego los navegadores anti-detección , la categoría que incluye Multilogin, GoLogin, AdsPower y Dolphin Anty . En lugar de ocultar tu huella digital, le dan a cada perfil su propia huella digital completa e internamente consistente, de modo que cada cuenta parece una persona común diferente en lugar de la misma persona disfrazada. La demanda se ha disparado, y AdsPower por sí solo reporta un crecimiento de aproximadamente 100,000 usuarios en 2020 a aproximadamente 9 millones en 2025. Lo que hacen bien es la coherencia, ya que un perfil que es completamente consistente supera a uno que está hábilmente parcheado en tres lugares y es contradictorio en un cuarto. Internamente, cada perfil envía un conjunto coincidente de valores. Un agente de usuario creíble, una lista de fuentes, una cadena de GPU, un tamaño de pantalla y una zona horaria pertenecen al mismo dispositivo imaginario, y las mejores herramientas los rotan como una sola unidad en lugar de editar un campo y esperar que el resto siga siendo correcto. Sin embargo, aquí cabe una advertencia honesta. Una huella digital limpia protege la privacidad de tu inicio de sesión, pero no reemplaza la autocustodia ni una seguridad operativa rigurosa, y mantener muchas cuentas puede infringir los términos de la plataforma.
Cómo reducir tu puntuación de confianza en CreepJS
Un recorrido detallado es más raro de lo que uno pensaría, y la regla contraintuitiva que lo rige es que parecer normal y coherente es mejor que parecer una farsa. Aquí hay un orden lógico para seguir:
1. Empiece con un perfil de dispositivo real y común y resista la tentación de falsificar parcialmente valores individuales, porque cada discrepancia que cree es algo que CreepJS puede marcar como una mentira.
2. Para lograr un anonimato total, utilice el navegador Tor , que divide su pantalla en tamaños fijos mediante el formato letterbox y hace que todas las máquinas Windows muestren el mismo Windows y todas las Mac el mismo macOS, de modo que usted se mimetice con la multitud.
3. Consideremos Brave, cuyo sistema de sonido añade un pequeño giro aleatorio por sesión a las lecturas de lienzo y audio, de modo que los valores cambian entre sitios en lugar de formar una ID estable.
4. Evita las extensiones exóticas y las configuraciones inusuales, ya que cada elección extraña aumenta tu entropía y te hace más único, no menos.
5. Para trabajar con varias cuentas, utilice un navegador anti-detección adecuado con un perfil coherente en lugar de un montón de complementos de privacidad, luego vuelva a probar en la demostración en vivo de CreepJS y observe cómo se cuentan las mentiras, no solo la puntuación del titular.
Empieza por las cuentas que realmente importan, realiza las pruebas con honestidad y considera el resultado como una retroalimentación en lugar de una calificación que debas obtener a la primera.
Los límites de eludir la identificación del navegador
Nunca se puede vencer realmente al rastreo de huellas digitales; solo se logra mimetizarse con el entorno, y CreepJS existe para demostrar lo frágil que puede ser esa mimetización. Las herramientas anti-rastreo de huellas digitales han mejorado, pero también los métodos de detección. La tendencia general tampoco es alentadora para la privacidad. Google mantuvo las cookies de terceros activas en abril de 2025 tras años de prometer su eliminación, y a principios de ese mismo año levantó discretamente su propia prohibición del rastreo de huellas digitales para los anunciantes, una medida que el regulador de datos del Reino Unido calificó de irresponsable. El rastreo de huellas digitales está en auge, no desapareciendo, por lo que el objetivo realista es un perfil coherente y de baja entropía que se mimetice con la multitud, no la invisibilidad total.
Tu huella digital, CreepJS y la privacidad
Ejecuta CreepJS en tu propio navegador una vez y deja que la puntuación de confianza te sirva de advertencia. El objetivo no es parecer un fantasma, lo que solo te hace parecer más extraño, sino parecer normal y coherente, y usar la herramienta adecuada: Tor cuando buscas anonimato, un perfil anti-detección consistente cuando gestionas muchas cuentas. La huella digital es un juego de camuflaje que se juega a largo plazo. Así que la verdadera pregunta es simple: ¿cuándo fue la última vez que comprobaste qué le comunica tu navegador a la web?
