La privacidad en la web no se está rompiendo solo con cookies o scripts de terceros. Ahora también se está empujando hacia el hardware que tienes debajo del navegador. Una investigación reciente mostró que un sitio web puede intentar inferir actividad de tu SSD analizando cómo responde el almacenamiento cuando se usa desde JavaScript. No necesita leer tus archivos ni tocar el disco directamente. Le basta con medir tiempos, saturar operaciones y observar patrones.
Eso cambia el nivel del problema. Ya no hablamos solo de rastreo por IP, tamaño de pantalla o fuentes instaladas. Hablamos de una superficie de fingerprinting que se mete en el comportamiento del dispositivo, algo que complica más la defensa para navegadores, extensiones y sistemas anti-tracking. Si usas Chrome, Firefox, Safari o cualquier navegador moderno, esto te afecta aunque nunca hayas aceptado una cookie.
Qué está pasando con el fingerprinting del SSD
La idea base es simple: un sitio web ejecuta código en tu navegador y provoca actividad de lectura o escritura indirecta sobre el almacenamiento. Después mide cuánto tarda el sistema en responder. Si el SSD está ocupado, si hay contención con otras tareas o si la latencia cambia de cierta forma, ese comportamiento puede convertirse en una señal. No es magia ni acceso directo al disco, es observación de efectos colaterales.
En la práctica, esto se parece a otros métodos de fingerprinting que ya conoces, como medir la GPU con canvas, la CPU con tareas intensivas o la red con tiempos de respuesta. La diferencia es que aquí la señal puede venir de un componente que normalmente no asocias con el navegador: el SSD. Eso abre una ventana extra para distinguir dispositivos o incluso detectar estados de actividad que no querías exponer.
La parte delicada es que el navegador no puede asumir que toda latencia viene del sitio. Tu equipo puede estar sincronizando archivos, actualizando apps, indexando contenido o moviendo datos en segundo plano. Un atacante puede usar esa variación como parte de una huella más amplia. No necesita precisión perfecta para ser útil; en tracking, muchas veces basta con reducir la población de usuarios a un grupo más pequeño.
Por qué esto no es solo una curiosidad técnica
Si una técnica se puede automatizar en una página web, deja de ser un experimento de laboratorio. Se vuelve una pieza más en la caja de rastreo. Y cuando una pieza nueva aparece, los defensores tienen que decidir si la bloquean, la degradan o la dejan pasar porque rompería demasiadas cosas legítimas.
También hay un problema de escala. Un método que funcione en un porcentaje pequeño de equipos puede seguir siendo valioso si se combina con otras señales. Por ejemplo, un sitio puede mezclar esta información con idioma, zona horaria, hardware concurrency, tamaño de pantalla y comportamiento del navegador. El resultado no es una identidad absoluta, pero sí una huella bastante útil.
Cómo puede usarlo una página web
No hace falta imaginar algo sofisticado para entender el riesgo. Un sitio puede cargar scripts que disparen operaciones de almacenamiento a través de APIs del navegador, medir tiempos con alta resolución y repetir el proceso varias veces para bajar el ruido. Con suficientes muestras, la página puede construir un perfil de comportamiento del equipo.
Esto no significa que el sitio vea tu SSD como si tuviera acceso físico a tu computadora. Lo que hace es explotar la manera en que el sistema operativo, el navegador y el hardware coordinan operaciones. El navegador es el intermediario, y eso es suficiente para crear un canal lateral. Si el sitio logra distinguir patrones consistentes, ya tiene una señal explotable.
La técnica también puede servir para detectar estados transitorios. Por ejemplo, si tu equipo está bajo carga, si el almacenamiento está más lento de lo normal o si hay procesos que compiten por I/O. En tracking, saber que un dispositivo está en cierto estado puede ayudar a correlacionar sesiones o a validar que un mismo usuario volvió a conectarse.
Qué tipo de señales se pueden medir
Los investigadores suelen trabajar con métricas como latencia, jitter, tiempos de ejecución repetidos y diferencias entre cargas secuenciales. No hace falta entrar en matemáticas complejas para entenderlo: si una operación tarda 3 ms en un caso y 9 ms en otro, esa diferencia ya sirve como dato.
También importa la repetibilidad. Una sola medición puede ser ruido. Cien mediciones en un mismo patrón empiezan a parecer una firma. Por eso estas técnicas suelen apoyarse en loops, workers y pequeñas cargas de trabajo que parecen inocentes desde fuera.
A continuación tienes una vista simplificada de cómo se comparan varias técnicas de fingerprinting en la web:
| Técnica | Qué mide | Dificultad para bloquearla | Riesgo de tracking |
|---|---|---|---|
| Canvas fingerprinting | Renderizado de texto e imágenes | Media | Alto |
| WebGL fingerprinting | GPU y drivers | Media | Alto |
| Audio fingerprinting | Procesamiento de audio | Media | Medio |
| SSD activity fingerprinting | Latencia e I/O indirecto | Alta | Medio a alto |
Por qué esto eleva la barra para navegadores y defensas anti-tracking
Los navegadores llevan años recortando superficies de rastreo. Bloquean third-party cookies, limitan acceso a APIs sensibles, reducen la precisión de ciertos relojes internos y aplican particionado de almacenamiento. Pero cada vez que se cierra una puerta, aparece otra señal lateral. El fingerprinting del SSD entra justo en esa lógica.
El problema para los navegadores es que no pueden prohibir toda interacción con el almacenamiento local. La web necesita guardar cosas: caches, IndexedDB, Service Workers, archivos descargados, sesiones y datos de aplicaciones web. Si bloqueas demasiado, rompes usos reales. Si permites demasiado, dejas espacio para mediciones abusivas.
Esto obliga a buscar mitigaciones más finas. Algunas pueden ser la reducción de precisión en timers, el aislamiento entre sitios, el throttling de operaciones sospechosas o el endurecimiento de APIs que permiten inferir estado del sistema. Pero ninguna solución es gratis. Cada defensa tiene costo en compatibilidad, rendimiento o complejidad.
Qué pueden hacer los navegadores hoy
No existe un botón universal que elimine todo fingerprinting. Lo que sí existe es un conjunto de medidas que reducen la superficie. Según la documentación oficial de Mozilla sobre protección contra fingerprinting y privacidad en Firefox, el navegador ya aplica varias barreras para limitar rastreo entre sitios. Puedes revisarlo en la guía oficial de privacidad de Mozilla: https://support.mozilla.org/en-US/kb/firefox-protection-against-fingerprinting
Brave también documenta su enfoque para bloquear fingerprinting y reducir señales únicas del navegador. Su documentación oficial explica qué hace y qué trade-offs implica: https://support.brave.com/hc/en-us/articles/360022972511-How-do-I-use-Shields
En el caso de Chrome, la estrategia suele pasar por aislamiento, particionado y ajustes de privacidad, no por una eliminación total de señales. Google documenta varias de estas protecciones en su centro de privacidad y seguridad: https://support.google.com/chrome/answer/95647
Qué significa para tu privacidad si navegas desde LatAm
En Latinoamérica el problema tiene un matiz práctico. Mucha gente usa equipos compartidos, conexiones inestables o hardware más modesto, y eso puede hacer que las diferencias de rendimiento sean más marcadas. Un sitio que mida latencias del almacenamiento puede encontrar más variabilidad y, paradójicamente, más señal para correlacionar sesiones.
Además, en la región es común usar el mismo navegador para trabajo, banca, compras y entretenimiento. Si un tracker consigue una huella suficientemente estable, puede intentar unir actividad entre sitios distintos. No hace falta que conozca tu nombre para construir un perfil útil de hábitos, horarios y dispositivos.
También hay un punto de contexto: muchas empresas y medios en LatAm todavía dependen de publicidad programática y medición de audiencia basada en scripts. Eso crea presión para mantener técnicas de seguimiento que funcionen incluso cuando cookies y IDs tradicionales fallan. Cuando un vector deja de servir, el ecosistema busca otro.
Qué puedes hacer tú sin volverte paranoico
No necesitas dejar de usar la web. Sí conviene bajar la exposición con medidas concretas. Estas son las que más sentido tienen si quieres reducir fingerprinting en general, no solo el del SSD:
- Usa un navegador con protección anti-tracking fuerte. Firefox con ajustes de privacidad altos o Brave suelen ofrecer más barreras por defecto que una instalación estándar sin tocar.
- Separa actividades sensibles. Usa un perfil distinto para banca, correo y trabajo. Si puedes, usa un navegador o contenedor separado.
- Mantén el navegador actualizado. Muchas mitigaciones llegan por versiones nuevas, no por cambios manuales.
- Reduce extensiones innecesarias. Cada extensión suma superficie de rastreo o compatibilidad rara.
- Revisa permisos y almacenamiento del sitio. Borra datos de sitios que no necesitas mantener.
- Si tu caso lo justifica, usa un bloqueador de contenido confiable y ajusta el nivel de protección contra rastreo.
No es una lista glamorosa, pero sí útil. La privacidad real casi siempre depende de combinar varias medidas pequeñas.
Qué deberían mirar los equipos de seguridad y producto
Si trabajas en seguridad, producto o desarrollo web, esta noticia debería servirte como recordatorio de que la web no solo expone datos visibles. También expone tiempos, estados y patrones. Y esos patrones pueden convertirse en señal de seguimiento si alguien se toma el trabajo de explotarlos.
Para equipos de producto, la lección es que no basta con decir “no guardamos cookies de terceros”. Tienes que pensar en la suma de señales: timers, almacenamiento, APIs de rendimiento, workers, canvas, WebGL y ahora también el comportamiento indirecto del SSD. La privacidad se evalúa por acumulación, no por una sola API.
Para seguridad, la pregunta correcta no es si esta técnica funciona siempre, sino si puede integrarse en un pipeline de tracking. Si la respuesta es sí, aunque sea con baja confianza, entonces ya merece mitigación. Un rastreador no necesita certeza total; necesita una probabilidad suficiente para correlacionar sesiones.
Señales de alerta que conviene revisar
- Uso intensivo de timers o mediciones repetidas en páginas que no deberían necesitarlo.
- Scripts que hacen loops de carga sin una razón funcional clara.
- Dependencia excesiva en APIs de rendimiento para construir perfiles.
- Detección de comportamientos anómalos en sitios con publicidad o analítica agresiva.
Si administras una plataforma, también vale la pena revisar políticas de terceros. Muchas veces el riesgo no viene de tu propio código, sino de SDKs de analítica, adtech o antifraude que incorporan técnicas difíciles de auditar.
Tabla resumen
| Pregunta corta | Respuesta corta |
|---|---|
| ¿Qué intenta hacer esta técnica? | Inferir actividad del SSD desde el navegador. |
| ¿Lee archivos del usuario? | No, se basa en tiempos y efectos indirectos. |
| ¿Sirve para rastreo? | Sí, como parte de un fingerprint más amplio. |
| ¿Se puede bloquear por completo? | No de forma sencilla sin romper usos legítimos. |
| ¿Qué navegador conviene revisar? | El que uses hoy, porque todos pueden verse afectados. |
| ¿Qué ayuda más al usuario? | Protección anti-tracking, perfiles separados y menos extensiones. |
La lectura más honesta de este tema es esta: la web sigue encontrando formas de medir tu dispositivo sin pedirte permiso de forma clara. Hoy fue el SSD; mañana puede ser otro componente que parecía fuera del alcance del navegador. El patrón se repite porque el incentivo económico para rastrear sigue ahí.
Eso no significa que estés indefenso. Significa que la privacidad ya no se protege con una sola configuración. Si quieres navegar con menos exposición, necesitas combinar navegador, hábitos y separación de contextos. Y si trabajas en producto o seguridad, toca asumir que el fingerprinting no se queda quieto.
Preguntas frecuentes
¿La web puede leer directamente mi SSD?
¿Esto significa que me están robando archivos?
¿Firefox, Brave o Chrome están igual de expuestos?
¿Sirve usar una VPN contra este tipo de rastreo?
¿Las extensiones anti-rastreo bloquean esta técnica?
¿Esto afecta también a móviles?
¿Qué debería hacer si trabajo en una empresa con analítica web?
Azirgo
¿Listo para construir tu Producto Digital?
Sitios web, apps móviles, software a medida y soluciones blockchain. Cuéntanos qué tienes en mente y armamos un plan claro contigo.
- Cotización clara en 48 horas
- Equipo en Ecuador, atención en español
- Desde un MVP hasta un producto en producción