Cookies e fingerprinting: Como sites rastreiam identidades para vender anúncio

Imagine que, em uma tarde qualquer, você abriu o seu mecanismo de busca favorito para pesquisar um modelo de tênis que adoraria comprar, ou simplesmente mencionou com alguém que estava de olho no sapato. Agora imagine a surpresa quando você fecha o site, entra em uma rede social e, minutos depois, vê um anúncio do mesmo produto, sem tirar nem pôr, tentando roubar a sua atenção.

• O que são ataques de ATO (account takeover)?
• Stuxnet: A história da primeira arma digital que destruiu instalações físicas

Isso não é magia (e nem o microfone do dispositivo escutando suas conversas): o que ocorre, nesse caso, é uma teia complexa de rastreadores em ação que vão seguindo as suas pegadas na internet, seja de maneira consentida ou não. Estamos falando de cookies e fingerprinting, dois elementos que rastreiam a sua atividade digital de maneiras distintas e que movimentam uma indústria bilionária cujo maior objetivo é fazer você comprar coisas que, muitas vezes, nem são necessárias naquele momento.

Para te ajudar a entender exatamente com o que você pode lidar na hora de navegar na web, o Canaltech explica aqui quais são as principais diferenças entre cookies e fingerprinting, e como ambos são usados por empresas para vender anúncio.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como funcionam os cookies

Um nome “fofo” e inofensivo, os cookies já são velhos conhecidos de quem acessa a internet com regularidade. Basicamente, um cookie é um arquivo de texto pequeno que guarda informações sobre a sua atividade online, como logins, preferências e até mesmo itens que você coloca num carrinho de compras.

Vendendo a ideia de coletar dados para facilitar a sua navegação, já que ele “lembra” dos seus passos na web, os cookies podem ter duas funções, classificadas como “primárias” ou “de terceiros”. A primeira delas tem relação com que chamamos de “Cookies de Sessão”, que são criados especialmente pelo site que você está acessando para guardar informações, como as escolhas do seu carrinho, por exemplo.

Já os cookies classificados como “de terceiros” são aqueles usados essencialmente para rastrear a sua navegação. Nesse caso, eles são criados por domínios diferentes do site principal, agindo como vilões da privacidade por usarem as suas pegadas digitais para entregar anúncios direcionados.

São esses cookies que analisam o seu comportamento, sabendo exatamente o que mostrar e quando mostrar. Tudo isso é possível graças ao carregamento de um script do Google ou do Facebook, por exemplo, que permite que essas empresas monitorem a sua atividade na internet, independentemente do site que você estiver acessando.

Vale ressaltar, no entanto, que os cookies são rastreadores consentidos, ou seja, eles pedem a permissão do usuário para entrar em ação. Você, com certeza, já passou pela experiência de entrar em um site e, de repente, ver aquela caixa de alerta perguntando se você quer ou não que o navegador colete os seus cookies.

O recurso é obrigatório, mas vem enfrentando um declínio considerável no quesito rastreamento justamente pelo bloqueio em navegadores como Safari e Firefox, além do plano Privacy Sandbox do Google. Mas isso nos leva diretamente ao surgimento de uma nova tática, mais agressiva e silenciosa.

O espião invisível: o que é browser fingerprinting

Mais avançado que o cookie, o browser fingerprinting é uma técnica usada por sites para identificar e rastrear usuários na web com o objetivo de criar uma “impressão digital”. Isso é feito a partir da coleta de informações do dispositivo, que são entregues “de bandeja” via JavaScript, como resolução da tela, qual versão e navegador usado, sistema operacional, fontes instaladas, nível de bateria, endereço IP e muito mais.

É como se uma foto fosse tirada: o fingerprinting vai capturando informações únicas do seu dispositivo para traçar um perfil do seu comportamento sem que cookies estejam necessariamente ativados. Com esse “álbum fotográfico” à disposição, empresas operam um rastreamento oculto do usuário cuja missão, na maioria das vezes, é entregar publicidade.

Além disso, existe um método ainda mais específico chamado “canvas fingerprinting”, uma técnica de rastreamento que consiste na renderização de uma imagem invisível em 3D a partir do próprio site, que faz essa solicitação para o navegador. Logo, como cada placa de vídeo renderiza pixels de um jeito diferente, mesmo que seja sutilmente, é possível ter em mãos uma “assinatura” única do hardware que não pode ser apagada pelo simples ato de limpar o cache.

A indústria AdTech

A essa altura do campeonato você pode estar se perguntando: mas como essas empresas conseguem transformar nossos dados em dinheiro? Simples: usando uma prática chamada Real-Time Bidding (RTB).

Pense no RTB como aquele leilão que vende peças de arquivo de uma grande estrela do cinema, por exemplo. O ponto aqui é que, ao invés de vender um vestido milionário que a artista usou em uma premiação badalada, o leilão vende as informações coletadas no seu navegador.

Tudo acontece de maneira automatizada e instantânea: assim que você acessa um site ou aplicativo, o tempo em que a página carrega é o suficiente para que o seu comportamento seja capturado por cookies ou fingerprinting. Esses dados coletados são enviados para uma espécie de “bolsa de anúncios”, onde anunciantes dão lances em tempo real.

Como em leilões mais “tradicionais” fora do mundo da web, o RTB também coroa o lance maior como vencedor. Isso leva o anunciante vitorioso a ter a chance de exibir a propaganda dele para o usuário, tudo antes da página sequer terminar de carregar.

Essa atividade não é feita por qualquer empresa e, sim, por data brokers, companhias que agregam e vendem grandes quantidades de dados pessoais de terceiros, inclusive os seus, para marketing direcionado a partir da definição de perfis de consumidores.

Legalidade vs. Realidade

Olhando para as diferenças entre cookies e fingerprinting, esbarramos em uma questão de legalidade e consentimento que, muitas vezes, navega por águas turvas.

Isso porque existe uma ilusão de escolha. Quando um site pergunta se pode coletar os seus cookies, ele passa uma sensação de legitimidade e confiança, como se o seu livre-arbítrio fosse o mais importante. Porém, mesmo que essa coleta seja legalizada, ainda há a possibilidade de que um design enganoso seja usado para forçar o usuário a aceitar tudo sem se preocupar com o dia de amanhã.

O fingerprinting, por outro lado, consegue ser ainda mais ardiloso por agir em um vácuo legal sem o consentimento explícito do usuário. Por ter uma fiscalização mais complexa do que a de cookies, o fingerprinting acaba contornando a Lei Geral de Proteção de Dados (LGPD) por ser mais difícil de auditar. Embora a lei exija o consentimento para dados pessoais, essa impressão digital proveniente do fingerprinting entra em uma camada indireta que gera ações nebulosas.

Como se tornar (quase) invisível

Pode parecer uma missão impraticável, mas é perfeitamente possível se esquivar das ações de rastreadores digitais com algumas soluções simples, tornando-se invisível (ou quase) às investidas de cookies e fingerprinting. Confira a seguir as quatro principais delas:

1. Use navegadores com proteções avançadas, como o Firefox, um dos mais populares. Vale também usar o Brave, que é mais focado em anti-fingerprinting, e o Tor Browser, que consegue padronizar a impressão digital de todos os usuários para que elas se pareçam iguais.
2. Aposte em extensões que bloqueiam anúncios indesejados, como o uBlock Origin, e rastreadores que agem por baixo dos panos, como o feito pelo Privacy Badger.
3. Esconda o seu endereço IP com uma VPN. Além de criar uma conexão segura e criptografada, uma VPN protege a privacidade dos seus dados, mas vale lembrar que ela não protege contra o fingerprinting.
4. Desative o JavaScript. Opção para quem quer ir longe na proteção, é possível desativá-lo indo nas configurações do navegador, buscando pela seção de privacidade ou segurança.

Vale ainda o lembrete de que essas táticas precisam caminhar de mãos dadas com a sua consciência digital, pois somente assim é possível manter a integridade das suas informações pessoais na web. Considerando que medidas preventivas continuam surgindo para aumentar a privacidade online, por outro lado, as táticas de rastreamento também seguem evoluindo, tornando-se mais agressivas e silenciosas.

Leia também:

• Engenharia Social Reversa: Quando a vítima procura o criminoso
• Deepfakes estão fora de controle? Entenda os riscos e como se proteger
• Rootkit vs. Bootkit: Qual é a diferença e por que eles são tão perigosos?