Técnica de rastreo por huella digital con el favicon del navegador: ‘Supercookie’

 (github.com/jonasstrehle)
5 puntos por GN⁺ 2025-11-17 | 1 comentarios | Compartir por WhatsApp
  • Una técnica de rastreo que usa la caché de favicon para asignar un identificador único a los visitantes de un sitio web, y la información de identificación se mantiene incluso si el usuario borra la caché o las cookies
  • Este método funciona incluso cuando se usa modo incógnito, VPN y bloqueadores de anuncios, y persiste después de reiniciar el navegador o el sistema
  • Genera un número de identificación único mediante la combinación de patrones de cuándo el navegador solicita el favicon o lo carga desde la caché
  • Chrome, Firefox, Safari, Edge y otros navegadores principales, además de navegadores móviles, están afectados por esta vulnerabilidad
  • Desde la perspectiva de seguridad del navegador y privacidad, se destaca la importancia de administrar la caché de favicons

Resumen de Supercookie

  • Supercookie es una técnica para identificar usuarios usando la caché de favicons (F-Cache)
    • El favicon es el pequeño ícono de un sitio web que aparece en la barra de direcciones del navegador o en la lista de marcadores
    • Los navegadores lo guardan en una base de datos local separada (F-Cache) para mostrarlo rápidamente
  • La F-Cache incluye información de URL visitada, ID del favicon y TTL (tiempo de vida)
  • Si se explota esta estructura, es posible crear un patrón único del navegador combinando si se solicita o no el favicon en rutas URL específicas

Modelo de amenaza

  • El servidor web puede determinar si ya se visitó antes según si el navegador vuelve a solicitar el favicon o no
    • Si el favicon no está en caché, se genera una solicitud GET al servidor; si sí está, la solicitud se omite
  • Al combinar el estado de las solicitudes de favicon en varias rutas, se puede generar un número de identificación único por navegador
  • Este identificador no se ve afectado por medidas tradicionales contra el rastreo como borrar cookies, limpiar caché, usar VPN o manipular encabezados

Comparación con las cookies tradicionales

  • Según la tabla, Supercookie tiene una precisión de identificación del 100% y además permite:
    • Detección del modo incógnito, persistencia incluso después de borrar caché y cookies, identificación entre múltiples ventanas y evasión de software antirrastreo
  • En cambio, las cookies normales no ofrecen estas capacidades

Navegadores afectados

  • Chrome, Safari, Edge y Firefox, entre otros navegadores principales, son vulnerables
    • Chrome: afectado en Windows, macOS, Linux y Android
    • Safari: afectado en macOS e iOS
    • Edge: afectado en Windows, macOS y Android
    • Firefox: en algunas plataformas genera una huella distinta en modo incógnito
    • Brave: en las versiones más recientes está bloqueado en la mayoría de los casos
  • Las versiones anteriores de Brave (1.14.0) y Firefox (<84.0) son vulnerables a este ataque

Escalabilidad y rendimiento

  • Ajustando la cantidad de rutas de redirección (N), es posible distinguir hasta 2^N usuarios únicos
  • A medida que aumenta la cantidad de usuarios distinguibles, también aumenta el tiempo de lectura y escritura
  • La longitud de N puede ajustarse dinámicamente para minimizar la cantidad de redirecciones

Métodos de defensa

  • La forma más segura es desactivar por completo la caché de favicons o eliminarla manualmente
    • Chrome(macOS): eliminar ~/Library/Application Support/Google/Chrome/Default/Favicons y Favicons-journal
    • Chrome(Windows): eliminar C:\Users\username\AppData\Local\Google\Chrome\User Data\Default
    • Safari(macOS): eliminar el contenido de ~/Library/Safari/Favicon Cache
    • Edge(macOS): eliminar ~/Library/Application Support/Microsoft Edge/Default/Favicon y Favicons-journal

Objetivo y contexto del proyecto

  • Este repositorio fue creado con fines educativos y de demostración, y su objetivo es aumentar la conciencia de seguridad sobre la posibilidad de rastreo mediante favicons
  • La inspiración provino de un artículo de investigación de la University of Illinois Chicago y de un artículo de heise.de
  • El proyecto incluye un portal de demostración implementado en 2 días como parte de una investigación personal

Otros

  • El desarrollador es un estudiante alemán de 20 años con interés en diseño de software y seguridad informática
  • El proyecto está publicado en GitHub y puede ejecutarse en un entorno Docker o Node.js
  • Medios importantes como Vice, Gizmodo, TechRadar y Schneier.com han cubierto el tema

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-17
Opiniones de Hacker News
  • Parece que este problema existe desde hace tiempo. En Safari pasa seguido que el favicon de cierto sitio se muestra mal
    Por ejemplo, en Reddit aparece el favicon de Ars Technica
    • En mi caso, el ícono de Hacker News se quedó fijo como el ícono de un sitio del clima
      Sigue igual incluso después de actualizar iOS, y también persiste en el perfil y en modo incógnito
    • La caché de favicons de Safari dura demasiado tiempo
      Para forzar una actualización hay que adelantar el reloj del sistema varios años
    • Pensé que solo me pasaba a mí, pero parece que la caché de la UI está corrupta
      Lleva años así en mi MacBook, así que ya me rendí
    • En Chrome móvil también se muestra mal el favicon de HN
    • En Firefox a veces ocurre el mismo bug
  • Qué bueno ver que Brave parchó este problema
  • También hubo una discusión anterior (2021) — hilo de comentarios relacionado
  • No entiendo qué se supone que debe hacer la demo en vivo
    En Safari de iOS entra en un bucle infinito donde el contador va del 1 al 18 y luego vuelve a redirigir
    • Nosotros reportamos este problema mientras trabajábamos en el paper, y después fue corregido
    • En Android/Firefox, después de las primeras 18 veces, se mostró mi ID único, y al presionar el botón para reintentar cayó en el mismo bucle
  • Parece que habría que agregar (2023) al título
    • En realidad, quizá (2021) sería lo correcto. Me pregunto si lleva tanto tiempo así y todavía no lo han corregido
  • En Safari de macOS pasa que carga favicons muy seguido cada vez que abre la página de nueva pestaña
    Es un comportamiento no deseado, así que estoy pensando en borrar los favoritos o guardarlos como HTML
    Uso sobre todo ventanas privadas, y me di cuenta de esto gracias a Little Snitch
  • Hay una discusión relacionada: "Tales of Favicons and Caches: Persistent Tracking in Modern Browsers" (enero de 2021, 53 comentarios)
  • Yo uso un entorno de navegador basado en VM no persistente
    con qemu + cage + firefox, y la imagen se elimina al salir
    Es lento, pero me da tranquilidad por seguridad. También se podría contenerizar, pero me inquieta que el navegador tenga acceso al kernel del host
    Intentar controlarlo con políticas eBPF también es complicado, así que simplemente lo aíslo con una VM
    • Yo también probé algo parecido, pero en entornos de VM suelen aparecer muchos captchas
      Por ejemplo, detectan rasgos como el renderizador SwiftShader o la falta de fuentes
      Aunque uno intente ocultarlo, cosas como la manipulación de ruido en canvas se detectan rápido. Si tienes alguna solución, me gustaría que la compartieras
    • Es un enfoque interesante. Me pregunto si hay algún material documentado sobre esto
  • Yo también vi que solo contaba de 1/18 a 18/18 y luego se refrescaba
    Sentí que desperdicié como 20 segundos
  • Me da pena que el mecanismo del ataque no esté explicado en detalle en el repositorio de GitHub y que además el enlace al paper esté roto