Qué puede ver un sitio web cuando accedes
Al acceder a un sitio web, no es correcto pensar "soy anónimo mientras no haya introducido mi nombre".
Varias piezas de información distintas del nombre pueden llegar al lado del sitio web. Ejemplos incluyen la dirección IP de origen, hora de acceso, URL accedida, User-Agent, cookies, estado de inicio de sesión, referrer y características del navegador o dispositivo.
Cada una de ellas puede no mostrar directamente un nombre personal por sí sola. Sin embargo, cuando se combinan varias piezas de información, pueden vincularse como comportamiento de la misma persona usuaria o usarse para inferir el entorno de uso.
Al pensar en anonimato, lo importante no es "si introduje mi nombre real", sino "qué información es visible para la otra parte y qué información puede vincularse entre sí".
Información que puede ser visible para el lado del sitio web
Para mostrar un sitio web, el navegador envía una solicitud a un servidor. El servidor procesa esa solicitud y devuelve HTML, CSS, imágenes, JavaScript, respuestas de API y datos similares.
En ese momento, llega al lado del sitio web información necesaria para la comunicación y el procesamiento. Aquí, "lado del sitio web" puede incluir no solo el servidor de quien opera el sitio, sino también una CDN, proxy inverso, analíticas, entrega de publicidad, infraestructura de autenticación y sistemas similares.
| Información | Qué indica | Relación con el anonimato |
|---|---|---|
| Dirección IP de origen | Información que indica la red de origen | Puede servir para inferir conexión, región, organización, cambios de origen y pistas similares |
| Hora de acceso | Cuándo ocurrió el acceso | Sirve para comparar con patrones de comportamiento y otros logs |
| URL | Qué página o API se accedió | Pueden ser visibles contenido de navegación, condiciones de búsqueda u objetivos de operación |
| User-Agent | Cadena que indica navegador, sistema operativo, tipo de dispositivo e información similar | Sirve para inferir el entorno de uso |
| Datos guardados en el navegador y enviados si coinciden las condiciones | Se usa para visitas repetidas desde el mismo navegador, estado de inicio de sesión y conservación de ajustes | |
| Estado de inicio de sesión | Estado en que una cuenta y una sesión están conectadas | El contenido accedido puede vincularse a la cuenta |
| Referrer | Información que indica desde qué página vino la persona usuaria | Puede ser visible la fuente de tráfico o la ruta de navegación inmediatamente anterior |
| Características del navegador y dispositivo | Tamaño de pantalla, idioma, zona horaria, funciones soportadas y rasgos similares | Pueden convertirse en pistas identificativas al combinarse con otra información |
No todos los sitios web registran esto de la misma forma. La información visible también cambia según la configuración del navegador, el diseño del sitio, la política de seguridad, la configuración de cookies y si hay JavaScript.
Sin embargo, al pensar en anonimato, hay que entender esto como "información que puede ser visible".
Dirección IP de origen
Cuando accedes a un sitio web, la dirección IP de origen normalmente es visible para el destino. Una dirección IP es información necesaria para que funcione la comunicación en internet.
Una dirección IP no siempre revela un nombre personal o una dirección exacta. Sin embargo, puede permitir inferencias sobre el operador usado, la región de origen o si la red puede pertenecer a una empresa, escuela, institución pública u organización similar.
Además, con líneas domésticas y líneas de smartphone, varias personas pueden compartir la misma dirección IP global. Por eso, una dirección IP por sí sola no necesariamente identifica a una persona usuaria.
En cambio, cuando una dirección IP se combina con hora de acceso, cookies, estado de inicio de sesión, User-Agent e información similar, se vuelve un material fuerte para identificación y coincidencia. En anonimato, la dirección IP es importante, pero mirar solo la dirección IP no basta.
Hora de acceso
El lado del sitio web puede registrar como log el momento en que ocurrió el acceso. La hora de acceso no indica un nombre personal por sí sola, pero cobra significado al combinarse con otros registros.
Por ejemplo, registros de acceso a una página específica a una hora específica pueden combinarse con registros de inicio de sesión, registros de pago, registros de consulta, cookies, direcciones IP e información similar, haciendo posible inferir conexiones entre acciones.
Para el anonimato, no solo importa "qué se accedió", sino también "cuándo se accedió". La información temporal tiende a convertirse en un eje para comparar varios logs.
URL
El lado del sitio web puede ver qué URL se accedió. En particular, las rutas de URL y los parámetros de consulta pueden contener información relacionada con el contenido de navegación o el contenido de operación.
Por ejemplo, supón que hay una URL como esta.
https[:]//example.com/search?q=privacy
En este caso, el lado del sitio web puede entender que se accedió a /search y que se adjuntó la condición de búsqueda q=privacy.
Aquí, example.com es un nombre de dominio usado a menudo para explicaciones. No introduce un sitio real específico; se trata como una cadena para explicar la estructura de URL.
Las URL pueden contener términos de búsqueda, ID de artículo, ID de producto, ID de persona usuaria, ID de campaña, parámetros de seguimiento y valores similares. Por eso, una URL no es simplemente la dirección de una página. Puede convertirse en información que representa parte del contenido de acceso.
Sin embargo, el fragmento posterior a # en una URL normalmente no se envía al servidor en una solicitud HTTP. Por ejemplo, #section1 en https[:]//example.com/page#section1 es principalmente una parte usada del lado del navegador.
De este modo, también es importante separar qué partes de una URL llegan al servidor.
User-Agent
User-Agent es un tipo de encabezado de solicitud que el navegador envía al servidor. Puede incluir nombre del navegador, sistema operativo, tipo de dispositivo, motor de renderizado, información de versión y detalles similares.
Los sitios web pueden usar User-Agent para cambiar entre visualización orientada a PC y visualización orientada a smartphone, o para decidir cómo manejar navegadores antiguos.
User-Agent por sí solo no necesariamente identifica a una persona. Sin embargo, al combinarse con dirección IP, cookies, hora de acceso, ajustes de idioma, tamaño de pantalla, estado de inicio de sesión e información similar, se convierte en material para distinguir el entorno de uso.
En los últimos años ha habido movimientos para reducir la cantidad de información en User-Agent por protección de privacidad. Sin embargo, eso no significa que User-Agent o información similar del navegador deje de estar relacionada con el anonimato.
Cookie
Una cookie es un dato que un sitio web guarda en el navegador y que se envía de nuevo con solicitudes que coinciden con las condiciones. Las cookies se usan para mantener estado de inicio de sesión, carritos de compra, ajustes de visualización, analíticas, gestión de sesiones y fines similares.
Cuando existe una cookie, el lado del sitio web puede juzgar que "podría ser el mismo navegador que accedió antes". Por eso, aunque no hayas introducido un nombre, puedes ser tratado como una visita repetida del mismo navegador.
Lo especialmente importante para el anonimato es que, aunque cambie la dirección IP, si la cookie permanece, puedes vincularte como la misma persona usuaria.
Por ejemplo, aunque accedas una vez a un sitio web y luego vuelvas a acceder desde otra red, si se envía la misma cookie, el lado del sitio web puede juzgar que es una visita repetida del mismo navegador.
Una cookie no es un "nombre". Sin embargo, como puede usarse para identificación continua, es información muy importante para el anonimato.
Estado de inicio de sesión
El estado de inicio de sesión es un factor de identificación muy fuerte al evaluar el anonimato.
Si tienes sesión iniciada en un sitio web, el contenido accedido y el contenido de operación pueden vincularse con la cuenta. Aunque no hayas introducido tu nombre real, puede conectarse con ID de cuenta, dirección de correo, número de teléfono, información de pago, historial de uso pasado y datos similares.
Además, el estado de inicio de sesión a menudo se mantiene mediante cookies e información de sesión. En otras palabras, cookies y estado de inicio de sesión son conceptos separados, pero en el uso web real están estrechamente relacionados.
Al pensar en anonimato, "no introduje mi nombre real, así que está bien" es insuficiente. Una vez iniciada la sesión, la actividad puede manejarse a nivel de cuenta.
Referrer
Un referrer es información que indica la página que estabas viendo antes de pasar a otra página. En HTTP, puede enviarse como el encabezado Referer.
Por ejemplo, si te mueves desde resultados de búsqueda, redes sociales, un foro o una página de artículo a otro sitio web, el sitio web de destino puede entender el referrer.
Cuando el referrer es visible, el lado del sitio web puede inferir "de dónde vino la persona usuaria". Según el caso, también pueden ser visibles palabras de búsqueda, nombres de página, información de campaña o el contexto de navegación inmediatamente anterior.
Sin embargo, el referrer no siempre se envía completo. Según las especificaciones del navegador, Referrer-Policy, el tratamiento de HTTPS, atributos de enlace y configuraciones del lado del sitio, puede no enviarse o enviarse solo una parte.
Por eso, es preciso entender el referrer no como "información siempre visible", sino como "información que puede ser visible según las condiciones".
Características del navegador y dispositivo
Los sitios web pueden usar características del navegador y del dispositivo para mostrar páginas correctamente. Tamaño de pantalla, ajustes de idioma, zona horaria, fuentes soportadas, API soportadas, métodos de entrada, rendimiento del dispositivo y detalles similares pueden intervenir.
Cuando JavaScript está habilitado, puede aumentar la cantidad de información que puede obtenerse del lado del navegador. Esa información puede usarse para optimización de visualización, análisis de errores, prevención de abuso, analíticas y fines similares.
Lo importante aquí es que, aunque cada pieza individual de información parezca pequeña, las combinaciones pueden hacer que las características del entorno de uso destaquen con fuerza.
Este artículo no profundiza en las huellas digitales del navegador. Sin embargo, como punto de entrada para pensar en anonimato, hay que entender que las características del navegador y dispositivo también pueden convertirse en material de identificación.
Incluso con HTTPS, las solicitudes llegan al lado del sitio web
HTTPS es un mecanismo que cifra la comunicación entre el navegador y el servidor de destino. Ayuda a dificultar que terceros a lo largo de la ruta de comunicación escuchen o alteren el contenido de la comunicación.
Sin embargo, HTTPS no es un mecanismo que haga que nada sea visible para el lado del sitio web.
Para mostrar un sitio web, el servidor necesita recibir la solicitud, procesar el contenido y devolver una respuesta. Por eso, incluso con HTTPS, el lado del servidor de destino maneja contenido de solicitud, cookies, estado de inicio de sesión, hora de acceso e información similar.
En otras palabras, HTTPS tiene un significado fuerte para la protección en tránsito. En cambio, no es un mecanismo para volverse anónimo frente al sitio web de destino.
La comprensión "HTTPS significa anonimato" es incorrecta. HTTPS es importante como tecnología de seguridad, pero debe considerarse por separado del anonimato.
Información registrada en logs de servidor
Un servidor web puede registrar logs de acceso. El contenido de los logs varía según el software del servidor y la configuración, pero generalmente puede registrarse el origen del acceso, hora, solicitud, código de estado, bytes transferidos e información similar.
Según la configuración, también se registran User-Agent y referrer.
| Información que puede incluirse en logs | Significado | Precaución |
|---|---|---|
| Origen de acceso | Dirección IP de origen e información de proxy | La visibilidad puede cambiar con configuración de CDN o proxy inverso |
| Hora | Fecha y hora en que se procesó la solicitud | Tiende a convertirse en un eje para comparar con otros logs |
| Línea de solicitud | Método HTTP, ruta, versión HTTP y valores similares | Puede incluir ruta de URL y consulta |
| Código de estado | Resultado de respuesta como 200, 404 o 500 | Se usa para éxito/fallo de acceso y análisis de errores |
| User-Agent | Navegador, sistema operativo e información similar | Se vuelve material para inferir el entorno de uso |
| Referrer | Desde qué página vino la persona usuaria | Puede no enviarse, o enviarse solo una parte, según la política |
Los logs se usan para operación del sitio, investigación de incidentes, monitoreo de seguridad, prevención de abuso, analíticas y fines similares. Desde la perspectiva del anonimato, es importante entender "en qué forma puede registrarse el hecho de que accediste a un sitio web".
Importan más las combinaciones que la información aislada
Al pensar en anonimato, centrarse solo en una pieza de información puede llevar fácilmente a un juicio equivocado.
Aunque ocultes solo la dirección IP, si queda una cookie, puedes ser tratado como el mismo navegador. Si tienes sesión iniciada, el contenido accedido puede vincularse con la cuenta. User-Agent y las características del navegador se vuelven material para identificar el entorno de uso al combinarse con otra información. Referrer y URL pueden indicar en qué contexto y qué accediste.
| Combinación de información | Cómo aparece | Impacto en el anonimato |
|---|---|---|
| Dirección IP + hora de acceso | Cuándo y desde qué red vino la persona usuaria | Puede compararse con otros registros |
| Cookie + dirección IP | Puede juzgarse como el mismo navegador aunque cambie la dirección IP | Cambiar solo de red puede no separar la actividad |
| Estado de inicio de sesión + URL de navegación | Qué vio la cuenta | La actividad puede vincularse con la cuenta |
| User-Agent + características del dispositivo | Las características del entorno de uso son visibles | Se vuelve material distintivo junto con otra información |
| Referrer + URL de destino | De dónde vino la persona usuaria y qué vio | Pueden inferirse contexto de navegación e intereses |
Para el anonimato, en vez de juzgar una pieza de información de forma aislada diciendo "esto solo está bien", hay que pensar cómo se conectan entre sí las piezas de información.
Resumen
Cuando accedes a un sitio web, varias piezas de información pueden ser visibles para el lado del sitio web aunque no hayas introducido tu nombre.
Dirección IP de origen, hora de acceso, URL, User-Agent, cookies, estado de inicio de sesión, referrer y características del navegador o dispositivo son importantes al pensar en anonimato.
Cada una de ellas puede no indicar directamente a una persona por sí sola. Sin embargo, al combinarse, pueden tratarse como comportamiento de la misma persona usuaria o vincularse con una cuenta o navegador.
Lo especialmente importante es no pensar "solo necesito ocultar la dirección IP". Cookies, estado de inicio de sesión, User-Agent, referrer, características del navegador y del dispositivo e información similar también pueden convertirse en material de identificación y coincidencia.
Para entender el anonimato, primero hay que saber qué llega a la otra parte cuando accedes a un sitio web. Luego es importante mirar no piezas de información aisladas, sino cómo se combinan varias piezas de información.
Herramientas relacionadas
WhatIsMyIP
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
BrowserLeaks WebRTC
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
BrowserLeaks Fingerprint
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
EFF Cover Your Tracks
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
Tor Project
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.