Herramientas
Demo de seguimiento Evercookie
Comprende cómo las "cookies zombis" persisten a pesar de los intentos de eliminación explotando múltiples mecanismos de almacenamiento del navegador.
Solo demostración educativa
Esta página demuestra conceptos de evercookie con fines educativos. NO te rastreamos realmente. La demo almacena un ID aleatorio para mostrar cómo funciona la persistencia, y puedes eliminarlo completamente en cualquier momento.
¿Qué es un Evercookie?
Un evercookie (también llamado "cookie zombi" o "supercookie") es una API JavaScript que crea cookies extremadamente persistentes almacenando el mismo ID de seguimiento simultáneamente en muchos mecanismos de almacenamiento del navegador.
Cuando un usuario elimina sus cookies, el evercookie se recrea desde cualquier ubicación de almacenamiento restante. Para eliminar verdaderamente un evercookie, debes borrar TODOS los mecanismos de almacenamiento a la vez — algo que la mayoría de usuarios no sabe hacer.
El evercookie original fue creado por Samy Kamkar, investigador de seguridad y creador del evercookie en 2010 para demostrar lo difícil que es mantener la privacidad en línea.
Demo interactiva
Tu ID de seguimiento demo
Generando...
Intenta borrar solo las cookies y luego haz clic en "Verificar todo el almacenamiento" para ver cómo el ID persiste
Mecanismos de almacenamiento
Los evercookies explotan más de 17 mecanismos de almacenamiento. A continuación se muestra cuáles están disponibles en tu navegador y su estado actual:
Cómo funciona cada mecanismo
Cookies HTTP estándar Común
El método tradicional — pequeños archivos de texto almacenados por el navegador. Fáciles de borrar desde la configuración del navegador.
document.cookie = "tracking_id=abc123; expires=Fri, 31 Dec 9999 23:59:59 GMT";Almacenamiento local HTML5 Común
Almacena hasta 5-10 MB por dominio. Persiste hasta que se borra explícitamente. A menudo se pasa por alto al borrar las "cookies".
localStorage.setItem('tracking_id', 'abc123');
// Survives browser restart, never expiresAlmacenamiento de sesión HTML5 Común
Similar a localStorage pero se borra al cerrar la pestaña. Puede usarse para pasar datos y recrear otras cookies durante una sesión.
sessionStorage.setItem('tracking_id', 'abc123');IndexedDB Común
Una base de datos NoSQL completa en el navegador. Puede almacenar grandes cantidades de datos estructurados. Rara vez es borrada por los usuarios.
const request = indexedDB.open('evercookie_db', 1);
request.onsuccess = (e) => {
const db = e.target.result;
// Store tracking ID in database
};Huella digital Canvas PNG Astuto
Codifica el valor de la cookie como colores de píxeles RGB en una imagen PNG y luego fuerza su cacheo. La cookie se lee dibujando la imagen cacheada en un canvas y leyendo los valores de los píxeles.
// Encode "abc" as RGB: R=97, G=98, B=99
ctx.fillStyle = 'rgb(97, 98, 99)';
ctx.fillRect(0, 0, 1, 1);
// Later, read it back from cached imageHTTP ETag Astuto
Los ETags están destinados a la validación de caché pero pueden almacenar IDs de seguimiento. El servidor envía un ETag único, y el navegador lo reenvía en solicitudes posteriores.
// Server response:
HTTP/1.1 200 OK
ETag: "tracking_id_abc123"
// Browser's next request:
If-None-Match: "tracking_id_abc123"Supercookie HSTS Avanzado
Explota HSTS (HTTP Strict Transport Security) codificando bits en las políticas HSTS de subdominios. Cada bit es un subdominio que tiene o no HSTS configurado.
// Encoding "5" (binary: 101) across subdomains:
// bit0.tracker.com → HSTS ON (1)
// bit1.tracker.com → HSTS OFF (0)
// bit2.tracker.com → HSTS ON (1)
// Reading: check if browser upgrades each subdomain to HTTPSCaché web Astuto
Almacena el ID de seguimiento dentro de un archivo JavaScript o HTML cacheado. Cuando el navegador carga la versión cacheada, contiene el ID.
// Server sends with far-future cache headers:
Cache-Control: max-age=31536000
// File contents:
var cached_tracking_id = "abc123";window.name Astuto
La propiedad window.name persiste a través de las navegaciones de página en la misma pestaña, incluso a dominios diferentes. Puede almacenar hasta 2 MB.
window.name = "tracking_id=abc123";
// Survives navigation to other sites in same tab!Cookies Flash (LSO) Obsoleto
Los Flash Local Shared Objects almacenaban datos fuera del control del navegador. Requería visitar el sitio de Adobe para borrarlos. Flash ya está muerto, pero era muy efectivo.
// ActionScript:
var so:SharedObject = SharedObject.getLocal("evercookie");
so.data.tracking_id = "abc123";
so.flush();Almacenamiento aislado de Silverlight Obsoleto
El plugin Silverlight de Microsoft tenía su propio mecanismo de almacenamiento, separado del almacenamiento del navegador. Silverlight está descontinuado.
Robo de historial Parcheado
Codificaba datos en el historial del navegador visitando URLs con el ID. Podía leerse verificando los estilos :visited de los enlaces. Los navegadores han parcheado esto.
// Create history entries:
location = "http://tracker.com/id/a";
location = "http://tracker.com/id/b";
// Read via CSS :visited (now blocked)Cómo Brave protege contra los Evercookies
- Particionamiento de almacenamiento: Aísla el almacenamiento por sitio, previniendo el seguimiento entre sitios
- Ephemeral Storage: Third-party storage is cleared when you close the site
- Canvas Fingerprint Randomization: Defeats PNG-based cookie storage
- Blocked HSTS Supercookies: Clears HSTS state for tracking domains
- ETag Stripping: Removes tracking ETags from known trackers
- Sin Flash/Silverlight: Los plugins obsoletos están completamente bloqueados
Implicaciones para la privacidad
Los evercookies demuestran un problema fundamental de la privacidad web: el navegador tiene demasiados lugares para almacenar datos. Cada nueva API (IndexedDB, Service Workers, Cache API) crea otro posible escondite para rastreadores.
Aunque los evercookies fueron originalmente una prueba de concepto, se usan variantes en la práctica por:
- Redes publicitarias para seguimiento entre sitios
- Sistemas de detección de fraude
- Aplicación de paywalls
- Herramientas de vigilancia gubernamental
La mejor defensa es usar un navegador enfocado en privacidad como Brave que implementa particionamiento de almacenamiento y bloquea activamente las técnicas de seguimiento conocidas.