Seu navegador entrega mais sobre você do que o cookie jamais entregou

Você apaga os cookies, abre uma aba anônima, fecha o navegador com a sensação de dever cumprido e segue o dia. Acontece que o rastreamento mais persistente da web já não depende do que fica salvo no seu computador. Depende do que o seu próprio navegador revela, de forma automática, toda vez que você acessa um site. E a parte incômoda é esta: esses sinais, quando combinados, podem ser suficientes para reconhecer você de novo.

O identificador não está salvo no disco, está no comportamento do navegador

É isso que torna o browser fingerprinting tão difícil de combater. Em vez de gravar um identificador local, como fazem os cookies, a técnica monta um retrato estatístico do seu dispositivo a partir de elementos banais: resolução de tela, idioma, fuso horário, sistema operacional, versão do navegador, modelo de GPU e até pequenas diferenças de renderização gráfica. Segundo o relatório de 2026 da Fingerprint.com, baseado em mais de 23 bilhões de eventos de identificação distribuídos por mais de 7 bilhões de navegadores e dispositivos, esse tipo de identificação já virou infraestrutura corrente.

A ideia não é nova. O que mudou foi a escala e a normalização. Um estudo clássico sobre unicidade de navegadores, retomado na literatura recente, estimou ao menos 18,1 bits de entropia identificadora, o bastante para tornar os navegadores altamente distinguíveis; em certos cenários históricos, mais de 94% eram únicos. Em termos práticos, isso significa que você não “apaga” uma impressão digital do navegador como apaga um cookie. Ela reaparece porque nasce da combinação dos sinais que o seu ambiente emite por padrão.

O experimento que mostrou que a publicidade reconhece você mesmo assim

Durante muito tempo, a indústria pôde tratar esse assunto como suspeita plausível, algo tecnicamente possível, mas difícil de provar como mecanismo real de rastreamento publicitário. Esse álibi ficou mais fraco depois do trabalho de pesquisadores da Texas A&M e da Johns Hopkins apresentado no ACM Web Conference 2025. No estudo publicado com o framework FPTrace, os autores alteraram a impressão digital do navegador e observaram o que acontecia com o ecossistema de anúncios em tempo real.

O resultado foi eloquente. Quando a impressão digital mudava, mas outros elementos eram mantidos, o valor mediano dos lances publicitários caía de 0,25 para 0,19. Mais do que isso, as cadeias HTTP associadas ao rastreamento despencavam, e os eventos de sincronização de dados entre redes publicitárias caíam de forma expressiva. Em uma das leituras do estudo, a redução das cadeias HTTP passa de 80%, e a queda nos eventos de compartilhamento de dados gira em torno de 50%. O sistema, em outras palavras, percebia que alguma coisa em “você” havia mudado e reavaliava seu valor.

Nem consentimento negado encerra necessariamente o rastreio

A parte mais desconfortável da pesquisa aparece quando entram em cena os regimes regulatórios. No artigo disponibilizado no arXiv com os resultados empíricos, os autores relatam sinais de persistência do rastreamento baseado em fingerprint mesmo em cenários com GDPR e CCPA. Plataformas de consentimento como OneTrust e Quantcast continuaram exibindo padrões compatíveis com compartilhamento de dados atrelado à impressão digital do navegador, inclusive em situações de recusa.

Outro trabalho recente, também citado no debate acadêmico, mostrou por que esse universo é tão opaco. Ferramentas automatizadas perdem quase metade dos sites com fingerprinting porque muitos scripts só disparam em interações humanas específicas, não em crawlers. Isso ajuda a explicar por que o problema parece menor nas medições tradicionais do que na experiência real de navegação. O rastreamento foi desenhado para ficar abaixo do radar.

A mudança do Google tirou o tema da zona cinzenta

Se antes havia pelo menos uma restrição relevante do lado das plataformas, ela ficou menor. Em 2019, o próprio Google dizia que fingerprinting “subverte a escolha do usuário e está errado”. Só que, como resume a análise da Bitdefender sobre a mudança de política, a partir de 16 de fevereiro de 2025 o Google deixou de proibir que anunciantes usando suas plataformas empregassem técnicas de fingerprinting. A crítica do órgão britânico ICO foi direta: a mudança seria irresponsável, porque se trata de um mecanismo apoiado em sinais que o usuário não consegue simplesmente apagar.

Essa virada importa menos como detalhe regulatório e mais como sinal de mercado. Quando a maior infraestrutura publicitária do mundo deixa de vetar um método, o método deixa de ser exceção operacional e passa a ser recurso legitimado.

O que você pode fazer sem cair em promessas fáceis

A verdade menos simpática é que proteção total praticamente não existe. Usar um navegador já produz uma superfície identificável. Ainda assim, há diferença grande entre não fazer nada e reduzir exposição. Navegadores como Firefox e Brave oferecem proteções úteis; extensões como bloqueadores de scripts e ferramentas voltadas a canvas ajudam a diminuir parte da coleta; e o Tor Browser continua sendo a defesa mais sólida porque tenta tornar todos os usuários parecidos entre si.

Só que há uma ironia aqui. Personalizar demais o navegador, instalar muitas extensões raras e criar uma configuração excêntrica pode tornar você ainda mais distinto. Em matéria de fingerprinting, misturar-se costuma funcionar melhor do que parecer um caso especial. O ponto central do dado não é que você precise abandonar a web. É outro: o velho ritual de limpar cookies já não corresponde ao tamanho real do problema. O rastreamento mais persistente da internet talvez nunca tenha morado no arquivo que você apagou, mas no navegador que ficou aberto.