Canvas Fingerprinting: você limpou os cookies, mas os sites ainda sabem quem você é

Tania De Mel

16 de maio de 2026

Antidetecção

Canvas Fingerprinting: você limpou os cookies, mas os sites ainda sabem quem você é
Internet
Servidor proxy
Verificador

Você apagou os seus cookies. Abriu uma janela anónima. Pode até ter mudado para uma VPN. E, no entanto, certos sites parecem ainda reconhecê-lo, mostrando-lhe anúncios de coisas que pesquisou ontem ou bloqueando-o de um «teste gratuito» que já utilizou.

Isto não é uma coincidência. Não é uma falha. É canvas fingerprinting, um dos métodos de rastreamento mais eficazes e menos visíveis integrados na web moderna. E em 2026, está a operar em milhares de sites que visita regularmente, incluindo muitos que consideraria dignos de confiança.

🔥

Resumo

  • O canvas fingerprinting rastreia-o medindo como o seu navegador renderiza gráficos ocultos. 

  • Cada dispositivo produz um resultado único. 

  • Os sites convertem esse resultado num ID persistente, sem cookies, sem login, sem vestígios no seu dispositivo. 

  • Os modos de privacidade padrão não o bloqueiam. Mas a combinação certa de ferramentas pode neutralizá-lo eficazmente.

O que é canvas fingerprinting

Canvas fingerprinting é uma técnica de rastreamento de navegador que identifica o seu dispositivo medindo como ele renderiza gráficos ocultos, sem armazenar nada no seu sistema.

canvas fingerprinting.webp

Eis o mecanismo: 

  • Quando acede a um site que utiliza canvas fingerprinting, a página executa um script que instrui silenciosamente o seu navegador a desenhar uma imagem invisível usando o HTML5 Canvas API. Você nunca a vê. Demora milissegundos. A renderização acontece inteiramente fora do ecrã.

  • A perceção fundamental é que cada dispositivo desenha essa imagem de forma ligeiramente diferente. O seu modelo de GPU, sistema operativo, fontes instaladas, versão do driver gráfico e configurações de anti-aliasing influenciam todos o resultado ao nível do pixel. 

  • O site converte a imagem renderizada num hash: uma sequência curta de caracteres que representa exclusivamente a sua configuração.

  • Esse hash é a sua impressão digital. É consistente. É reproduzível. E funciona tão eficazmente no modo anónimo como no seu navegador normal.

Investigadores da Universidade de Princeton documentaram o canvas fingerprinting a operar em mais de 5% dos 100.000 sites mais visitados do mundo já em 2014. Em 2026, essa penetração cresceu significativamente, incorporada em scripts de publicidade de terceiros, plataformas de análise e SDKs de deteção de fraude que os proprietários de sites frequentemente não auditam completamente.

Como os sites o utilizam, e nem tudo é sinistro

how websites use canvas fingerprinting.webp

O canvas fingerprinting serve diferentes propósitos dependendo de quem o implementa.

  • Redes de publicidade utilizam-no para construir perfis comportamentais entre sites após o declínio dos cookies de terceiros. A sua impressão digital conecta a sua atividade em domínios não relacionados.

  • Plataformas de comércio eletrónico utilizam-no para detetar o mesmo utilizador a criar múltiplas contas para explorar descontos para novos clientes ou ofertas de teste.

  • Instituições financeiras e processadores de pagamento utilizam-no como sinal de fraude, sinalizando sessões nas quais uma impressão digital familiar surge repentinamente de uma rede ou configuração de dispositivo incomum.

  • Editoras de media utilizam-no para impor limites de artigos a utilizadores que contornam paywalls ao limpar cookies.

Algumas destas aplicações são defensáveis. Um banco a detetar fraude de conta é um uso legítimo de consistência comportamental. Uma rede de publicidade a construir um perfil sombra da sua pesquisa médica em sites de saúde é consideravelmente mais difícil de justificar.

O problema não é a tecnologia em si. É a ausência de transparência. A maioria dos utilizadores nunca ouviu falar de canvas fingerprinting, o que torna o consentimento praticamente sem significado mesmo quando é tecnicamente divulgado na página 47 de uma política de privacidade.

O canvas fingerprinting pode ser usado para rastreá-lo pela internet

Sim. É precisamente por isso que substituiu o rastreamento baseado em cookies para certos casos de uso.

  • Ao contrário dos cookies, que estão isolados em domínios individuais e são facilmente eliminados, uma impressão digital de canvas pode ser partilhada entre redes de publicidade e corretores de dados para construir um perfil unificado entre sites. 

  • O perfil segue-o independentemente do navegador que utiliza, de estar ou não autenticado, ou de quão agressivamente limpa o armazenamento local.

  • A Electronic Frontier Foundation criou uma ferramenta pública chamada Cover Your Tracks especificamente para demonstrar isto. 

  • Pode testar a singularidade da impressão digital do seu próprio navegador em coveryourtracks. [Leia sobre proxies CAPTCHA]

  • A maioria das pessoas descobre que o seu navegador é único entre os milhares testados.

É Legal: A resposta honesta é mal e mal

Na União Europeia, o RGPD classifica a impressão digital de dispositivos como processamento de dados pessoais que requer consentimento explícito do utilizador ou justificação de interesse legítimo. A realidade é que a aplicação é irregular, as divulgações estão escondidas e a grande maioria das impressões digitais acontece sem que os utilizadores compreendam ao que concordaram.

Nos Estados Unidos, não existe lei federal que regule diretamente a impressão digital canvas. A CPRA da Califórnia expandiu as proteções de privacidade em 2023, cobrindo certas formas de perfilagem, mas a infraestrutura de aplicação permanece fraca.

💡

A resposta prática: A impressão digital canvas é generalizada, raramente divulgada de forma significativa e raramente processada. Se considera isso tecnicamente legal é uma coisa; se considera ético é uma conversa diferente.

4 equívocos que dão às pessoas falsa confiança

can canvas fingerprinting be used.webp

1. «O modo de navegação anónima protege-me.» O modo de navegação anónima impede que o seu navegador guarde dados locais. A sua impressão digital canvas é gerada pelo hardware e software do seu dispositivo, nenhum dos quais muda no modo privado. A sua impressão digital no modo de navegação anónima é idêntica à sua impressão digital normal.

2. «A minha VPN esconde-me.» Uma VPN altera o seu endereço IPvisível. Não faz nada à sua configuração de renderização. Pode estar por trás de uma VPN e ainda assim ser totalmente identificável pela sua impressão digital simultaneamente. VPNs e proteção de impressão digital resolvem problemas fundamentalmente diferentes.

3. «Apenas sites duvidosos fazem isto.» As principais plataformas de publicidade incorporam scripts de impressão digital em sites de editores mainstream. Se um site executa Google Ads, Meta Pixel ou um conjunto de análise de terceiros, a impressão digital é plausível, quer o proprietário do site saiba ou não.

4. «O meu bloqueador de anúncios trata disso.» Crédito parcial. Os bloqueadores intercetam muitos scripts de impressão digital conhecidos. Mas scripts incorporados em código próprio, ou servidos a partir de domínios que ainda não foram sinalizados, contornam rotineiramente as listas de bloqueio padrão.

O que é um defensor de impressão digital canvas e qual abordagem funciona

Um defensor de impressão digital canvas é uma ferramenta que bloqueia ou modifica a saída da API canvas que os sites recolhem. Existem duas estratégias:

  • Bloqueio: Retorna dados canvas vazios ou nulos. Detetável. Sites com sistemas anti-bot sinalizarão uma resposta canvas vazia como sinal de que algo está a ser ocultado.

  • Falsificação/Aleatorização: Introduz variações subtis e aleatórias ao nível do pixel em cada saída canvas. O site recebe uma impressão digital que muda a cada sessão, tornando o rastreamento consistente impossível. Esta abordagem é significativamente mais difícil de detetar.

Para uso prático de privacidade, a aleatorização vence. O Brave Browser implementa isto nativamente; adiciona ruído à saída canvas por padrão, sem exigir extensões. O Firefox, configurado com CanvasBlocker definido para modo de aleatorização, alcança resultados semelhantes.

Para casos de uso de maior risco, gestão de múltiplas contas empresariais, realização de pesquisa competitiva ou operação em escala, navegadores anti-deteção especializados como Multilogin ou AdsPower vão mais longe, criando ambientes de navegador inteiramente sintéticos com impressões digitais internas consistentes que nunca se repetem entre perfis.

Por que a sua camada de rede tem de corresponder

  • Mesmo uma falsificação canvas convincente cria um problema se o seu contexto de rede conta uma história contraditória. 

  • Se o seu navegador se identifica como utilizador Chrome padrão no Windows 11 nos Países Baixos, mas o seu endereço IP resolve para um centro de dados na Lituânia, sistemas de deteção sofisticados sinalizam a inconsistência. 

  • A impressão digital e a identidade de rede precisam de ser coerentes.

💡

Solução: Proxies residenciais resolvem isto ao encaminhar o tráfego através de conexões ISP de consumidores reais, para que o seu IP reflita o que um utilizador real nessa localização produziria. Combinado com aleatorização de impressão digital, isto cria uma identidade de navegação que parece genuinamente humana tanto na camada de impressão digital quanto na camada de rede.

Nenhum elemento isolado é suficiente para privacidade séria. Juntos, fecham a lacuna.

Como a CyberYozh aborda este problema

  • A CyberYozh construiu a sua infraestrutura de proxy com exatamente esta interação em mente. 

  • A sua rede de proxies móveis e residenciais encaminha o tráfego através de endereços reais atribuídos por ISPs, que carregam os sinais de confiança e padrões comportamentais associados ao tráfego genuíno de consumidores, em vez das marcas de datacenter que comprometem a maioria das soluções de proxy baratas.

  • Para utilizadores que executam navegadores anti-deteção ou defensores de impressão digital canvas, isto importa na prática: o seu perfil de navegador sintético precisa de uma base de rede que o reforce em vez de o contradizer. 

  • A infraestrutura da CyberYozh fornece isto sem exigir configuração complexa ou preços empresariais.

  • É a opção mais económica em 2026 com a pontuação de confiança mais elevada. 

  • Compre proxies residenciais por $5,29/mês e proxies móveis com tráfego ilimitado por $1,7/dia.

  • É o tipo de detalhe que separa a infraestrutura de proxy concebida para casos de uso de privacidade dos serviços genéricos que simplesmente oferecem rotação de IP. 

  • Se leva a proteção de impressão digital a sério, a camada de rede merece a mesma atenção.

Seis passos práticos a tomar agora mesmo

6 steps for canvas fingerprinting .webp

  1. Teste a sua impressão digital atual em coveryourtracks para ver quão único o seu navegador realmente é antes de fazer qualquer outra coisa.

  2. Ative a aleatorização canvas. O Brave Browser faz isto por predefinição. Os utilizadores do Firefox podem instalar o CanvasBlocker com o modo de aleatorização ativado.

  3. Use perfis de navegador separados para atividades separadas; a compartimentação limita a correlação entre sites.

  4. Combine a proteção de impressão digital com um proxy residencial se estiver a fazer algo onde a reputação do IP importa.

  5. Reveja que scripts de terceiros estão a ser executados nos sites que usa regularmente. Extensões de navegador como o uBlock Origin mostram-lhe isto.

Não confie numa única ferramenta; a privacidade eficaz de impressão digital é em camadas, não uma solução única.

Perguntas frequentes sobre Canvas fingerprinting