Fingerprinting: Técnicas black hat y Google Analitics

Imagínate por un momento que gestionas una red de webs. Algunas son tus proyectos principales, otras son experimentos, y quizás tienes un par de sitios “hinchados” solo para probar técnicas nuevas o, por qué no decirlo, para aprovechar alguna oportunidad rápida de monetización. Puede que una de ellas esté basada en contenido generado automáticamente, otra sea una PBN, o simplemente quieras mantener tu anonimato por cuestiones estratégicas o de competencia. Ahora bien, te preguntarás: ¿realmente Google puede saber que todas esas webs son tuyas?

La respuesta es sí, y no solo puede, sino que cada vez lo hace mejor. Google tiene una red de servicios impresionante: Search Console, Analytics, AdSense, Tag Manager, Gmail, Chrome… Si alguna vez has gestionado varias webs y has reutilizado cuentas, códigos de seguimiento o simplemente has accedido al panel de Search Console desde el mismo navegador, ya has dejado un rastro más que suficiente. Y aquí es donde entra en juego el famoso fingerprinting.

El término “fingerprinting” se refiere al proceso mediante el cual un sistema es capaz de reconocer y diferenciar a usuarios, dispositivos o administradores web mediante una combinación de parámetros técnicos y de comportamiento. No se trata solo de saber tu IP o tus cookies. Hablamos de una especie de “huella digital” que combina decenas (a veces cientos) de variables: desde el navegador que usas, el tamaño de tu pantalla, las fuentes instaladas, hasta el idioma del sistema operativo, tus patrones de acceso y, por supuesto, la información que voluntariamente entregas al instalar scripts como Google Analytics.

No exagero si digo que, a día de hoy, la capacidad de fingerprinting de Google es probablemente la más avanzada del planeta. Su objetivo es claro: luchar contra el spam, detectar redes de sitios fraudulentos, pero también entender mejor cómo se mueve la web y quién está detrás de cada proyecto. Para la mayoría de los usuarios, esto pasa desapercibido. Pero para quienes gestionan varias webs con diferentes propósitos, puede ser un verdadero dolor de cabeza.

No tienes que buscar mucho para encontrar historias de SEOs que, tras animarse a meter todos sus proyectos en la misma cuenta de Search Console o Analytics, han visto cómo Google los “cazaba” en masa. Un caso típico: un webmaster monta 10 webs, infladas de contenido, con enlaces cruzados y alguna que otra técnica agresiva. Decide, por comodidad, gestionarlas todas desde la misma cuenta. Al poco tiempo, varias caen al sandbox, reciben penalización manual o, en el peor de los casos, desaparecen del índice de Google sin explicación. ¿Coincidencia? No lo creo.

En foros como BlackHatWorld o comentarios en Reddit hay infinidad de testimonios que confirman este tipo de baneos en bloque. Muchas veces, el error no está en la técnica black hat en sí, sino en la falta de higiene digital: reutilizar cuentas, usar el mismo código de Analytics, acceder desde el mismo dispositivo… Todo eso suma puntos para que Google relacione tus webs y, si detecta algo sospechoso en una, termine arrastrando al resto.

Pocos scripts se han instalado en tantos sitios web como Google Analytics. Y no es para menos: es gratuito, potente y te permite saber todo sobre el tráfico de tu web. Sin embargo, para los webmasters que buscan pasar desapercibidos o que gestionan proyectos de alto riesgo, Analytics puede ser una trampa mortal.

Al instalar el mismo código de Analytics en varias webs, le estás entregando a Google una señal clarísima de que esos sitios están relacionados. No importa que el contenido sea diferente, que los dominios no tengan nada que ver o que los enlaces entre ellos sean mínimos: el identificador de Analytics es como una firma. Y si Google detecta que varias webs con ese mismo ID están haciendo cosas poco ortodoxas, puede tomar medidas contra todas en un abrir y cerrar de ojos.

Pero no solo el código es el problema. También lo es la gestión de las cuentas. Si accedes a diferentes cuentas de Analytics desde el mismo navegador, aunque sean cuentas distintas, Google puede “atar cabos” a través de las cookies, el historial de navegación y la propia sesión de tu navegador. Si usas Chrome, aún peor: la integración con tu cuenta de Google es tan profunda que casi cualquier acción queda registrada.

Aquí viene la gran pregunta: ¿vale la pena instalar Analytics en proyectos delicados? La respuesta depende de tu tolerancia al riesgo. Si la privacidad y la separación de proyectos es vital para ti, probablemente deberías buscar alternativas.

Search Console es otra joya de Google, y no seré yo quien diga que no es útil. Permite monitorizar la salud de tus webs, enviar sitemaps, detectar problemas de indexación y ver cómo Google ve tu sitio. Pero, de nuevo, agrupar varios proyectos bajo la misma cuenta es una invitación a que Google los relacione. Y si uno cae en desgracia, los demás pueden seguir el mismo camino.

Más allá de la herramienta en sí, el propio acceso a Search Console puede dejar rastro. Si sueles loguearte desde la misma IP o dispositivo para gestionar distintas cuentas, Google puede detectar patrones. Incluso si usas cuentas diferentes, el hecho de acceder repetidamente desde el mismo entorno puede levantar sospechas, sobre todo si tus webs comparten otros elementos técnicos (como el mismo proveedor de hosting, plantillas o plugins).

A veces se piensa que con limpiar cookies o navegar en modo incógnito es suficiente para despistar a Google. Nada más lejos de la realidad. El fingerprinting va mucho más allá: Google puede identificarte por la combinación de navegador, sistema operativo, zona horaria, plugins instalados, incluso la forma en la que te mueves entre tus sitios. Si a esto le sumas que la mayoría de los webmasters usan el mismo ordenador para todo, la correlación es casi inevitable.

Además, Google no depende solo de los datos técnicos. Analiza el comportamiento: si varias de tus webs reciben tráfico desde las mismas fuentes, tienen patrones de actualización similares o comparten enlaces, todo eso suma pistas. Si alguna vez has notado que dos proyectos tuyos caen en rankings al mismo tiempo, es posible que el fingerprinting haya jugado un papel importante.

Muchos recomiendan activar la opción de anonimizar la IP en Analytics. Esto, en esencia, evita que se guarde el último tramo de la dirección IP de los visitantes. En términos de privacidad para el usuario está bien, y ayuda a cumplir con normativas europeas. Pero, seamos sinceros: no te protege como webmaster. Google sigue sabiendo perfectamente quién eres si usas la misma cuenta, el mismo código o accedes desde el mismo navegador.

Por si quieres implementarlo (y siempre deberías por temas legales), aquí tienes el ejemplo para Analytics Universal y GA4:

<!-- Analytics Universal -->
<script>
  gtag('config', 'UA-XXXXXXXXX-X', { 'anonymize_ip': true });
</script>

<!-- GA4 -->
<script>
  gtag('config', 'G-XXXXXXXXXX', { 'anonymize_ip': true });
</script>

En GA4, la anonimización de IP viene activada por defecto, pero nunca está de más forzarla explícitamente.

Puede que hayas visto por ahí scripts de Analytics ultra comprimidos, ofuscados o “camuflados”. La lógica detrás de esto es hacer menos visible el código para ojos humanos o bots automáticos que revisan el código fuente. Sin embargo, para Google esto es totalmente irrelevante: mientras el script se cargue y reporte datos, da igual cómo esté escrito. La información llega igual.

Aquí tienes un ejemplo típico de código comprimido:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create','UA-XXXXXXXXX-X','auto');
ga('set', 'anonymizeIp', true);
ga('send','pageview');
</script>

¿Oculta algo a Google? No. ¿Sirve para despistar a un usuario despistado? Quizá. Pero como medida de anonimato real, no aporta nada.

Si de verdad quieres separar proyectos y evitar correlaciones, existen herramientas de analítica web que no dependen de Google ni comparten datos con terceros. Las más conocidas son Matomo, Plausible y Fathom. Estas plataformas te permiten medir el tráfico de tus webs de forma privada, con la opción de alojarlas en tu propio servidor y controlar lo que se guarda.

Eso sí, perderás algunas de las ventajas de Analytics, como la integración con otros productos de Google o el análisis profundo de audiencias. Pero ganarás en tranquilidad y privacidad.

Más allá de la técnica que uses, la clave para minimizar el fingerprinting es la higiene digital. No se trata solo de tener cuentas separadas, sino de gestionarlas como si fueran personas diferentes. Cada proyecto debería tener su propio navegador, perfil de sistema, incluso, si puedes, su propio dispositivo y conexión a internet. Sí, es más trabajo, pero si realmente te juegas mucho (económica o reputacionalmente), es el precio de la seguridad.

Evita enlazar tus sitios entre sí, no repitas plantillas ni plugins si puedes evitarlo, y nunca accedas a cuentas “limpias” y “arriesgadas” en la misma sesión. Si tienes un sitio principal que no quieres arriesgar, no lo mezcles jamás con experimentos o proyectos de dudosa reputación.

Google y otras grandes plataformas han apostado por el fingerprinting porque es, sencillamente, imposible de evitar por completo si quieres jugar en su ecosistema. La creatividad de los SEOs es enorme, pero la capacidad de Google para encontrar patrones lo es aún más. Por eso, la mejor estrategia no es buscar el truco milagroso, sino trabajar con cabeza: separa, aísla y, cuando tengas dudas, prioriza la seguridad sobre la comodidad.

Recuerda: la privacidad absoluta no existe, pero sí puedes reducir mucho tu exposición con buenas prácticas. Si has vivido algún caso de penalización múltiple, comparte tu experiencia: cuantos más datos tenga la comunidad, mejor preparados estaremos todos para el futuro.

Referencias y lecturas recomendadas:

• BlackHatWorld: “Deindex de varias webs en la misma Search Console”
• Reddit: Penalización por múltiples webs en Search Console
• Google Support: Managing multiple sites in Search Console
• Matomo – Analítica web open-source
• Plausible – Analítica web simple y privada

¿Tienes dudas, experiencias o quieres aportar algún matiz sobre el fingerprinting? Déjalo en los comentarios..  sigamos aprendiendo juntos..