Privacidad avanzada en navegadores Firefox

Cuando se usa el navegador web, las peticiones que se realizan durante esta actividad envían información acerca del software que se está usando. La combinación de estos datos puede llevar a la creación de un perfil único usado para identificar y rastrear al usuario.

Estos son solo algunos ejemplos de los datos que puede conseguir una aplicación web sobre el cliente:

• Contenido soportado por el navegador – Qué tipo de contenido permite procesar el navegador
• User-Agent – Nombre y versión del navegador
• Tamaño de la ventana – Dimensiones de la ventana de la aplicación
• Idioma – El idioma del navegador (y normalmente del sistema)
• Zona horaria – Qué zona horaria usa el sistema
• Soporte táctil – Si está soportado el uso de pantallas táctiles
• Adblock – Si el navegador está bloqueando anuncios
• Permisos – Qué permisos tiene la aplicación
• Fuentes del sistema
• WebGL – Información sobre la tarjeta gráfica
• CPU y memoria – Qué CPU y cuánta memoria usa el sistema

Esta guía enseña algunas configuraciones básicas y avanzadas para mejorar la privacidad en navegadores basados en Firefox.

Software basado en Firefox

Aunque esta guía se basa en el navegador Firefox de Mozilla, puedes usar navegadores preconfigurados para proteger en mayor medida la información de navegación:

• Tor Browser – Construido con el anonimato en mente mediante configuraciones de privacidad y haciendo uso de la red Tor
• Mullvad Browser – Tor Browser sin las funciones de enmascaramiento de IP
• LibreWolf – Configuración contra el rastreo y el fingerprinting con mejoras de seguridad

Configuración básica

Dirígete al menú de configuración del navegador (about:preferences) y elimina todos los motores de búsqueda dejando únicamente los que creas confiables, por ejemplo, DuckDuckGo, SearXNG o StartPage.

Si no puedes eliminar un motor de búsqueda, debes cambiar el que está por defecto e intentarlo de nuevo.

DNS over HTTPS

DoH es un protocolo de seguridad que permite encriptar las consultas de DNS mediante el uso de HTTPS. Actívalo en el apartado de privacidad:

Esto evitará el secuestro de DNS y hará que tus solicitudes sean más difíciles de interceptar y manipular.

uBlock Origin

uBlock Origin es un bloqueador de contenido encargado de filtrar anuncios, rastreadores, cryptominers y malware usando listas de filtro. Esta extensión es de código abierto y está disponible para distintos navegadores.

Accede a su repositorio y descarga la última versión.

Termina de instalar uBlock y dirígete a las opciones del plugin, específicamente a la pestaña llamada Filter lists.

Ahora selecciona estas listas:

• Built-in
  • uBlock filters
• Ads
  • EasyList
• Privacy
  • EasyPrivacy
  • AdGuard URL Tracking Protection
• Malware protection
  • Online Malicious URL Blocklist
  • Phishing URL Blocklist

Puedes seleccionar más listas dependiendo de tus necesidades.

Perfiles

Es recomendable usar perfiles separados y configurados de forma distinta dependiendo de la actividad que se quiera realizar. Para esto, ve a la URL about:profiles, donde podrás crear y gestionar los perfiles que necesites.

Para seleccionar un perfil al iniciar el navegador sin usar la URL, puedes ejecutar Firefox con la opción -P.

$ firefox -P

Configuración avanzada

Dirígete a la URL about:config. Aquí es donde se realiza la configuración avanzada mediante la asignación de valores concretos a las variables del navegador.

Cambia la página de inicio:

• browser.startup.page = 1
• browser.startup.homepage = about:home

Establece el idioma por defecto en inglés:

• intl.accept_languages = «en-US, en»
• javascript.use_us_english_locale = true

Desactiva Activity Stream:

• browser.newtabpage.enabled = false
• browser.newtab.preload = false
• browser.newtabpage.activity-stream.section.highlights.includePocket = false
• browser.newtabpage.activity-stream.telemetry = false
• browser.newtabpage.activity-stream.feeds.telemetry = false
• browser.newtabpage.activity-stream.feeds.snippets = false
• browser.newtabpage.activity-stream.feeds.discoverystreamfeed = false
• browser.newtabpage.activity-stream.feeds.section.topstories = false
• browser.newtabpage.activity-stream.showSponsored = false
• browser.newtabpage.activity-stream.showSponsoredTopSites = false
• browser.newtabpage.activity-stream.default.sites = «»

Desactiva Pocket:

• extensions.pocket.enabled = false

Desactiva los servicios de localización:

• geo.provider.network.url = «https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY%»
• geo.provider.use_gpsd = false
• geo.provider.use_geoclue = false
• browser.region.network.url = «»
• browser.region.update.enabled = false

Desactiva la telemetría:

• datareporting.policy.dataSubmissionEnabled = false
• datareporting.healthreport.uploadEnabled = false
• toolkit.telemetry.enabled = false [Default: false]
• toolkit.telemetry.unified = false
• toolkit.telemetry.server = «data:,»
• toolkit.telemetry.archive.enabled = false
• toolkit.telemetry.newProfilePing.enabled = false
• toolkit.telemetry.shutdownPingSender.enabled = false
• toolkit.telemetry.updatePing.enabled = false
• toolkit.telemetry.bhrPing.enabled = false
• toolkit.telemetry.firstShutdownPing.enabled = false
• toolkit.telemetry.coverage.opt-out = true
• toolkit.coverage.opt-out = true
• toolkit.coverage.endpoint.base = «»
• browser.ping-centre.telemetry = false
• beacon.enabled = false
• breakpad.reportURL = «»
• browser.tabs.crashReporting.sendReport = false
• app.shield.optoutstudies.enabled = false
• app.normandy.enabled = false
• app.normandy.api_url = «»

Inhabilita las actualizaciones automáticas:

• app.update.auto = false

Desactiva la recomendación de plugins:

• extensions.getAddons.showPane = false
• extensions.htmlaboutaddons.recommendations.enabled = false
• browser.discovery.enabled = false

Desactiva las comprobaciones de red:

• captivedetect.canonicalURL = «»
• network.captive-portal-service.enabled = false
• network.connectivity-service.enabled = false

Prevención de bypass de proxy:

• network.gio.supported-protocols = «»
• network.file.disable_unc_paths = true

Deshabilita IPv6:

• network.dns.disableIPv6 = true

Desactiva la apertura de conexiones para enlaces enfocados con el cursor:

• network.http.speculative-parallel-limit = 0

Elimina los permisos especiales para determinadas URLs:

• permissions.manager.defaultsUrl = «»

Fuerza el uso de Punycode en IDNs para prevenir scams:

• network.IDN_show_punycode = true

Muestra la URL completa en la barra:

• browser.urlbar.trimURLs = false

Bloquea la precarga y predicción de enlaces:

• network.prefetch-next = false
• network.dns.disablePrefetch = true
• network.predictor.enabled = false

Desactiva las sugerencias y autorellenado de la barra de búsqueda y formularios:

• browser.urlbar.quicksuggest.scenario = «history»
• browser.urlbar.quicksuggest.enabled = false
• browser.urlbar.suggest.quicksuggest.nonsponsored = false
• browser.urlbar.suggest.quicksuggest.sponsored = false
• browser.formfill.enable = false
• extensions.formautofill.addresses.enabled = false
• extensions.formautofill.available = «off»
• extensions.formautofill.creditCards.available = false
• extensions.formautofill.creditCards.enabled = false
• extensions.formautofill.heuristics.enabled = false
• browser.search.suggest.enabled = false
• browser.urlbar.suggest.searches = false
• browser.urlbar.speculativeConnect.enabled = false

Inhabilita el servicio de navegación segura:

• browser.safebrowsing.malware.enabled = false
• browser.safebrowsing.phishing.enabled = false
• browser.safebrowsing.blockedURIs.enabled = false
• browser.safebrowsing.provider.google4.gethashURL = «»
• browser.safebrowsing.provider.google4.updateURL = «»
• browser.safebrowsing.provider.google.gethashURL = «»
• browser.safebrowsing.provider.google.updateURL = «»
• browser.safebrowsing.provider.google4.dataSharingURL = «»
• browser.safebrowsing.downloads.enabled = false
• browser.safebrowsing.downloads.remote.enabled = false
• browser.safebrowsing.downloads.remote.url = «»
• browser.safebrowsing.downloads.remote.block_potentially_unwanted = false
• browser.safebrowsing.downloads.remote.block_uncommon = false
• browser.safebrowsing.allowOverride = false

Impide que se recuerden las contraseñas y sesiones:

• signon.rememberSignons = false
• signon.autofillForms = false
• signon.formlessCapture.enabled = false

Activa la protección contra el rastreo:

• browser.contentblocking.category = «strict»

Activa APS:

• privacy.partition.always_partition_third_party_non_cookie_storage = true
• privacy.partition.always_partition_third_party_non_cookie_storage.exempt_sessionstorage = true

Activa Resist Fingerprinting:

• privacy.resistFingerprinting = true

Limita el tamaño máximo de las ventanas:

• privacy.window.maxInnerWidth = 1600
• rivacy.window.maxInnerHeight = 900

Desactiva el uso de colores del sistema:

• browser.display.use_system_colors = false

Desactiva la API de mozAddonManager:

• privacy.resistFingerprinting.block_mozAddonManager = true

Haz que los addons funcionen en dominios restringidos:

• extensions.enabledScopes = 5
• extensions.webextensions.restrictedDomains = «»

Muestra siempre el prompt de instalación para los addons:

• extensions.postDownloadThirdPartyPrompt = false

Bloquea los popups:

• dom.disable_open_during_load = true
• dom.popup_allowed_events = «click dblclick mousedown pointerdown»

Bloquea los scripts en PDFJS:

• pdfjs.enableScripting = false

Activa la limpieza de cookies y datos sobre sitios web:

• network.cookie.lifetimePolicy = 2
• privacy.sanitize.sanitizeOnShutdown = true
• privacy.clearOnShutdown.cache = true
• privacy.clearOnShutdown.cookies = true
• privacy.clearOnShutdown.downloads = true
• privacy.clearOnShutdown.formdata = true
• privacy.clearOnShutdown.history = true
• privacy.clearOnShutdown.offlineApps = true
• privacy.clearOnShutdown.sessions = true
• privacy.clearOnShutdown.sitesettings = false
• privacy.sanitize.timeSpan = 0
• browser.cache.disk.enable = false
• browser.sessionstore.privacy_level = 2
• browser.sessionstore.resume_from_crash = false
• browser.shell.shortcutFavicons = false
• browser.helperApps.deleteTempFileOnExit = true

Pregunta siempre donde guardar las descargas:

• browser.download.useDownloadDir = false

Desactiva mostrar las descargas en «documentos recientes»:

• browser.download.manager.addToRecentDocs = false

Limita el envío de referer en las cabeceras:

• network.http.referer.XOriginPolicy = 2
• network.http.referer.XOriginTrimmingPolicy = 2

Desactiva WebRTC y fuérzalo en el proxy:

• media.peerconnection.enabled = false
• media.peerconnection.ice.proxy_only_if_behind_proxy = true

Desactiva WebGL:

• webgl.disabled = true

Bloquea la reproducción automática:

• media.autoplay.default = 5

Desactiva el contenido DRM:

• media.eme.enabled = false

Fuerza HTTPS en todas las ventanas:

• dom.security.https_only_mode = true
• dom.security.https_only_mode_send_http_background_request = false
• browser.xul.error_pages.expert_bad_cert = true

Desactiva los certificados SHA-1:

• security.pki.sha1_enforcement_level = 1

Activa CRLite:

• security.remote_settings.crlite_filters.enabled = true
• security.pki.crlite_mode = 2

Haz que OCSP bloquee conexiones cuando el certificado sea inválido:

• security.OCSP.require = true

Comprueba tus huellas digitales

Los siguientes servicios ofrecen pruebas para detectar qué información se está filtrando desde el navegador:

• CreepJS
• Panopticlick

Si has aplicado correctamente las recomendaciones de esta guía, deberías poder comprobar una diferencia notable respecto a otros navegadores.

---

Con el paso del tiempo, algunos elementos de esta guía pueden estar incompletos u obsoletos. Es posible que se vea actualizada en el futuro. En tal caso se notificará.

Recursos

• Restore Privacy
• Mullvad Browser
• brainfucksec
• Arkenfox user.js
• Pyllyukko user.js

---

napalm@cryptolab.net