La falla en el componente IndexedDB permitía crear un identificador estable para rastrear la actividad de los usuarios entre sitios, incluso en Modo Privado y anulando la función 'Nueva Identidad' de Tor.
Mozilla y el Proyecto Tor han liberado actualizaciones de seguridad críticas para sus navegadores, corrigiendo una vulnerabilidad de severidad media que permitía el rastreo de usuarios entre diferentes sitios web, incluso cuando se utilizaban modos de navegación privada. La falla, identificada como CVE-2026-6770, comprometía una de las promesas fundamentales de privacidad de estas herramientas, afectando directamente a quienes dependen de ellas para mantener el anonimato en línea. Las versiones corregidas son Firefox 150, Firefox ESR 140.10 y Tor Browser 15.0.10.
El problema técnico residía en el componente Storage: IndexedDB, una API del navegador diseñada para almacenar grandes cantidades de datos estructurados del lado del cliente. Investigadores descubrieron que Firefox gestionaba los nombres de las bases de datos IndexedDB usando mapeos UUID internos. Al solicitar una lista de estas bases de datos, el orden en que eran devueltas permanecía constante durante una misma sesión de navegación. Este orden predecible y estable podía ser observado por sitios web no relacionados, permitiéndoles crear un identificador único y persistente un "fingerprint" para vincular la actividad de un usuario a través de diferentes dominios sin necesidad de cookies o almacenamiento compartido.
El impacto de esta vulnerabilidad es particularmente severo para los usuarios del navegador Tor, una herramienta esencial para periodistas, activistas y ciudadanos en regiones con vigilancia estatal intensiva. La falla anulaba efectivamente la función "Nueva Identidad" de Tor, diseñada para romper cualquier vínculo entre sesiones de navegación al limpiar historiales, cookies y conexiones activas. Con este fallo, un adversario podía correlacionar actividades que se suponía debían estar completamente aisladas, representando un riesgo significativo para la seguridad operacional de sus usuarios. La misma técnica de fingerprinting también funcionaba en el Modo de Navegación Privada de Firefox, debilitando sus garantías de privacidad.
El descubrimiento y reporte responsable de la vulnerabilidad generó una discusión técnica en la comunidad, destacando la sutileza de los métodos modernos de rastreo y la constante batalla por mantener el anonimato en la web. La capacidad de crear un identificador estable sin recurrir a técnicas tradicionales demuestra la complejidad creciente del ecosistema de seguridad en los navegadores y la importancia de auditorías de código profundas en componentes que manejan el almacenamiento de datos del lado del cliente.
La acción correctiva ya ha sido implementada y distribuida. De acuerdo con el reporte oficial en Bugzilla, Red Hat también ha publicado los parches correspondientes para sus distribuciones Enterprise Linux 8, 9 y 10 (RHSA-2026:10766, RHSA-2026:10757 y RHSA-2026:10767, respectivamente).
La recomendación para todos los usuarios de Firefox y Tor Browser es actualizar sus instalaciones a la última versión disponible de forma inmediata. La actualización se puede realizar a través del mecanismo interno del navegador ("Acerca de Firefox/Tor Browser") o mediante el gestor de paquetes del sistema operativo, asegurando que la protección contra este vector de rastreo sea restaurada sin demora.
FUENTE ORIGINAL
Red Hat Bugzilla↗CURADO POR
Ricardo Burgos