Cómo funcionan las cookies - La tecnología que le da memoria a la web
HTTP es, por naturaleza, un protocolo sin estado. Cada vez que un servidor recibe una solicitud, no tiene forma integrada de saber quién la envió ni cuántas veces esa persona ha visitado el sitio. En 1994, el ingeniero de Netscape Lou Montulli ideó las cookies para resolver este problema fundamental.
Una cookie es un pequeño fragmento de texto que un servidor envía al navegador mediante la cabecera Set-Cookie. El navegador adjunta automáticamente esos datos como cabecera Cookie en las solicitudes posteriores al mismo dominio. Este mecanismo permite la persistencia de sesión: mantener el estado de inicio de sesión, conservar el contenido del carrito de compras y recordar las preferencias de idioma.
Aunque las cookies son una tecnología web esencial, también se utilizan ampliamente como mecanismo de rastreo, lo que las convierte en un punto central de la regulación global de privacidad.
Cookies de origen vs. cookies de terceros
Las cookies se clasifican en dos tipos según el dominio que las emite. Esta distinción es el núcleo del debate sobre privacidad.
| Tipo | Emitida por | Uso principal | Riesgo de privacidad |
|---|---|---|---|
| De origen | El sitio que estás visitando | Persistencia de sesión, retención del carrito, almacenamiento de preferencias | Bajo (válida solo dentro de ese sitio) |
| De terceros | Un dominio diferente al del sitio que visitas | Rastreo publicitario, analítica, widgets de redes sociales | Alto (rastreo de comportamiento entre sitios) |
Por ejemplo, cuando visitas shop.example.com, las cookies establecidas por ese dominio son de origen. Sin embargo, las cookies establecidas por una red publicitaria integrada como ads.tracker.com son de terceros. Dado que las redes publicitarias distribuyen scripts en millones de sitios, pueden construir un perfil completo de qué sitios visita un usuario y en qué orden.
Safari bloquea las cookies de terceros por defecto desde que lanzó ITP (Intelligent Tracking Prevention) en 2017. Firefox siguió con ETP (Enhanced Tracking Protection). Chrome había anunciado durante mucho tiempo planes para eliminar las cookies de terceros, pero en 2024 dio marcha atrás, optando en su lugar por dejar que los usuarios elijan si las permiten.
Cookies de sesión vs. cookies persistentes
Las cookies también se clasifican por su duración.
Cookies de sesión
Cookies sin atributo Expires ni Max-Age. Se eliminan automáticamente al cerrar el navegador. Se utilizan para la gestión de sesiones de inicio de sesión y la retención temporal de datos de formularios. Desde el punto de vista de la seguridad, son más seguras que las persistentes porque cerrar el navegador elimina la cookie, reduciendo el riesgo en ordenadores compartidos.
Cookies persistentes
Cookies con atributo Expires (fecha de expiración absoluta) o Max-Age (duración en segundos). Sobreviven al reinicio del navegador y persisten hasta la fecha de expiración especificada. La casilla "Mantener sesión iniciada" funciona emitiendo una cookie persistente de larga duración en lugar de una cookie de sesión.
Desde 2023, Chrome limita la duración de las cookies persistentes a 400 días. Anteriormente, los sitios podían establecer fechas de expiración con años de antelación, pero se introdujo el límite para frenar el rastreo a largo plazo.
El atributo SameSite - Una defensa clave contra CSRF
El atributo SameSite controla si una cookie se envía con solicitudes entre sitios. Introducido en 2016 como contramedida contra ataques CSRF (Cross-Site Request Forgery), ahora es compatible con todos los navegadores principales.
| Valor | Comportamiento | Caso de uso |
|---|---|---|
Strict |
La cookie solo se envía con solicitudes del mismo sitio | Sitios bancarios y otros contextos de alta seguridad |
Lax |
Se envía en navegaciones de nivel superior (clics en enlaces) pero no en solicitudes POST ni iframes | Sitios web generales (valor predeterminado de Chrome) |
None |
Se envía con todas las solicitudes entre sitios | Cookies de terceros (requiere el atributo Secure) |
Desde 2020, Chrome trata las cookies sin atributo SameSite explícito como Lax. Esto significa que las cookies ya no se envían con solicitudes entre sitios a menos que el desarrollador establezca explícitamente SameSite=None; Secure. Este cambio afectó a muchas aplicaciones web, especialmente formularios de pago basados en iframes e implementaciones de SSO (Single Sign-On) que dependían de la transmisión de cookies entre sitios.
Para aprender los fundamentos de las tecnologías web, incluidos los atributos de seguridad de las cookies, los libros de referencia sobre desarrollo web son un buen punto de partida.
RGPD y consentimiento de cookies - Por qué aparecen los banners de consentimiento
El RGPD de la UE (Reglamento General de Protección de Datos, vigente desde 2018) y la Directiva ePrivacy exigen que los sitios web obtengan el consentimiento explícito antes de establecer cookies para los usuarios de la UE. Esta es la razón detrás de los banners de consentimiento de cookies que aparecen en prácticamente todos los sitios web.
Los requisitos de consentimiento del RGPD son estrictos.
- Consentimiento previo (opt-in): las cookies no esenciales no deben establecerse hasta que el usuario consienta activamente
- Opciones claras: un botón "Rechazar todo" debe presentarse con la misma prominencia que "Aceptar todo"
- Selección granular: los usuarios deben poder consentir o rechazar cada categoría de cookies (analítica, publicidad, funcional) individualmente
- Revocación sencilla: el consentimiento debe poder revocarse en cualquier momento con la misma facilidad con que se otorgó
- Registro: las organizaciones deben mantener registros de quién consintió, cuándo y a qué
Las sanciones por incumplimiento pueden alcanzar el 4% de la facturación anual global o 20 millones de euros, lo que sea mayor. En 2022, la autoridad francesa de protección de datos CNIL multó a Google con 150 millones de euros y a Facebook con 60 millones de euros por infracciones en el consentimiento de cookies.
Por qué los sitios web piden consentimiento de cookies explora con mayor detalle las diferencias regulatorias entre países. Consulta también Protección contra el rastreo publicitario para estrategias de defensa prácticas.
Qué sucede cuando eliminas las cookies
Borrar las cookies desde la configuración de tu navegador produce los siguientes efectos.
- Las sesiones se reinician: se cerrará tu sesión en todos los sitios web y deberás volver a introducir tus credenciales
- Los carritos de compra se vacían: los artículos guardados en carritos de comercio electrónico se pierden
- Las preferencias del sitio vuelven a los valores predeterminados: el modo oscuro, la selección de idioma, la densidad de visualización y otras personalizaciones se restablecen
- Los registros de consentimiento de cookies se borran: los banners de consentimiento reaparecen en todos los sitios
- Los perfiles de rastreo se interrumpen temporalmente: los perfiles de las redes publicitarias pierden continuidad, aunque la huella digital del navegador puede volver a vincular tu identidad
En lugar de eliminar todas las cookies, un equilibrio más práctico entre comodidad y privacidad es bloquear las cookies de terceros mientras se mantienen las de origen. La Protección mejorada contra rastreo de Firefox y el ITP de Safari adoptan exactamente este enfoque.
IP確認さん te permite revisar la configuración de cookies de tu navegador como parte de su evaluación de seguridad. Compruébalo periódicamente para asegurarte de que no se acumulen cookies innecesarias.