Skip to main content

Escaneo y auditoría de cookies: sepa qué establece su sitio web

No puede cumplir con las regulaciones de cookies si no sabe qué cookies establece su sitio web. Esto parece obvio y, sin embargo, es el punto de fallo más común en el cumplimiento en materia de cookies. Los sitios web evolucionan constantemente — se instalan nuevos plugins, se añaden etiquetas de marketing, se actualizan scripts de terceros — y cada cambio puede introducir nuevas cookies. Una auditoría de cookies no es una actividad puntual. Es un proceso continuo que debe seguir el ritmo de la evolución de su sitio web.

Por qué importa el escaneo de cookies

Toda obligación de cumplimiento en materia de cookies depende de contar con un inventario preciso y completo de sus cookies. Sin él:

  • Su banner de cookies queda incompleto. Si su banner enumera cuatro categorías de cookies pero su sitio en realidad establece cookies de una quinta categoría, los usuarios no pueden dar un consentimiento informado. Su consentimiento es inválido según el GDPR.
  • Su política de cookies es inexacta. Las Autoridades de Protección de Datos esperan que su política de cookies enumere cada cookie por nombre, finalidad, tipo y duración. Una política incompleta o desactualizada es un incumplimiento que las APD buscan activamente durante las auditorías.
  • Su mecanismo de consentimiento puede no bloquear todas las cookies. Si un script recién añadido establece cookies que no están incluidas en la configuración de su gestión del consentimiento, esas cookies se activan sin consentimiento — una violación directa del Artículo 5(3) de la Directiva ePrivacy.
  • No puede responder a las solicitudes de los usuarios. Según el GDPR, los usuarios tienen derecho a saber qué datos recopila sobre ellos. Si no sabe qué cookies establece su sitio, no puede ofrecer respuestas precisas a las solicitudes de acceso de los interesados.

Qué revela un escaneo de cookies

Un escaneo de cookies exhaustivo identifica:

  • Nombres de las cookies: el identificador exacto de cada cookie (p. ej., _ga, _fbp, JSESSIONID).
  • Origen: si la cookie es de origen propio (establecida por su dominio) o de terceros (establecida por un dominio externo).
  • Tipo: cookie de sesión (se elimina al cerrar el navegador) o cookie persistente (permanece durante una duración determinada).
  • Duración: cuánto tiempo persiste la cookie antes de expirar (p. ej., 30 minutos, 1 año, 2 años).
  • Finalidad: qué hace la cookie — gestión de sesión, analítica, publicidad, personalización o fines funcionales.
  • Categoría: la categoría de cumplimiento a la que pertenece la cookie — estrictamente necesaria, funcional, analítica/rendimiento o marketing/publicidad.
  • Proveedor externo: si la cookie es establecida por un tercero, a qué servicio pertenece (Google Analytics, Facebook, HubSpot, Hotjar, etc.).
  • Datos recopilados: qué información almacena la cookie o permite recopilar.

Escaneo manual de cookies con las DevTools del navegador

El método más básico de escaneo de cookies utiliza las herramientas de desarrollo integradas en todos los navegadores modernos. Aunque el escaneo manual tiene limitaciones significativas, resulta útil para comprobaciones puntuales y para entender cómo funcionan las cookies en su sitio.

Paso a paso: auditoría manual de cookies en Chrome

  1. Abra una ventana de incógnito/privada. Esto le garantiza empezar desde cero — sin cookies existentes de visitas anteriores.
  2. Abra las DevTools (pulse F12 o haga clic derecho y seleccione «Inspeccionar»).
  3. Vaya a la pestaña Application (en Chrome) o la pestaña Storage (en Firefox).
  4. Despliegue la sección «Cookies» en la barra lateral izquierda. Verá una lista de dominios.
  5. Visite su sitio web sin interactuar con el banner de cookies. Anote qué cookies se establecen de inmediato — estas son las cookies establecidas antes del consentimiento, que solo deberían ser estrictamente necesarias.
  6. Acepte todas las cookies en su banner. Actualice la pestaña Application/Storage y anote las nuevas cookies que aparezcan.
  7. Navegue por las páginas clave de su sitio web (página de inicio, páginas de producto, pago, formulario de contacto, blog). Algunas cookies solo se establecen en páginas concretas o tras interacciones específicas.
  8. Documente cada cookie: para cada cookie que encuentre, registre su nombre, dominio, ruta, fecha de expiración, tamaño y si es HTTP-only o segura.
  9. Revise la pestaña Network en busca de rastreo adicional. Algunas tecnologías de seguimiento usan píxeles, balizas o llamadas a API en lugar de cookies tradicionales. La pestaña Network revela todas las solicitudes salientes a dominios de terceros.

Limitaciones del escaneo manual

El escaneo manual es valioso para aprender y hacer comprobaciones puntuales, pero tiene limitaciones serias a efectos de cumplimiento:

  • Cobertura incompleta. Solo puede comprobar las páginas que visite manualmente. Un sitio web grande con cientos de páginas puede establecer cookies distintas en páginas distintas. El escaneo manual no puede cubrirlas todas en la práctica.
  • Sin categorización. Las DevTools le muestran los datos brutos de las cookies, pero no las categorizan por finalidad ni por categoría de cumplimiento. Debe investigar cada cookie individualmente.
  • Solo un momento puntual. El escaneo manual le ofrece una instantánea. No detecta las nuevas cookies añadidas después de su auditoría.
  • Sin verificación del bloqueo de scripts. El escaneo manual no puede verificar fácilmente que su plataforma de gestión del consentimiento esté bloqueando correctamente los scripts antes del consentimiento.
  • Requiere mucho tiempo. Para un sitio con incluso 20 páginas, comprobar manualmente cada una y documentar cada cookie lleva horas.

Escaneo automatizado de cookies

Las herramientas de escaneo automatizado de cookies abordan las limitaciones del escaneo manual rastreando todo su sitio web, identificando todas las cookies y categorizándolas de forma sistemática. Una buena herramienta de escaneo automatizado ofrece:

  • Rastreo exhaustivo: el escáner visita cada página de su sitio (o un subconjunto definido), incluidas las páginas solo accesibles mediante navegación o búsqueda.
  • Antes y después del consentimiento: el escáner comprueba qué cookies se establecen antes de otorgar el consentimiento, cuáles aparecen después y si las categorías rechazadas se bloquean correctamente.
  • Categorización automática: las cookies conocidas (como _ga de Google Analytics o _fbp de Facebook) se categorizan automáticamente en función de bases de datos mantenidas sobre las finalidades de las cookies.
  • Identificación de terceros: se identifican y documentan todos los dominios de terceros que establecen cookies.
  • Escaneo programado: los escaneos se ejecutan automáticamente según una programación (semanal, tras despliegues) para detectar nuevas cookies a medida que aparecen.
  • Detección de cambios: el escáner le avisa cuando aparecen nuevas cookies o cambian las existentes, para que pueda actualizar su mecanismo de consentimiento y su política de cookies.
  • Informes de cumplimiento: los resultados se presentan de forma que respalda su documentación de cumplimiento.

Qué buscar en una herramienta de escaneo de cookies

Al evaluar soluciones de escaneo automatizado de cookies, tenga en cuenta:

  1. Renderizado de JavaScript: muchas cookies se establecen mediante JavaScript que se ejecuta después de cargar la página. El escáner debe ejecutar JavaScript (usando un motor de navegador real) para detectar estas cookies. Los rastreadores HTTP simples que no renderizan JavaScript se perderán la mayoría de las cookies de terceros.
  2. Profundidad del rastreo: el escáner debe seguir los enlaces internos y rastrear todo su sitio, no solo la página de inicio. Las cookies establecidas por vídeos incrustados, formularios, widgets de chat o procesadores de pago en páginas concretas se perderán si solo se escanea la página de inicio.
  3. Simulación de primera visita: el escáner debe simular a un visitante que llega por primera vez (sin cookies existentes, sin consentimiento otorgado) para verificar que no se establecen cookies no esenciales antes del consentimiento.
  4. Base de datos de cookies: una base de datos mantenida de cookies conocidas con sus finalidades y categorías reduce drásticamente el esfuerzo manual de clasificación.
  5. Elaboración de informes: informes claros y exportables que puedan compartirse con los equipos legales, de marketing y de desarrollo.
  6. Programación y alertas: escaneo automático según una programación configurable con notificaciones cuando se detecten nuevas cookies.

El proceso de escaneo de cookies

Un escaneo de cookies exhaustivo sigue cinco pasos, tanto si se realiza manualmente como con herramientas automatizadas:

Paso 1: Rastrear todas las páginas

Comience elaborando un mapa completo de su sitio web. Esto incluye todas las páginas públicas, las páginas autenticadas (si procede), las páginas de aterrizaje, las páginas de agradecimiento, las páginas de error y cualquier página a la que un visitante pudiera acceder. No limite su escaneo a la página de inicio — las cookies suelen ser establecidas por scripts de terceros que solo se cargan en páginas concretas (p. ej., un vídeo de YouTube incrustado en una entrada de blog, un procesador de pago en la página de pago o un widget de chat que solo aparece en las páginas de soporte).

Paso 2: Identificar todas las cookies

Para cada página, registre cada cookie que se establece. Esto incluye tanto las cookies HTTP (visibles en la cabecera Set-Cookie y en el almacenamiento de cookies del navegador) como los mecanismos de almacenamiento del lado del cliente (localStorage, sessionStorage, IndexedDB) que pueden funcionar como tecnologías de seguimiento aunque técnicamente no sean cookies.

Paso 3: Determinar el origen de las cookies

Para cada cookie, identifique si es de origen propio (establecida por su propio dominio) o de terceros (establecida por un dominio externo). Las cookies de terceros son especialmente importantes para el cumplimiento porque normalmente implican compartir datos con organizaciones externas, lo que requiere divulgación en su política de cookies y, en muchos casos, un acuerdo de tratamiento de datos.

Paso 4: Clasificar las cookies por categoría

Asigne cada cookie a una categoría de cumplimiento:

  • Estrictamente necesarias: imprescindibles para que el sitio web funcione. El usuario no puede desactivarlas. Ejemplos: cookies de sesión, tokens CSRF, cookies de balanceo de carga, cookies de preferencias de consentimiento de cookies.
  • Funcionales: permiten funcionalidad mejorada y personalización. Ejemplos: preferencias de idioma, selección de región, artículos vistos recientemente (cuando no se usan para publicidad).
  • Analíticas/rendimiento: recopilan información sobre cómo usan el sitio web los visitantes. Ejemplos: cookies de Google Analytics, Hotjar, Matomo.
  • Marketing/publicidad: rastrean a los visitantes entre sitios web con fines publicitarios. Ejemplos: Facebook Pixel, cookies de Google Ads, cookies de retargeting, cookies de seguimiento de afiliados.

Paso 5: Documentar la finalidad, la duración y el tipo

Para cada cookie, documente su finalidad en un lenguaje sencillo que una persona sin conocimientos técnicos pueda entender, su duración (de sesión o persistente y, si es persistente, cuánto tiempo) y su tipo (cookie HTTP, localStorage, etc.). Esta documentación constituye la base de su política de cookies y de la información que se proporciona en su banner de cookies.

Monitorización continua

Un escaneo de cookies solo es válido en el momento en que se realiza. Su sitio web no es estático — evoluciona con cada despliegue, actualización de plugin y campaña de marketing. La monitorización continua es esencial porque:

  • Los nuevos scripts introducen nuevas cookies. Cuando un desarrollador añade una nueva herramienta de analítica, un equipo de marketing instala un nuevo píxel de seguimiento o se actualiza un plugin, pueden aparecer nuevas cookies en su sitio sin que nadie decida explícitamente añadirlas.
  • Los scripts de terceros cambian. Incluso si usted no modifica su sitio web, los servicios de terceros que utiliza pueden actualizar sus scripts e introducir nuevas cookies. Una actualización de Google Analytics, un cambio en un widget de redes sociales o una actualización de la configuración de un CDN pueden afectar a las cookies de su sitio.
  • El cumplimiento es continuo. Las APD esperan que su política de cookies y su mecanismo de consentimiento reflejen el estado actual de su sitio web. Una política que era precisa hace seis meses pero que no incluye las cookies añadidas desde entonces no cumple hoy.

La mejor práctica es ejecutar escaneos automatizados después de cada despliegue y, como mínimo, mensualmente. Configure alertas para nuevas cookies de modo que su equipo pueda evaluarlas, categorizarlas y añadirlas a su mecanismo de consentimiento antes de que se conviertan en un problema de cumplimiento.

El escaneo de cookies y su política de cookies

Su política de cookies y los resultados de su escaneo de cookies deben mantenerse sincronizados. Cada cookie identificada en un escaneo debe estar documentada en su política, y cada cookie enumerada en su política debe estar realmente presente en su sitio. Una discrepancia en cualquiera de las dos direcciones es un problema:

  • Cookies en el sitio pero no en la política: esto significa que los usuarios no están informados sobre todo el rastreo de su sitio. Su consentimiento, aunque se otorgue, puede no cubrir las cookies no divulgadas.
  • Cookies en la política pero no en el sitio: aunque menos grave, enumerar cookies que no existen genera confusión y socava la confianza en la exactitud de su documentación.

El enfoque más eficiente es integrar su herramienta de escaneo con su política de cookies, de modo que la política se actualice automáticamente cuando se detecten nuevas cookies. Esto elimina el paso manual de actualizar la política después de cada escaneo y reduce el riesgo de que ambas se desincronicen.

Cómo gestiona Passiro el escaneo de cookies

El escáner de Passiro utiliza un motor de navegador headless para visitar cada página de su sitio web, ejecutando JavaScript exactamente como lo haría el navegador de un visitante real. Esto garantiza que se detecten todas las cookies establecidas por scripts cargados dinámicamente, contenido incrustado y frameworks de aplicaciones de página única. El escáner se ejecuta antes y después de un consentimiento simulado para verificar que su gestión del consentimiento funciona correctamente — que las cookies no esenciales están realmente bloqueadas hasta que se otorga el consentimiento.

Los resultados del escaneo se categorizan automáticamente utilizando una base de datos de cookies conocidas actualizada continuamente, con la opción de clasificar o reclasificar manualmente cualquier cookie. Los escaneos programados se ejecutan según una configuración a medida, y usted recibe alertas cuando aparecen nuevas cookies en su sitio para que pueda actuar antes de que se conviertan en un riesgo de cumplimiento.

¿Con qué frecuencia debería escanear?

La frecuencia de escaneo adecuada depende de la frecuencia con la que cambia su sitio web:

  • Después de cada despliegue: cualquier cambio de código puede introducir nuevas cookies. Integre el escaneo de cookies en su pipeline de CI/CD o ejecute un escaneo tras cada versión.
  • Después de añadir servicios de terceros: siempre que añada una nueva herramienta de analítica, plataforma de marketing, widget de chat, procesador de pago o cualquier script de terceros, escanee de inmediato.
  • Mensualmente como mínimo: aunque no realice cambios, los scripts de terceros de su sitio pueden actualizarse e introducir nuevas cookies. Un escaneo mensual detecta estos cambios.
  • Después de actualizaciones del CMP: si actualiza su plataforma de gestión del consentimiento o cambia sus categorías de cookies, escanee para verificar que los cambios funcionan como se espera.
  • Revisión trimestral: además del escaneo automatizado, realice una revisión manual trimestral de su inventario de cookies para verificar que las categorizaciones siguen siendo precisas, que los proveedores externos siguen siendo necesarios y que su política de cookies refleja la realidad.

Las organizaciones que tratan el escaneo de cookies como un mantenimiento rutinario en lugar de una auditoría periódica son las que mantienen un cumplimiento continuo — y evitan la desagradable sorpresa de descubrir cookies de seguimiento no documentadas durante una investigación de una APD.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis