¿Qué son las cookies?
Las cookies son pequeños archivos de texto que los sitios web almacenan en tu navegador. Cuando visitas un sitio web, el servidor puede enviar una cookie junto con el contenido de la página. Tu navegador guarda esta cookie y la devuelve al servidor con cada solicitud posterior. Este sencillo mecanismo —almacenar un valor y devolverlo— es la base de casi toda experiencia web personalizada.
Comprender qué son las cookies, cómo funcionan y para qué se utilizan es el primer paso esencial hacia el cumplimiento en materia de cookies. No se puede regular lo que no se entiende.
Cómo funcionan las cookies técnicamente
En esencia, las cookies son pares clave-valor. Una cookie tiene un nombre, un valor y un conjunto de atributos que controlan su comportamiento. Cuando un servidor web quiere establecer una cookie, incluye una cabecera Set-Cookie en su respuesta HTTP:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
Esto le indica al navegador: «Almacena una cookie llamada session_id con el valor abc123. Envíala con cada solicitud a cualquier ruta de este dominio. Consérvala hasta marzo de 2027. Envíala únicamente a través de HTTPS. Y no permitas que JavaScript acceda a ella».
En cada solicitud posterior a ese dominio, el navegador incluye automáticamente la cookie en la cabecera Cookie:
Cookie: session_id=abc123
El servidor lee este valor y sabe de quién procede la solicitud. Ese es todo el mecanismo. Las cookies no son programas. No pueden ejecutar código, acceder a tu sistema de archivos ni instalar nada. Son datos pasivos: cadenas de texto que viajan de un lado a otro entre el navegador y el servidor.
Para qué se utilizan las cookies
Las cookies cumplen cuatro grandes funciones en la web moderna:
Autenticación y gestión de sesiones
Cuando inicias sesión en un sitio web, el servidor crea una sesión y almacena un identificador de sesión único en una cookie. Sin esta cookie, el servidor no tendría forma de saber que tu siguiente solicitud de página proviene del mismo usuario que ha iniciado sesión. Cada carga de página parecería una primera visita. Los carritos de compra, las cuentas de usuario, los paneles de administración: ninguno funciona sin cookies de sesión.
Preferencias del usuario
Las cookies recuerdan tus elecciones. Preferencias de idioma, ajustes de tema (modo oscuro frente a modo claro), selección de moneda, las propias decisiones sobre el consentimiento de cookies: todo esto suele almacenarse en cookies. Cuando vuelves a un sitio y este ya sabe que prefieres el alemán, ese conocimiento reside en una cookie.
Analítica y rendimiento
Servicios como Google Analytics, Matomo y Plausible utilizan cookies para distinguir entre visitantes únicos y recurrentes, para hacer seguimiento de qué páginas se ven en una misma sesión y para medir cómo navegan los visitantes por un sitio. La cookie de analítica no suele contener información personal directamente: contiene un identificador anónimo como _ga=GA1.2.123456789.1710000000.
Publicidad y seguimiento
Aquí es donde las cookies se convierten en un problema de privacidad. Las redes publicitarias utilizan cookies para rastrear a los usuarios en múltiples sitios web, creando perfiles de comportamiento de navegación que permiten la publicidad dirigida. Cuando visitas un sitio de noticias y más tarde ves anuncios de un producto que consultaste en otro sitio distinto, son las cookies de seguimiento entre sitios las que lo hicieron posible. Estas cookies de terceros son el principal objetivo de la normativa de privacidad moderna.
Una breve historia de las cookies
Las cookies fueron inventadas en 1994 por Lou Montulli, un programador de Netscape Communications. El propósito original era modesto: Netscape necesitaba una forma de implementar un carrito de compra para un cliente de comercio electrónico sin almacenar el contenido del carrito de cada usuario en el servidor. Montulli adaptó el concepto de las «magic cookies» de la informática Unix: pequeños tokens que se pasan entre programas para mantener el estado.
Las primeras cookies fueron una solución práctica de ingeniería. Pero su potencial para el rastreo se reconoció rápidamente. Para 1996, el Financial Times publicó el primer artículo de gran difusión que planteaba preocupaciones sobre la privacidad de las cookies. Para 2002, la UE había aprobado la ePrivacy Directive específicamente dirigida a ellas.
A lo largo de las dos décadas siguientes, las cookies pasaron de ser una simple herramienta de gestión de sesiones a convertirse en la columna vertebral de la industria de la publicidad digital, y en el principal objetivo de la legislación de privacidad a nivel mundial.
Por qué las cookies son un problema de privacidad
El problema de privacidad con las cookies no tiene que ver con la tecnología en sí. Una cookie que recuerda tu preferencia de idioma es inofensiva. La preocupación surge de tres usos específicos:
- Rastreo entre sitios. Las cookies de terceros permiten a las redes publicitarias seguir a los usuarios por toda la web, creando perfiles detallados del comportamiento de navegación. Un usuario que visita un sitio de información médica, el sitio de una organización política y un sitio de citas ha revelado información sensible, y toda ella puede conectarse a través de cookies.
- Falta de transparencia. La mayoría de los usuarios no tiene idea de cuántas cookies se establecen cuando visitan un sitio web típico. Un solo sitio de noticias podría establecer entre 50 y 100 cookies procedentes de decenas de dominios distintos. El usuario ve un sitio web; entre bastidores, decenas de empresas observan su visita.
- Persistencia. Las cookies pueden durar años. Una cookie de seguimiento establecida en 2024 puede seguir identificando al mismo usuario en 2026. Esta capacidad de rastreo a largo plazo, combinada con el alcance entre sitios, crea una infraestructura de vigilancia que opera sin el conocimiento ni el consentimiento significativo de la mayoría de los usuarios.
Estas preocupaciones son la razón por la que la ePrivacy Directive (artículo 5(3)) exige el consentimiento informado antes de colocar cookies no esenciales, y por la que el GDPR (artículos 4(11) y 7) establece condiciones estrictas sobre cómo debe ser un consentimiento válido.
Más allá de las cookies: otras tecnologías de seguimiento
La normativa de privacidad moderna no abarca únicamente las cookies. La ePrivacy Directive se refiere a «el almacenamiento de información, o la obtención de acceso a información ya almacenada, en el equipo terminal de un abonado o usuario». Esta redacción cubre deliberadamente cualquier mecanismo de almacenamiento del lado del cliente, incluyendo:
- localStorage y sessionStorage: APIs de Web Storage que permiten a los sitios web almacenar mayores cantidades de datos en el navegador. A diferencia de las cookies, estos datos no se envían automáticamente al servidor, pero aun así pueden utilizarse para el rastreo y requieren consentimiento bajo las mismas reglas.
- IndexedDB: una base de datos del lado del cliente más potente. Se aplican las mismas reglas de consentimiento.
- Fingerprinting del navegador: la recopilación de características del dispositivo (resolución de pantalla, fuentes instaladas, plugins del navegador, zona horaria) para crear un identificador único sin almacenar nada en el dispositivo. Aunque el fingerprinting no utiliza cookies, cada vez se reconoce más como una tecnología de seguimiento que requiere consentimiento. La CNIL francesa y varias otras autoridades de protección de datos han publicado directrices que lo confirman.
- Píxeles de seguimiento: diminutas imágenes invisibles cargadas desde un servidor de terceros. La propia solicitud revela la dirección IP del usuario, su navegador y la página en la que se encuentra. Los píxeles de seguimiento suelen funcionar junto con cookies, pero pueden operar de forma independiente.
- ETags y seguimiento basado en caché: técnicas que explotan el almacenamiento en caché del navegador para guardar y recuperar identificadores. Son menos habituales, pero demuestran por qué la normativa se centra en el resultado (el rastreo) en lugar de en la tecnología específica.
La conclusión práctica: si tu sitio web almacena o accede a información en el dispositivo de un usuario con fines no esenciales, o si emplea técnicas para rastrear a los usuarios a lo largo de varias sesiones, casi con toda seguridad se requiere consentimiento, independientemente de si el mecanismo es técnicamente una «cookie».
El escáner de cookies de Passiro detecta todas las cookies y tecnologías de seguimiento de tu sitio web, incluido el uso de localStorage, los scripts de terceros y los píxeles de seguimiento, ofreciéndote una imagen completa de lo que recopila tu sitio.
Puntos clave
- Las cookies son pequeños archivos de texto que el navegador almacena y devuelve al servidor con cada solicitud.
- Cumplen fines legítimos (autenticación, preferencias) y fines sensibles para la privacidad (analítica, publicidad).
- Las cookies de seguimiento de terceros son la principal preocupación de la normativa de privacidad.
- Otras tecnologías (localStorage, fingerprinting, píxeles) están sujetas a los mismos requisitos de consentimiento.
- Comprender qué cookies utiliza tu sitio web es el primer paso hacia el cumplimiento.
A continuación, veamos en detalle los distintos tipos de cookies, porque el tipo determina los requisitos de consentimiento.
En esta sección
¿Cumple tu sitio web con la normativa de cookies?
Escanea tu sitio web gratis y encuentra todas las cookies en minutos.
Escanea tus cookies gratis