Una guía práctica de Comprensión de las cookies del navegador
TL;DR — Respuesta rápida
6 min de lecturaLas cookies del navegador pueden mantener un sitio en funcionamiento, recordar preferencias, medir el uso o rastrear personas en la web. El riesgo de privacidad depende del propósito, el diseño del identificador, la retención, el intercambio y si se requiere consentimiento.
Esta guía explica Comprensión de las cookies del navegador de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
Una cookie del navegador es un pequeño fragmento de texto que un sitio web le solicita a su navegador que almacene. En solicitudes posteriores, el navegador puede enviar esa cookie al dominio correspondiente. Ese mecanismo simple hace posible sesiones de inicio de sesión, carritos de compras, preferencias de idioma, análisis y seguimiento de publicidad.
Las cookies no son automáticamente malas. Una cookie de sesión segura puede mantener su sesión iniciada. Una cookie de preferencia puede recordar el modo oscuro. El problema de la privacidad comienza cuando las cookies se convierten en identificadores persistentes que se utilizan para observar a las personas a través del tiempo, páginas, dispositivos o sitios web.
Cookies propias frente a cookies de terceros
El sitio que estás visitando establece una cookie de origen. Si visita example.com y example.com establece una cookie, esa es de origen. Las cookies de origen se utilizan comúnmente para sesiones, preferencias, prevención de fraude y análisis.
Una cookie de terceros la establece un dominio diferente integrado en la página, como una red publicitaria, un widget social o un proveedor de analítica de terceros. Históricamente, las cookies de terceros permitían el seguimiento entre sitios porque el mismo dominio externo podía reconocer el navegador en muchos sitios web.
El comportamiento del navegador ha cambiado. La prevención de seguimiento WebKit de Safari explica que el acceso a las cookies de terceros está muy restringido y que parte del almacenamiento grabable mediante scripts se puede limitar, incluido un límite de 7 días en ciertos contextos ITP. La Protección total de cookies de Firefox aísla las cookies por sitio y está habilitada en la Protección de seguimiento mejorada estándar para muchos usuarios, según la documentación Firefox de Mozilla. Chrome cambió de rumbo en 2025 y dijo que mantendría su enfoque actual de elección de cookies de terceros en lugar de implementar un nuevo mensaje independiente, según la [actualización de Privacidad Sandbox] de Google (https://privacysandbox.google.com/blog/privacy-sandbox-next-steps).
El punto práctico: las cookies de terceros ya no son una base estable para la medición, y las cookies de origen están bajo más escrutinio cuando se utilizan para el seguimiento.
Cookies de sesión, persistentes y seguras
Las cookies de sesión caducan cuando finaliza la sesión del navegador. A menudo se utilizan para el estado de inicio de sesión o para el estado de flujo de trabajo temporal.
Las cookies persistentes permanecen hasta su fecha de caducidad o hasta que el usuario las elimine. Pueden durar minutos, días, meses o años. Las cookies persistentes de larga duración son más sensibles a la privacidad porque hacen que los navegadores que regresan sean más fáciles de reconocer.
Las cookies seguras solo se envían a través de HTTPS. JavaScript no puede leer las cookies HttpOnly, lo que ayuda a proteger las cookies de sesión de ciertos ataques. SameSite controla si las cookies se envían en contextos entre sitios. Estos atributos son controles de seguridad, no un permiso de privacidad.
Cookies esenciales versus no esenciales
La cuestión jurídica suele ser la finalidad. En Europa, el artículo 5(3) de la Directiva ePrivacy requiere consentimiento antes de almacenar o acceder a información en el dispositivo de un usuario, a menos que el almacenamiento sea estrictamente necesario para un servicio solicitado por el usuario. Los reguladores como la ICO del Reino Unido resumen esto de la siguiente manera: las cookies no estrictamente necesarias necesitan un medio de consentimiento adecuado, mientras que las cookies estrictamente necesarias no. Consulte la guía pública de la ICO sobre cookies.
Cookies típicas estrictamente necesarias:
- Cookies de sesión de inicio de sesión.
- Galletas del carrito de la compra.
- Cookies de seguridad para la prevención del fraude.
- Cookies de equilibrio de carga.
- Cookies de preferencia del usuario que admiten una configuración solicitada.
Cookies típicas no esenciales:
- Cookies analíticas.
- Cookies publicitarias.
- Cookies de prueba A/B para optimización empresarial.
- Cookies de seguimiento de redes sociales.
- Cookies de personalización entre sitios.
Algunos países permiten exenciones limitadas de consentimiento para la medición de audiencia cuando se cumplen condiciones estrictas. La CNIL, por ejemplo, describe la medición de audiencia exenta de consentimiento como limitada a estadísticas para el editor, sin seguimiento entre sitios ni reutilización para otros fines, en su guía sobre soluciones de medición de audiencia. Eso no es lo mismo que decir que todas las cookies analíticas son esenciales.
Cookies y Datos Personales
Un valor de cookie puede ser aleatorio y seguir siendo datos personales si selecciona un navegador o puede vincularse a otra información. Según GDPR, los identificadores en línea pueden ser datos personales cuando se relacionan con una persona identificada o identificable. Es por eso que los ID de análisis únicos, los ID de publicidad y los ID de usuario seudónimos merecen un tratamiento cuidadoso.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
No coloque nombres, correos electrónicos, números de teléfono, ID de cuentas, detalles de salud ni respuestas de formularios en cookies a menos que tenga un motivo y un diseño de seguridad muy específicos. Incluso entonces, evítelo siempre que sea posible.
Cookies en Analítica Web
La analítica web tradicional utiliza cookies para distinguir usuarios y sesiones. Google dice que las etiquetas JavaScript GA4 utilizan cookies de origen como _ga para distinguir usuarios y sesiones en su documentación de cookies GA4. Ese diseño puede admitir informes familiares, pero también genera preguntas sobre consentimiento, retención, proveedores y entre productos.
El análisis sin cookies toma un camino diferente: cuenta las visitas a la página, las referencias, las campañas, los países, los dispositivos y los eventos sin almacenar un identificador del navegador. La compensación es menos detalles del recorrido a nivel del usuario, pero el beneficio es un cumplimiento más simple, menos brechas en los banners de consentimiento y menos riesgo de convertir la medición básica en vigilancia.
Una auditoría de cookies simple
Para cada cookie, registre:
| Campo | Qué capturar |
|---|---|
| Nombre | El nombre de la cookie como se muestra en las herramientas de desarrollo del navegador |
| Dominio | Dominio propio o de terceros |
| Propósito | Sesión, preferencia, análisis, anuncios, seguridad |
| Duración | Sólo sesión o vencimiento exacto |
| Tipo de datos | ID aleatorio, valor de preferencia, token, datos de campaña |
| Proveedor | Sistema interno o proveedor externo |
| Categoría de consentimiento | Estrictamente necesario, preferencias, análisis, marketing |
Luego retira lo que no necesites. Acorte la retención cuando sea posible. Bloquear las cookies no esenciales hasta que se requiera el consentimiento. Si el único motivo de su banner son la analítica, considere reemplazar la analítica basada en cookies con una configuración que priorice la privacidad.
Preguntas para principiantes que los equipos suelen pasar por alto
No es lo mismo un banner de cookies que una política de privacidad. El banner recoge una elección antes de que se produzca el almacenamiento opcional; la política explica el tratamiento más amplio. Es posible que necesite ambos.
Un script sin cookies no está automáticamente libre de consentimiento. Si lee el almacenamiento del navegador, crea una huella digital o envía un identificador único desde el dispositivo, aún puede estar sujeto a las reglas ePrivacy.
La eliminación de cookies no elimina los registros del lado del servidor ya creados. Si una herramienta de analítica recibió eventos antes de su eliminación, esos eventos pueden permanecer en el sistema del proveedor hasta que se apliquen las reglas de retención o eliminación.
Lista de verificación de auditoría de cookies
Audite cada página antes de cualquier elección de consentimiento y nuevamente después del rechazo. Inspeccione las llamadas de red, las cookies, el almacenamiento local y de sesión, los píxeles, los activadores del administrador de etiquetas y los eventos del lado del servidor. Si aún se activan análisis o publicidad opcionales antes de una elección válida, el banner es cosmético. Si una herramienta reclama una exención de análisis, documente la configuración exacta y asegúrese de que la configuración sea limitada, centrada en el editor y libre de reutilización de publicidad.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de Cómo crear análisis de sitios web compatibles
Cómo crear análisis de sitios web compatibles con GDPR sin cookies requiere repensar la identificación, el almacenamiento y la generación de informes. Esta guía explica las técnicas de preservación de la privacidad detrás de una configuración compatible.
Una guía práctica de Marketing directo según GDPR
Marketing directo según GDPR: reglas, bases legales y requisitos de cumplimiento explica cuándo se necesita el consentimiento, cuándo puede aplicarse el interés legítimo y cómo las reglas ePrivacy limitan sus opciones.
Una guía práctica de Requisitos de la política de privacidad al
Los Requisitos de la política de privacidad al usar Google Analytics en tu sitio web explican qué debes divulgar sobre cookies, recopilación de datos, transferencias, funciones publicitarias y derechos del usuario.