Una guía práctica de privacidad y seguridad en línea

Esta guía explica privacidad y seguridad en línea de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Cambiar de Google Search a DuckDuckGo puede reducir el perfilado a nivel de búsqueda, pero no elimina a Google del resto de la web. Muchas páginas siguen cargando Google Analytics, Google Tag Manager, scripts de Google Ads, embebidos de YouTube, reCAPTCHA, Google Fonts, mapas y otros recursos controlados por Google.

Eso significa que la privacidad en línea no se resuelve cambiando el cuadro de búsqueda. Es un problema de stack: navegador, búsqueda, sitios web, embebidos, analítica, anuncios, apps móviles y configuración de cuenta importan todos.

Cómo aparece Google más allá de la búsqueda

La infraestructura de Google está entretejida en los sitios web de varias formas habituales:

• Google Analytics y GA4 para la medición del sitio
• Google Tag Manager para desplegar scripts
• Google Ads y Floodlight para la medición publicitaria
• Embebidos de YouTube para vídeo
• Google Fonts y bibliotecas alojadas
• reCAPTCHA para protección contra bots
• Embebidos de Google Maps
• Iniciar sesión con Google

Cada integración tiene un propósito, y algunas son útiles. El problema de privacidad es la acumulación. Una persona puede no usar Google Search durante una sesión de navegación y aun así contactar con dominios controlados por Google en muchos sitios.

Por qué importan los scripts de analítica

Google indica que los clientes de Analytics utilizan etiquetas y SDKs para medir el uso de sitios web y apps, y que Google Analytics emplea cookies de origen, información del dispositivo y del navegador, ubicación derivada de la IP y la actividad en el sitio o la app para informar sobre las interacciones (Salvaguardas de Google Analytics). GA4 también almacena un client ID en la cookie _ga para distinguir usuarios y sesiones, salvo que el almacenamiento de analítica esté deshabilitado mediante Consent Mode (recopilación de datos de GA4).

Eso no es lo mismo que el historial de Google Search, pero sigue siendo dato conductual. Cuando millones de sitios usan el mismo ecosistema de analítica y publicidad, el impacto en la privacidad se vuelve estructural.

DuckDuckGo ayuda, pero solo en una capa

Un motor de búsqueda privado puede reducir los datos generados por tus búsquedas. Puede evitar la construcción de un perfil de búsqueda, reducir la segmentación publicitaria vinculada a las consultas y limitar la fuga de consultas. Pero una vez que haces clic en un resultado, el sitio web de destino controla sus propios scripts.

Si la página carga Google Analytics, tu navegador puede seguir enviando información a Google. Si embeebe YouTube, tu navegador puede contactar con YouTube. Si usa etiquetas de conversión de Google Ads, los parámetros de clic en anuncio pueden procesarse. Si has iniciado sesión en una cuenta de Google en el mismo navegador, pueden importar ajustes de privacidad adicionales.

Qué pueden hacer los usuarios

Usa defensas por capas:

• Activa la protección estricta contra el rastreo en tu navegador
• Bloquea las cookies de terceros
• Usa un bloqueador de contenido reputado donde sea compatible
• Separa la actividad de cuenta de Google en un perfil de navegador distinto
• Evita mantener la sesión iniciada en cuentas que no necesites
• Usa búsqueda privada para las búsquedas
• Prefiere sitios que no carguen scripts de terceros innecesarios
• Revisa los ajustes de personalización de anuncios y de actividad de Google

Ninguna configuración para consumidor es perfecta. Algunas defensas anti-rastreo pueden romper sitios y algunos métodos de fingerprinting intentan eludir los controles del navegador. Pero las capas reducen significativamente la exposición.

Qué deberían hacer los propietarios de sitios

Si te importa la privacidad de los visitantes, no obligues a los usuarios a luchar contra tu sitio. Audita cada solicitud de terceros. Pregunta si cada servicio de Google es necesario y si existe una alternativa respetuosa con la privacidad.

Ejemplos:

• Sustituye Google Analytics por una analítica sin cookies que prioriza la privacidad
• Usa enlaces estáticos de miniaturas de YouTube o embebidos con privacidad mejorada cuando sea apropiado
• Auto-aloja las fuentes en lugar de cargar Google Fonts desde los servidores de Google
• Sustituye los contenedores innecesarios de tag manager por scripts mínimos directos
• Evita los píxeles de remarketing salvo que sean centrales para el negocio y consentidos
• Mantén reCAPTCHA solo donde el riesgo de abuso lo justifique, y considera alternativas

Un sitio más limpio también tiende a cargar más rápido y a ser más fácil de explicar en un aviso de privacidad.

Analítica sin alimentar la red de rastreo

La mayoría de los propietarios de sitios web no necesitan identificadores entre sitios para responder a preguntas básicas. Puedes medir páginas vistas, referentes, campañas, descargas de archivos, objetivos y embudos con analítica agregada. Puedes rastrear conversiones mediante eventos de origen. Puedes evaluar el rendimiento del contenido sin unirte a un grafo de identidad publicitaria.

Esa es la posición práctica que prioriza la privacidad: recopila datos suficientes para mejorar el sitio, pero no tantos como para que los visitantes se conviertan en el producto.

La lección más amplia

La privacidad en línea es colectiva. Un usuario puede elegir DuckDuckGo, Firefox, Safari, Brave, una VPN y ajustes de cuenta sólidos, pero los operadores de los sitios web siguen decidiendo si las páginas cargan infraestructura de vigilancia. La privacidad mejora más rápido cuando ambas partes actúan: los usuarios eligen mejores herramientas y los propietarios de los sitios dejan de instalar rastreadores innecesarios.

Si gestionas un sitio web de empresa, la pregunta es sencilla: ¿te sentirías cómodo diciéndole a los visitantes, en lenguaje claro, cada empresa que recibe datos cuando abren tu página de inicio? Si no, tu stack de rastreo es demasiado pesado.

Cuidado con el contenido embebido

Los embebidos son un punto ciego habitual. Una entrada de blog con un vídeo de YouTube, un mapa de Google, un embebido de publicación social y un widget de comentarios de terceros puede contactar con varios dominios de rastreo antes de que el visitante interactúe. Usa marcadores de carga al hacer clic para los embebidos enriquecidos. El visitante ve primero la previsualización del contenido y luego elige si carga el recurso de terceros.

Este patrón es especialmente útil para marcas centradas en la privacidad porque hace visible la concesión. En lugar de cargar silenciosamente a un tercero, la página dice, en efecto, "este contenido está alojado en otro sitio; cárgalo solo si lo quieres".

Mide la reducción de dependencias

Realiza una auditoría antes-y-después cuando elimines servicios de Google. Cuenta solicitudes de terceros, bytes transferidos, cookies establecidas, rastreadores bloqueados en Safari o Firefox y los tiempos de carga de página. El caso de negocio se vuelve más claro cuando la limpieza de privacidad también mejora el rendimiento y reduce la complejidad operativa.

Elige valores predeterminados que respeten a los visitantes

Un sitio respetuoso con la privacidad debería funcionar antes de que carguen los recursos de terceros. El texto, la navegación, el checkout y la documentación no deberían depender de scripts de publicidad o analítica. Cuando se necesite medición, usa un enfoque ligero de origen y haz que el contenido opcional de terceros sea una elección explícita en lugar de un valor predeterminado invisible.

Lista de comprobación de dependencias del sitio

Audita lo que cargan tus páginas antes de decirles a los usuarios que se protejan. Cuenta las dependencias de Google Analytics, Tag Manager, Ads, YouTube, Fonts, Maps, reCAPTCHA, bibliotecas alojadas e inicio de sesión. Después decide cuáles son necesarias, cuáles pueden sustituirse y cuáles deberían cargarse de forma diferida o estar tras una decisión.

Mide la limpieza con evidencia del navegador: solicitudes de terceros, cookies, almacenamiento local, bytes transferidos, comportamiento de consentimiento, velocidad de página y rastreadores bloqueados. La búsqueda privada ayuda en la capa de la consulta; los propietarios de los sitios controlan la capa de rastreo después del clic.