Cookies de rastreo entre sitios y el Informe de Privacidad de Safari

El Informe de Privacidad de Safari hace visible el rastreo entre sitios para los visitantes corrientes. Si tu sitio carga rastreadores, Safari puede mostrar que el rastreo se ha impedido. Eso es bueno para los usuarios, pero incómodo para los propietarios de sitios web que no se daban cuenta de cuántos scripts de terceros habían acumulado sus páginas.

Un Informe de Privacidad limpio no es solo una métrica de vanidad. Suele significar menos scripts invasivos, páginas más rápidas, un cumplimiento más sencillo y una mejor señal de confianza.

Qué bloquea Safari

La Prevención Inteligente de Rastreo de Safari está diseñada para limitar el rastreo entre sitios. WebKit documenta el bloqueo total de cookies de terceros, los referrers de terceros degradados, las defensas frente a la decoración de enlaces, un límite de siete días para el almacenamiento modificable por scripts en ciertos contextos de rastreo y defensas contra el CNAME cloaking (WebKit Tracking Prevention).

En lenguaje claro, Safari intenta evitar que las empresas reconozcan a la misma persona en distintos sitios web mediante cookies, almacenamiento, redirecciones, enlaces decorados o solicitudes disfrazadas de terceros.

Por qué tu sitio puede aparecer en el Informe de Privacidad

Un sitio puede activar advertencias de rastreador porque carga scripts o recursos desde dominios que Safari clasifica como rastreadores. Las causas comunes incluyen:

• Google Analytics o Google Tag Manager
• Meta Pixel
• Scripts de publicidad y retargeting
• Widgets de compartir en redes sociales
• Vídeos incrustados con scripts de rastreo
• Herramientas de automatización de marketing
• Herramientas de session replay y mapas de calor
• Sistemas de comentarios de terceros
• Endpoints de analítica o de publicidad enmascarados con CNAME

Puede que no pienses en tu sitio como una herramienta de rastreo, pero Safari evalúa el comportamiento y los dominios involucrados, no tu intención.

Analítica e ITP

La analítica tradicional suele depender de cookies o de almacenamiento modificable por scripts para reconocer a los visitantes. Las protecciones de Safari pueden acortar la vida de las cookies, bloquear el acceso de terceros y reducir la precisión de la atribución de las campañas entre sitios.

Esa es una de las razones por las que la analítica con muchas cookies puede mostrar recuentos más bajos de visitantes que regresan o sesiones fragmentadas en Safari. Una herramienta de analítica que prioriza la privacidad y evita el rastreo entre sitios y los identificadores persistentes tiene menos probabilidades de pelearse con el navegador.

Cómo auditar tu sitio

Usa Safari, las DevTools del navegador y un perfil limpio. Visita tu página de inicio y las páginas de aterrizaje clave. Comprueba:

• Qué dominios de terceros se cargan
• Qué cookies se establecen antes del consentimiento
• Si se usa localStorage o IndexedDB
• Si los gestores de etiquetas inyectan scripts inesperados
• Si los medios incrustados se cargan antes de la interacción
• Si los parámetros de URL contienen IDs de clic publicitario o datos personales
• Si el rechazo en tu banner detiene de verdad los scripts no esenciales

Repítelo después de aceptar y de rechazar las cookies. Un banner que parece conforme no es suficiente si los scripts se cargan antes de la elección.

Cómo limpiar el sitio

Empieza por eliminar las etiquetas que no se usan. Muchos sitios conservan píxeles antiguos de campañas pasadas, herramientas de pruebas A/B abandonadas, fragmentos duplicados de analítica y scripts de proveedores que nadie supervisa.

Después reemplaza lo que puedas:

• Usa analítica que prioriza la privacidad en lugar de analítica con muchas cookies
• Usa enlaces sociales estáticos en lugar de widgets de JavaScript
• Usa embeds de vídeo con privacidad mejorada o placeholders click-to-load
• Autoaloja las fuentes en lugar de cargar Google Fonts desde los servidores de Google
• Elimina los píxeles de retargeting que no estén produciendo un valor medible
• Evita el session replay en páginas sensibles
• Reduce los permisos del gestor de etiquetas y los flujos de publicación

Cada script eliminado mejora la privacidad, el rendimiento y la depuración.

El consentimiento sigue importando

Que Safari bloquee un rastreador no convierte el rastreo intentado en algo conforme. Si tu sitio carga cookies o tecnologías de rastreo no esenciales antes del consentimiento, sigue siendo un problema según las normas de cookies de la UE. El grupo de trabajo del EDPB sobre banners de cookies identificó patrones comunes de consentimiento inválido, entre ellos la falta de opciones de rechazo y las casillas marcadas por defecto (informe del EDPB).

Tu objetivo no debería ser "esconderte de Safari". Debería ser "no cargar rastreo con el que los visitantes no estuvieron de acuerdo".

Beneficios para el negocio de un informe más limpio

Un sitio con pocos rastreadores suele cargar más rápido, romperse menos y producir una analítica de origen más fiable. También reduce el riesgo de proveedor. Si un regulador, un cliente o un revisor de seguridad pregunta qué scripts se ejecutan en tu sitio, la respuesta es más corta y más fácil de defender.

Para las marcas centradas en la privacidad, el Informe de Privacidad de Safari es una prueba pública. Los visitantes pueden ver si tus afirmaciones coinciden con tu implementación.

El objetivo práctico

Apunta a cero rastreadores no esenciales en la primera carga de página. Si necesitas medios incrustados, cárgalos después de la interacción. Si necesitas píxeles de marketing, cárgalos solo después de un consentimiento válido. Si necesitas analítica, elige un enfoque que no dependa del rastreo entre sitios.

Safari no intenta romper la medición honesta. Está empujando a la web lejos de la vigilancia invisible. Los propietarios de sitios web pueden enfrentarse a esa tendencia con soluciones improvisadas o usarla como motivo para simplificar su pila.

Vigila el CNAME cloaking

Algunos proveedores de analítica y publicidad fomentan el CNAME cloaking, en el que un servicio de tercero se enruta a través de un subdominio que aparenta ser de origen, como metrics.example.com. La idea es hacer que la solicitud parezca más una solicitud de origen. WebKit documenta explícitamente defensas frente al CNAME cloaking de terceros y limita ciertas cookies establecidas mediante esas respuestas (WebKit Tracking Prevention).

Trata el CNAME cloaking con cuidado. Puede crear una falsa sensación de control de origen mientras sigue enviando datos a un proveedor externo. También puede complicar tu aviso de privacidad porque los visitantes no verán al verdadero tercero con tanta facilidad en las herramientas del navegador.

Construye un inventario de scripts

Lleva un inventario sencillo con la URL del script, el responsable, la finalidad, la categoría de consentimiento, el proveedor, los datos recopilados y la fecha de la última revisión. Si nadie supervisa un script, elimínalo. Si un script solo es útil para una campaña que terminó hace meses, elimínalo. Si un script se rompe cuando Safari lo bloquea, decide si el negocio realmente lo necesita o si la función debería reconstruirse con lógica de origen.

El informe de Safari es una prueba de presión útil porque muestra lo que los navegadores con conciencia de privacidad ya asumen: el rastreo debería ser excepcional, no la condición predeterminada al leer una página.

Lista de comprobación de limpieza para Safari

Usa el informe de Safari como una indicación práctica para la auditoría. Elimina los scripts de terceros innecesarios, evita el enriquecimiento por brokers, mantén la analítica agregada cuando sea posible, acorta la retención de datos en bruto, publica usos de los datos en lenguaje claro y facilita las salidas.

Después comprueba el sitio de nuevo en Safari, Firefox y Chrome con un perfil limpio. Si un navegador con conciencia de privacidad bloquea algo importante, recompílalo con lógica de origen o decide si el negocio realmente necesita ese rastreador.