Cookies de terceros

Cookies HTTP utilizadas principalmente para seguimiento web

Las cookies de terceros son cookies HTTP que se utilizan principalmente para el seguimiento web como parte del ecosistema de publicidad web .

Si bien las cookies HTTP normalmente se envían únicamente al servidor que las configura o a un servidor en el mismo dominio de Internet , una página web puede contener imágenes u otros componentes almacenados en servidores de otros dominios. Las cookies de terceros son las cookies que se configuran durante la recuperación de estos componentes.

Por lo tanto, una cookie de terceros puede pertenecer a un dominio diferente al que se muestra en la barra de direcciones, pero aún así puede estar potencialmente correlacionada con el contenido de la página web principal, lo que permite el seguimiento de las visitas de los usuarios en múltiples sitios web.

Este tipo de cookie suele aparecer cuando las páginas web presentan contenido de sitios web externos, como anuncios publicitarios . Aunque originalmente no estaban destinadas a este propósito, la existencia de cookies de terceros abrió la posibilidad de realizar un seguimiento web del historial de navegación de un usuario y los anunciantes las utilizan para mostrar anuncios relevantes a cada usuario. Las cookies de terceros se consideran ampliamente una amenaza a la privacidad y el anonimato de los usuarios de la web. A partir de 2024 , todos los principales proveedores de navegadores web^[update] eliminarán gradualmente la compatibilidad con cookies de terceros .

Mecanismo

En este ejemplo ficticio, una empresa de publicidad colocó pancartas en dos sitios web. Al alojar las imágenes del banner en sus servidores y utilizar cookies de terceros, la empresa de publicidad puede rastrear la navegación de los usuarios en estos dos sitios.

Como ejemplo, supongamos que un usuario visita www.example.org. Este sitio web contiene un anuncio de ad.foxytracking.com, que, cuando se descarga, establece una cookie que pertenece al dominio del anuncio ( ad.foxytracking.com). Luego, el usuario visita otro sitio web, www.foo.comque también contiene un anuncio de ese dominio ad.foxytracking.comy establece una cookie perteneciente a ese dominio ( ad.foxytracking.com). Eventualmente, ambas cookies se enviarán al anunciante cuando cargue sus anuncios o visite su sitio web. Luego, el anunciante puede utilizar estas cookies para crear un historial de navegación del usuario en todos los sitios web que tienen anuncios de este anunciante, mediante el uso del campo de encabezado de referencia HTTP .

En 2014 ^[update], algunos sitios web configuraban cookies legibles para más de 100 dominios de terceros. ^[1] En promedio, un solo sitio web configuraba 10 cookies, con un número máximo de cookies (propias y de terceros) que superaba las 800. ^[2]

Los estándares más antiguos para cookies, RFC 2109 ^[3] y RFC 2965, ^[4] recomiendan que los navegadores protejan la privacidad del usuario y no permitan compartir cookies entre servidores de forma predeterminada. Sin embargo, un estándar más nuevo, RFC 6265, ^[5] publicado en abril de 2011 permitía explícitamente a los agentes de usuario implementar cualquier política de cookies de terceros que desearan, y hasta finales de la década de 1990, permitir cookies de terceros era la política predeterminada implementada por la mayoría de los principales proveedores de navegadores. .

Diálogos sobre la ley de privacidad y el consentimiento de cookies

Si bien es útil para los anunciantes, el seguimiento web se considera ampliamente una amenaza a la privacidad personal. Esto impulsó la creación de leyes contra el seguimiento sin el consentimiento del usuario, la más destacada de las cuales es el RGPD europeo .

Esto llevó a la creación de cuadros de diálogo de "consentimiento de cookies", que rápidamente se convirtieron en una característica estándar en los sitios web financiados con publicidad (y en muchos otros), y que se destacan por el uso de patrones oscuros para intentar obligar a los usuarios a permitir el seguimiento dificultando el acceso a las cookies. negarse a otorgar el consentimiento.

Algunos sitios web también respondieron simplemente bloqueando geográficamente a los usuarios de países con leyes favorables a la privacidad.

Bloquear cookies de terceros

La mayoría de los navegadores web modernos contienen configuraciones de privacidad que pueden bloquear las cookies de terceros, y algunos ahora bloquean todas las cookies de terceros de forma predeterminada; a partir de julio de 2020, dichos navegadores incluyen Apple Safari , ^[6] Firefox , ^[7] y Brave . ^[8] Safari permite que los sitios integrados utilicen la API de acceso al almacenamiento para solicitar permiso para configurar cookies de origen. En mayo de 2020, Google Chrome 83 introdujo nuevas funciones para bloquear las cookies de terceros de forma predeterminada en su modo Incógnito para navegación privada, haciendo que el bloqueo sea opcional durante la navegación normal. La misma actualización también agregó una opción para bloquear las cookies de origen. ^[9] Google planea comenzar a bloquear las cookies de terceros de forma predeterminada a fines de 2024, y en enero de 2024 inició este proceso con un esquema piloto en el que se implementó el bloqueo para el 1% de todos los usuarios de Chrome. ^{[10] [11]}

Reemplazos

Dado que el seguimiento web basado en cookies de terceros era una parte esencial del ecosistema publicitario web existente, se están implementando múltiples propuestas para intentar reemplazarlo.

Google propone el uso de una segmentación por intereses basada en el navegador, en la que el navegador puede registrar localmente los intereses de los usuarios y luego señalarlos a los servidores de publicidad sin revelar directamente la identidad del usuario. Privacy Sandbox de Google es una de esas implementaciones.

Otros enfoques incluyen el uso de huellas digitales del navegador para rastrear a los usuarios en todos los sitios, lo que generalmente se considera una amenaza tan grave para la privacidad como las cookies de terceros. También existe la preocupación de que se pueda abusar del seguimiento basado en intereses para los usuarios de huellas dactilares.

Elusión del bloqueo de cookies de terceros

Existen varios métodos para eludir el bloqueo de cookies de terceros. Una es que los operadores de sitios web apunten un nombre DNS dentro del propio dominio del sitio al servidor de un anunciante, haciendo así que las cookies establecidas en ese servidor sean cookies de origen desde el punto de vista del navegador y al mismo tiempo proporcionen a un tercero control sobre la información de las cookies.

Otro enfoque consiste en que el operador del sitio web envíe el tráfico desde el cliente a los servidores del servicio de seguimiento. Como esto permitiría fácilmente que el operador del sitio web proporcione información falsa al servicio de seguimiento, es poco probable que se adopte ampliamente.

Referencias

1. "Dominios de terceros". WebCookies.org. Archivado desde el original el 9 de diciembre de 2014 . Consultado el 7 de diciembre de 2014 .
2. "Número de cookies". WebCookies.org. Archivado desde el original el 9 de diciembre de 2014 . Consultado el 7 de diciembre de 2014 .
3. Mecanismo de gestión de estado HTTP. segundo. 8.3. doi : 10.17487/RFC2109 . RFC 2109.
4. Mecanismo de gestión de estado HTTP. doi : 10.17487/RFC2965 . RFC 2965.
5. Mecanismo de gestión de estado HTTP. doi : 10.17487/RFC6265 . RFC 6265.
6. Statt, Nick (24 de marzo de 2020). "Apple actualiza la tecnología antiseguimiento de Safari con un bloqueo total de cookies de terceros". El borde . Consultado el 24 de julio de 2020 .
7. "Firefox comienza a bloquear las cookies de terceros de forma predeterminada". VentureBeat . 2019-06-04 . Consultado el 24 de julio de 2020 .
8. Valiente (6 de febrero de 2020). "OK Google, no demores la privacidad real del navegador hasta 2022". Navegador valiente . Consultado el 24 de julio de 2020 .
9. Protalinski, Emil (19 de mayo de 2020). "Chrome 83 llega con configuraciones de seguridad rediseñadas, cookies de terceros bloqueadas en Incógnito". VentureBeat . Consultado el 25 de junio de 2020 .
10. "Google ahora retrasa el bloqueo de cookies de terceros en Chrome hasta finales de 2024". Estándar empresarial India . 28 de julio de 2022 . Consultado el 23 de septiembre de 2022 .
11. "Google Chrome comienza a bloquear las cookies de seguimiento de datos". Noticias de la BBC . 2024-01-04 . Consultado el 5 de enero de 2024 .