Las cookies de terceros son cookies HTTP que se utilizan principalmente para el seguimiento web como parte del ecosistema de publicidad web .
Aunque las cookies HTTP normalmente se envían únicamente al servidor que las configura o a un servidor del mismo dominio de Internet , una página web puede contener imágenes u otros componentes almacenados en servidores de otros dominios. Las cookies de terceros son las cookies que se configuran durante la recuperación de estos componentes.
Una cookie de terceros puede pertenecer a un dominio diferente del que se muestra en la barra de direcciones, pero aún así puede estar potencialmente correlacionada con el contenido de la página web principal, permitiendo el seguimiento de las visitas del usuario en múltiples sitios web.
Este tipo de cookies suele aparecer cuando las páginas web presentan contenido de sitios web externos, como anuncios publicitarios . Aunque en un principio no estaban pensadas para este fin, la existencia de cookies de terceros ha abierto la posibilidad de realizar un seguimiento web del historial de navegación de un usuario y los anunciantes las utilizan para mostrar anuncios relevantes a cada usuario. Las cookies de terceros se consideran en general una amenaza para la privacidad y el anonimato de los usuarios de la web.
A partir de 2024 [actualizar], todos los principales proveedores de navegadores web tenían planes de eliminar gradualmente las cookies de terceros. [1] Esta decisión se revirtió para Google Chrome en julio de 2024. [2]
A modo de ejemplo, supongamos que un usuario visita www.example.org
. Este sitio web contiene un anuncio de ad.foxytracking.com
, que, al descargarse, establece una cookie que pertenece al dominio del anuncio ( ad.foxytracking.com
). A continuación, el usuario visita otro sitio web, www.foo.com
, que también contiene un anuncio de ad.foxytracking.com
y establece una cookie que pertenece a ese dominio ( ad.foxytracking.com
). Finalmente, ambas cookies se enviarán al anunciante al cargar sus anuncios o visitar su sitio web. El anunciante puede utilizar estas cookies para crear un historial de navegación del usuario en todos los sitios web que tienen anuncios de este anunciante, mediante el uso del campo de encabezado de referencia HTTP .
A partir de 2014 [actualizar], algunos sitios web configuraban cookies legibles para más de 100 dominios de terceros. [3] En promedio, un solo sitio web configuraba 10 cookies, con un número máximo de cookies (propias y de terceros) que alcanzaba más de 800. [4]
Los estándares más antiguos para cookies, RFC 2109 [5] y RFC 2965 [6], recomiendan que los navegadores protejan la privacidad del usuario y no permitan compartir cookies entre servidores de forma predeterminada. Sin embargo, un estándar más nuevo, RFC 6265 [7] , publicado en abril de 2011, permitió explícitamente que los agentes de usuario implementaran cualquier política de cookies de terceros que desearan y, hasta fines de la década de 1990, permitir las cookies de terceros era la política predeterminada implementada por la mayoría de los principales proveedores de navegadores.
Si bien el seguimiento web es útil para los anunciantes, se considera ampliamente una amenaza a la privacidad personal. Esto impulsó la creación de leyes contra el seguimiento sin el consentimiento del usuario, la más notable de las cuales es el RGPD europeo .
Esto llevó a la creación de cuadros de diálogo de "consentimiento de cookies", que rápidamente se convirtieron en una característica estándar en los sitios web financiados con publicidad (y muchos otros), y se destacan por su uso de patrones oscuros para intentar obligar a los usuarios a permitir el seguimiento al dificultarles negarse a otorgar el consentimiento.
Algunos sitios web también respondieron simplemente bloqueando geográficamente a usuarios de países con leyes favorables a la privacidad.
La mayoría de los navegadores web modernos contienen configuraciones de privacidad que pueden bloquear las cookies de terceros, y algunos ahora bloquean todas las cookies de terceros de forma predeterminada; a partir de julio de 2020, dichos navegadores incluyen Apple Safari , [8] Firefox , [9] y Brave . [10] Safari permite que los sitios integrados utilicen la API de acceso al almacenamiento para solicitar permiso para establecer cookies de origen. En mayo de 2020, Google Chrome 83 introdujo nuevas funciones para bloquear las cookies de terceros de forma predeterminada en su modo Incógnito para navegación privada, lo que hace que el bloqueo sea opcional durante la navegación normal. La misma actualización también agregó una opción para bloquear las cookies de origen. [11] Google planeó comenzar a bloquear las cookies de terceros de forma predeterminada a fines de 2024, y en enero de 2024 comenzó este proceso con un plan piloto en el que se implementó el bloqueo para el 1% de todos los usuarios de Chrome. [12] [13]
Dado que el seguimiento web basado en cookies de terceros era una parte esencial del ecosistema de publicidad web existente, se están implementando múltiples propuestas para intentar reemplazarlo.
Google propone utilizar una segmentación por intereses basada en el navegador, en la que los intereses de los usuarios pueden ser registrados localmente por el navegador y luego enviados a servidores de publicidad sin revelar directamente la identidad del usuario. El Privacy Sandbox de Google es una de esas implementaciones.
Otros enfoques incluyen el uso de huellas digitales del navegador para rastrear a los usuarios en distintos sitios, lo que generalmente se considera una amenaza tan grave para la privacidad como las cookies de terceros. También existe la preocupación de que el seguimiento basado en intereses pueda ser utilizado de forma abusiva para identificar a los usuarios.
Existen varios métodos para evitar el bloqueo de cookies de terceros. Uno de ellos es que los operadores de sitios web apunten un nombre DNS dentro del dominio propio del sitio al servidor de un anunciante, lo que en realidad convierte las cookies instaladas en ese servidor en cookies propias desde el punto de vista del navegador, al tiempo que le otorgan a un tercero el control sobre la información de las cookies.
Otra opción es que el operador del sitio web envíe el tráfico del cliente a los servidores del servicio de seguimiento. Como esto permitiría fácilmente al operador del sitio web proporcionar información falsa al servicio de seguimiento, es poco probable que esta medida se adopte de forma generalizada.