¿Debo bloquear todas las cookies?

Al bloquear todas las cookies, se interrumpen todos los sitios que requieren iniciar sesión. Bloquee las cookies de terceros (predeterminado en los navegadores modernos) y utilice "borrar al cerrar el navegador" para las propias si desea una persistencia mínima. El método de bloqueo general suele ser demasiado doloroso.

¿Una VPN afecta a las cookies?

Una VPN cambia la identidad de tu red, no el estado de tu navegador. Las cookies que su navegador almacenó antes de que se activara la VPN permanecen y continúan identificándolo en esos sitios después de que se conecte la VPN. Para obtener una sesión limpia, combine la VPN con un perfil de navegador nuevo o una ventana de navegación privada.

¿Qué es una cookie de sesión frente a una cookie persistente?

Una cookie de sesión no tiene establecida Expires/Max-Ege y se borra cuando se cierra el navegador. Una cookie persistente tiene una fecha de vencimiento explícita y sobrevive hasta entonces. La mayoría de los sistemas de inicio de sesión utilizan cookies persistentes con una caducidad prolongada para que no tenga que iniciar sesión en cada visita.

¿Puede una cookie contener un virus?

No. Las cookies son sólo cadenas de texto; no pueden ejecutar. El riesgo es que una cookie pueda contener un ID de sesión, que un atacante que la robe puede utilizar para hacerse pasar por usted. Es por eso que existen las banderas Secure y HttpOnly.

¿Desaparecerá alguna vez el cartel de cookies?

Con el tiempo, a medida que las señales de exclusión voluntaria (GPC) estandarizadas reemplacen los banners por sitio. El actual cartel publicitario es en parte un efecto secundario de la regulación que requiere consentimiento explícito pero no define un mecanismo técnico único para expresarlo. Las señales a nivel del navegador solucionan eso. La adopción está en curso; las pancartas se desvanecerán con el paso de los años, no de los meses.

Explicación de las cookies HTTP: propias, de terceros, del mismo sitio y la lenta muerte del seguimiento

Las cookies son pequeños valores de texto que los navegadores almacenan y envían con cada solicitud a un sitio. Impulsan las sesiones de inicio de sesión, los carritos de compras y las preferencias de idioma, y durante treinta años impulsaron todo el ecosistema publicitario web. La mecánica técnica es sencilla. Las consecuencias políticas llenan los expedientes regulatorios en tres continentes.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Una cookie HTTP es un par de nombre-valor que el servidor envía al navegador con un encabezado Set-Cookie. El navegador lo almacena y lo envía de vuelta al mismo origen en cada solicitud posterior a través del encabezado Cookie. Cada cookie tiene un dominio, una ruta, una caducidad y un conjunto de indicadores. Los navegadores limitan el almacenamiento por origen y total; los límites típicos son 50 cookies por dominio, 4 KB cada una.

Qué hacen las cookies

Tres casos de uso principales:

Identificación de sesión. Cuando inicia sesión, el servidor le proporciona una ID de sesión aleatoria almacenada en una cookie. Cada solicitud posterior incluye la cookie, lo que permite que el servidor lo identifique sin volver a autenticarse.
Preferences. Elección de tema, selección de idioma, banners vistos por última vez. Almacenado en texto sin formato, no es necesario un viaje de ida y vuelta al servidor.
Tracking. Un identificador único persistente establecido tempranamente y leído por redes publicitarias y análisis en todas las solicitudes: lo que todas las regulaciones de privacidad desde 2018 han intentado limitar.

Cookies de origen y de terceros

A first-party cookie lo establece el sitio que visita: example.com establece una cookie para example.com. Estos potencian el caso de uso legítimo "mantenerme conectado".

A cookie de terceros se establece mediante un dominio diferente cuyo contenido está incrustado en la página: un iframe publicitario, un píxel de seguimiento, un botón "Me gusta" de Facebook. Cuando el usuario visita posteriormente otro sitio que también incorpora ese rastreador, el navegador envía la misma cookie de terceros, lo que permite que el rastreador reconozca al usuario en ambos sitios. Este es el seguimiento entre sitios sobre el que se construyó el capitalismo de vigilancia.

La muerte de las cookies de terceros

Safari fue el primer navegador importante que bloqueó las cookies de terceros de forma predeterminada (ITP, 2017). Firefox siguió en 2019 con la Protección de seguimiento mejorada. Chrome, el obstáculo porque el negocio publicitario de Google depende de ellos, ha implementado restricciones parciales hasta 2024-2026, con el bloqueo total de cookies de terceros planificado, pero retrasado repetidamente. A finales de 2025, la mayoría de las sesiones de navegador en todo el mundo bloquean las cookies de terceros de forma predeterminada.

La industria publicitaria ha respondido con soluciones alternativas (encubrimiento CNAME, etiquetado del lado del servidor, FLoC y API de temas, huellas digitales del navegador), pero la simple cookie de terceros como mecanismo de seguimiento prácticamente ha terminado.

Los campos de bandera que Matter

Secure: la cookie se envía únicamente a través de HTTPS. Obligatorio para cualquier cookie de sesión. Una cookie de sesión no segura se envía en texto sin formato en una red hostil y es fácilmente robable.
HttpOnly: JavaScript no puede leer la cookie a través de document.cookie. Defiende contra el robo de sesiones basado en XSS.
SameSite: controla cuándo se envía la cookie en solicitudes entre sitios:
- Strict: solo se envía en navegaciones y solicitudes en el mismo sitio. Más seguro, puede interrumpir algunos flujos de enlaces entre sitios.
- Lax: enviado en navegaciones entre sitios de nivel superior (clics en enlaces), pero no en XHR o subrecursos entre sitios. Valor predeterminado moderno.
- None: enviado en cada solicitud entre sitios; requiere Seguro. Se utiliza para incrustaciones legítimas entre sitios (por ejemplo, un widget de inicio de sesión alojado en CDN).
Domain: controla qué subdominios reciben la cookie. Una cookie configurada con Domain=example.com se envía a www.example.com, api.example.com, etc.
Path: limita la cookie a las URL de una ruta específica prefix.
Max-Age / Expires: cuando la cookie caduca. Las cookies de sesión (sin caducidad) se borran cuando se cierra el navegador.

Cookies vs localStorage vs sessionStorage

Las cookies se envían con cada solicitud HTTP al origen, lo cual es útil para la identificación del lado del servidor pero agrega una sobrecarga a cada solicitud. localStorage y sessionStorage son solo JavaScript: no viajan con solicitudes HTTP, son más grandes (entre 5 y 10 MB típicos) y persisten (localStorage) o duran solo la sesión de pestañas (sessionStorage). Para los datos que el servidor no necesita, localStorage es más eficiente.

La capa de consentimiento de cookies

GDPR (Europa), CCPA (California), LGPD (Brasil) y varias otras requieren que los sitios revelen cookies de seguimiento y obtengan consentimiento. El resultado es el banner de cookies que verá en todas las páginas en 2026, que generalmente empuja "Aceptar todo", y a veces ofrece controles granulares. La señal estandarizada GPC (Control de Privacidad Global) permite a los usuarios optar por no participar mediante programación, reconocida por la ley de California y adoptada por Firefox/DuckDuckGo/Brave. Honrar a GPC ahora es legalmente ejecutable en California; otras jurisdicciones están siguiendo.

Más allá de las cookies: seguimiento alternativo

A medida que las cookies se regularon, los rastreadores se diversificaron: Evercookie almacena ID en más de 20 ubicaciones de almacenamiento, incluidos IndexedDB, Service Workers, ETags y HSTS. La toma de huellas dactilares construye un identificador a partir de cien señales pasivas. El etiquetado del lado del servidor mueve el rastreador detrás de un CNAME propio para que se parezca al sitio mismo. Es posible que la cookie esté muriendo como herramienta principal, pero el objetivo (la reidentificación entre sesiones) ha generado media docena de reemplazos.

Preguntas frecuentes

¿Debo bloquear todas las cookies?: Al bloquear todas las cookies, se interrumpen todos los sitios que requieren iniciar sesión. Bloquee las cookies de terceros (predeterminado en los navegadores modernos) y utilice "borrar al cerrar el navegador" para las propias si desea una persistencia mínima. El método de bloqueo general suele ser demasiado doloroso.
¿Una VPN afecta a las cookies?: Una VPN cambia la identidad de tu red, no el estado de tu navegador. Las cookies que su navegador almacenó antes de que se activara la VPN permanecen y continúan identificándolo en esos sitios después de que se conecte la VPN. Para obtener una sesión limpia, combine la VPN con un perfil de navegador nuevo o una ventana de navegación privada.
¿Qué es una cookie de sesión frente a una cookie persistente?: Una cookie de sesión no tiene establecida Expires/Max-Ege y se borra cuando se cierra el navegador. Una cookie persistente tiene una fecha de vencimiento explícita y sobrevive hasta entonces. La mayoría de los sistemas de inicio de sesión utilizan cookies persistentes con una caducidad prolongada para que no tenga que iniciar sesión en cada visita.
¿Puede una cookie contener un virus?: No. Las cookies son sólo cadenas de texto; no pueden ejecutar. El riesgo es que una cookie pueda contener un ID de sesión, que un atacante que la robe puede utilizar para hacerse pasar por usted. Es por eso que existen las banderas Secure y HttpOnly.
¿Desaparecerá alguna vez el cartel de cookies?: Con el tiempo, a medida que las señales de exclusión voluntaria (GPC) estandarizadas reemplacen los banners por sitio. El actual cartel publicitario es en parte un efecto secundario de la regulación que requiere consentimiento explícito pero no define un mecanismo técnico único para expresarlo. Las señales a nivel del navegador solucionan eso. La adopción está en curso; las pancartas se desvanecerán con el paso de los años, no de los meses.