Cada vez que entras en una web, te recibe un cartelito más pesado que tu cuñado en Navidad: «Aceptar todas las cookies». Y tú, como buen ciudadano digital con prisa, le das a «Aceptar todo» sin pestañear. Pues bien, eso es exactamente lo que quieren. Las cookies web son pequeños archivos de texto que los sitios almacenan en tu navegador, y aunque muchas son inofensivas —incluso necesarias—, otras son auténticas garrapatas digitales diseñadas para rastrear cada clic que das. Saber qué cookies aceptar y cuáles rechazar no es paranoia: es higiene digital básica. Las cookies de seguimiento alimentan un negocio multimillonario con tus datos, y tu privacidad con las cookies depende de que entiendas qué estás regalando cada vez que pulsas ese botón. Hoy, desde MataSpam, te lo explicamos sin rodeos y con el sarcasmo que nos caracteriza.
Qué son las cookies y por qué existen (spoiler: no todas son malvadas)
Vamos a lo básico. Una cookie web es un fichero de texto diminuto que un servidor web envía a tu navegador. Este lo guarda y lo reenvía en cada visita posterior. Así el sitio «recuerda» quién eres. Inventadas en 1994 por Lou Montulli, un ingeniero de Netscape, su propósito original era simple: que el carrito de la compra online no se vaciara al cambiar de página.
Existen varios tipos de cookies, y aquí es donde la cosa se pone interesante:
- Cookies técnicas o esenciales: las que hacen que la web funcione. Sin ellas, no podrías iniciar sesión, mantener tu carrito de compra ni navegar entre páginas de forma coherente. Son las buenas de la película.
- Cookies de preferencias: recuerdan tu idioma, tu región, el tamaño de fuente que elegiste. Útiles y relativamente inocuas.
- Cookies analíticas: miden el tráfico de la web. Google Analytics, Matomo, etc. En teoría son anónimas, en la práctica… depende de cómo se implementen.
- Cookies de seguimiento o tracking: aquí está el negocio gordo. Estas cookies de seguimiento rastrean tu actividad a través de múltiples webs para crear un perfil publicitario de ti. Son las que financian internet gratuito, pero también las que saben que a las 2 de la madrugada buscaste «cómo saber si mi ex me ha bloqueado».
La diferencia clave es quién pone la cookie. Las first-party cookies (del mismo dominio que visitas) suelen ser legítimas. Las third-party cookies (de dominios externos, típicamente redes publicitarias) son las problemáticas. Según un estudio de Cookiebot de 2024, el sitio web medio carga más de 20 cookies de terceros antes de que el usuario haga nada.
Cuáles aceptar y cuáles rechazar siempre: la guía definitiva
Aquí no hay medias tintas. Si quieres gestionar tu privacidad con las cookies de forma inteligente, sigue esta regla de oro:
| Tipo de cookie | Veredicto | Motivo |
|---|---|---|
| Esenciales / Técnicas | Aceptar siempre | Sin ellas la web no funciona. No tienes opción real. |
| De preferencias | Aceptar | Mejoran tu experiencia. Riesgo mínimo. |
| Analíticas (first-party) | Aceptar con matices | Útiles para el webmaster. Bajo riesgo si son anónimas. |
| Analíticas (third-party) | Rechazar | Envían datos a servidores externos. Google Analytics sin anonimización es un fiestón de datos. |
| Publicitarias / Tracking | Rechazar SIEMPRE | Su único propósito es rastrearte entre webs. Son las cookies de seguimiento puras y duras. |
| De redes sociales | Rechazar | Facebook, Twitter/X y compañía te rastrean aunque no tengas cuenta. Sí, has leído bien. |
Un dato que debería ponerte los pelos de punta: según la Irish Council for Civil Liberties, tus datos de navegación se subastan en tiempo real unas 747 veces al día a través del sistema RTB (Real-Time Bidding). Cada vez que aceptas cookies web publicitarias, estás participando en esa subasta. Sin cobrar, claro.
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Encriptación de disco duro: cómo cifrar tu ordenador con BitLocker o VeraCrypt, donde profundizamos en aspectos clave relacionados.
El truco del «interés legítimo»
Cuidado con esto. Muchos banners de cookies tienen un apartadito llamado «Interés legítimo» donde, por defecto, decenas de empresas ya están activadas para recopilar tus datos. Esto es legal gracias a una interpretación generosa del RGPD, pero moralmente cuestionable. Cuando vayas a «Rechazar todo», revisa también esta pestaña. Herramientas como la extensión I don't care about cookies o Consent-O-Matic automatizan el rechazo, pero no siempre pillan el interés legítimo.
Cómo proteger tu privacidad: configuración y herramientas reales
Rechazar cookies en cada banner está bien, pero es como vaciar el mar con un cubo. Necesitas una estrategia más sólida para que las cookies de seguimiento no conviertan tu navegador en un libro abierto. Aquí van medidas concretas:
- Configura tu navegador para bloquear cookies de terceros:
- Firefox: Ajustes → Privacidad → Protección estricta. Firefox bloquea cookies de rastreo por defecto con su Enhanced Tracking Protection.
- Chrome: A partir de 2025, Google eliminó las third-party cookies para el 100% de usuarios con su proyecto Privacy Sandbox. Pero ojo: lo sustituyó por Topics API, que sigue perfilándote, solo que de otra forma.
- Brave: Bloquea todo por defecto. Es el equivalente a poner una valla electrificada alrededor de tu navegador.
- Safari: La Intelligent Tracking Prevention (ITP) de Apple limita las cookies de terceros desde 2017.
- Instala extensiones de privacidad:
- uBlock Origin: no solo bloquea anuncios, también bloquea rastreadores y cookies web maliciosas.
- Privacy Badger (de la EFF): aprende automáticamente qué dominios te rastrean y los bloquea.
- Cookie AutoDelete: elimina automáticamente las cookies de las pestañas cerradas.
- Limpia cookies periódicamente: sí, el clásico «borrar datos de navegación». Pero hazlo de forma inteligente: mantén las cookies de los sitios que usas a diario (tu banco, tu email) y elimina el resto.
- Usa contenedores: la extensión Firefox Multi-Account Containers te permite aislar sitios web en «contenedores» separados. Facebook en un contenedor, tu banco en otro. Las cookies de seguimiento de uno no ven al otro. Genial.
Lo que dice la ley: RGPD y la realidad de los banners
El Reglamento General de Protección de Datos (RGPD), vigente desde mayo de 2018, fue un terremoto para el ecosistema de cookies web. En teoría, exige:
- Consentimiento explícito antes de instalar cookies no esenciales.
- Rechazar debe ser tan fácil como aceptar. Nada de esconder el botón de rechazar en un menú con 47 submenús.
- Información clara sobre qué cookies se usan y para qué.
- Derecho a retirar el consentimiento en cualquier momento.
En la práctica, la situación es un circo. La AEPD (Agencia Española de Protección de Datos) y la CNIL francesa han impuesto multas millonarias: Google recibió 150 millones de euros de la CNIL en 2022 por dificultar el rechazo de cookies. Amazon se llevó 746 millones de euros de la autoridad luxemburguesa. Pero la mayoría de webs pequeñas y medianas siguen usando dark patterns: botones de «Aceptar» en verde fosforito y el «Rechazar» en gris microscópico al fondo de la página.
El marco ePrivacy, que debería complementar al RGPD específicamente para cookies y comunicaciones electrónicas, lleva años atascado en negociaciones en la UE. Mientras tanto, la interpretación varía según el país y la autoridad de control.
Más allá de las cookies: fingerprinting y otras técnicas de rastreo
Aquí viene la parte que da verdadero miedo. Puedes rechazar todas las cookies, borrar tu historial y navegar con gafas de sol digitales… y aún así te pueden rastrear. ¿Cómo? Mediante browser fingerprinting.
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Privacidad de los niños en internet: guía para padres preocupados, donde profundizamos en aspectos clave relacionados.
Esta técnica recopila características únicas de tu navegador: resolución de pantalla, fuentes instaladas, zona horaria, plugins, versión del sistema operativo, configuración de idioma… La combinación de estos datos crea una «huella digital» que te identifica con una precisión del 99,1% según un estudio de la Electronic Frontier Foundation. Y no necesita cookies web de ningún tipo.
Otras técnicas que van más allá de las cookies de seguimiento clásicas:
- ETags y cache tracking: usan los mecanismos de caché del navegador para almacenar identificadores únicos.
- LocalStorage y SessionStorage: almacenamiento web que funciona como cookies pero no se envía automáticamente al servidor. Más difícil de limpiar.
- Pixels de seguimiento: imágenes invisibles de 1x1 píxeles que cargan desde servidores de rastreo. Muy comunes en emails (y por eso en MataSpam nos los tomamos muy en serio).
- CNAME cloaking: disfrazar un rastreador de terceros como first-party usando registros DNS CNAME. Firefox y Brave lo detectan; Chrome, no tanto.
Para comprobar lo rastreable que eres, visita Cover Your Tracks de la EFF. Te mostrará tu huella digital y si tu navegador te protege del fingerprinting. Spoiler: probablemente no tanto como crees.
Preguntas frecuentes
¿Pasa algo si rechazo todas las cookies de una web?
En la inmensa mayoría de casos, no. Las cookies esenciales se instalan igualmente porque son necesarias para el funcionamiento del sitio (y legalmente no necesitan consentimiento). Si una web deja de funcionar al rechazar cookies, o está mal programada o te está mintiendo. Algunas webs bloquean el acceso si rechazas las cookies de seguimiento, lo cual es ilegal bajo el RGPD (se llama cookie wall y la AEPD lo ha sancionado).
¿Las cookies pueden contener virus o malware?
No directamente. Una cookie web es un archivo de texto plano, no puede ejecutar código. Sin embargo, pueden ser robadas mediante ataques de Cross-Site Scripting (XSS) o session hijacking, permitiendo a un atacante suplantar tu sesión. En 2023, el malware Raccoon Stealer y RedLine robaban cookies de sesión de navegadores para acceder a cuentas de Google, YouTube y servicios bancarios sin necesitar la contraseña. Así que no, la cookie no es el virus, pero sí puede ser el botín.
¿La navegación privada me protege de las cookies?
Parcialmente. El modo incógnito elimina las cookies al cerrar la ventana, lo que impide el rastreo persistente. Pero mientras la sesión está abierta, las cookies funcionan normalmente. Y el fingerprinting sigue funcionando igual en modo privado. Tu ISP, tu empresa y los sitios que visitas siguen viendo tu actividad. La navegación privada es más «modo no dejar rastro en el ordenador» que «modo invisible en internet».
¿Qué herramienta me recomienda MataSpam para gestionar cookies?
Para el usuario medio: Firefox con protección estricta + uBlock Origin + Cookie AutoDelete. Para los más paranoicos (lo decimos con cariño): Brave o Tor Browser. Y para auditar qué cookies usa una web concreta, la extensión EditThisCookie o las herramientas de desarrollo del navegador (F12 → Application → Cookies). También puedes comprobar si tus datos han sido filtrados en Have I Been Pwned.
¿Google ha eliminado realmente las cookies de terceros en Chrome?
Sí y no. Google ha retirado las third-party cookies clásicas de Chrome, pero las ha sustituido por su Privacy Sandbox, un conjunto de APIs como Topics (que clasifica tus intereses) y Attribution Reporting (que mide conversiones publicitarias). El rastreo sigue existiendo, solo cambia el mecanismo. Es como si te dijeran que han cerrado la puerta pero han abierto una ventana. La privacidad con las cookies mejora en el papel, pero el modelo de negocio publicitario sigue intacto.
Conclusión
Las cookies no son el enemigo. El enemigo es la opacidad con la que se usan y lo fácil que te lo ponen para aceptar cookies que no deberías. Ahora que sabes distinguir las esenciales de las vampíricas, configura tu navegador, instala las herramientas adecuadas y deja de regalar tus datos a empresas que ni conoces. Tu yo digital te lo agradecerá. Y si quieres seguir blindando tu vida online, pásate por el resto de artículos de nuestro blog: tenemos más consejos, más herramientas y, por supuesto, más mala leche.
