¿Cuál es la diferencia entre las cookies de origen y las de terceros?

Las cookies recuerdan la configuración del sitio web (por ejemplo, las preferencias de idioma), los datos de inicio de sesión y los productos añadidos a la cesta de la compra, incluso después de que el usuario abandone el sitio, pero dado que los archivos de cookies se utilizan ampliamente para recopilar cierta información, también pueden utilizarse para llevar a cabo procesos publicitarios como la elaboración de perfiles de comportamiento y el retargeting.

Entender el papel de las cookies en la tecnología publicitaria es fundamental para conseguir un mejor control de la publicidad online y la privacidad.

A lo largo de los años, las cookies se han convertido en el pan de cada día en Internet, y actualmente son el método más común para identificar a los usuarios en línea y ofrecer una experiencia de navegación personalizada.

Con la creciente concienciación sobre los problemas de privacidad, y la introducción de leyes como el Reglamento General de Protección de Datos (RGPD) de la UE y la ePrivacy, surge una mayor necesidad de educar a los usuarios sobre qué hacen realmente los archivos de cookies, qué información pueden contener y qué tipos de cookies existen.

¿Qué tipos de cookies existen?

Existen esencialmente dos tipos de cookies: de origen y de terceros. Desde una perspectiva técnica, no hay ninguna diferencia real entre los dos tipos de cookies; ambos contienen las mismas piezas de información y pueden realizar las mismas funciones.

Sin embargo, la verdadera diferencia entre los tipos de cookies tiene que ver con la forma en que se crean y se utilizan posteriormente, que a menudo depende del contexto. Existen diferentes beneficios de la creación de cookies de origen y de terceros.

• Las cookies de origen son almacenadas por el dominio (sitio web) que se visita directamente. Permiten a los propietarios de sitios web recopilar datos analíticos, recordar la configuración del idioma y realizar otras funciones útiles que ayudan a proporcionar una buena experiencia de usuario.
• Las cookies de terceros son creadas por dominios distintos al que está visitando directamente, de ahí el nombre de terceros. Se utilizan para el rastreo de sitios cruzados, la reorientación y el servicio de anuncios.
• Por si te lo estás preguntando, la existencia de cookies de segunda parte es un tema de controversia. Las cookies de segunda parte son cookies que se transfieren de una empresa (la que creó las cookies de primera parte) a otra empresa a través de algún tipo de asociación de datos. Por ejemplo, una aerolínea podría vender sus cookies de origen (y otros datos de origen como nombres, direcciones de correo electrónico, etc.) a una cadena hotelera de confianza para utilizarlas en la segmentación publicitaria, lo que significaría que las cookies pasarían a ser clasificadas como de segunda parte.

¿En qué se diferencian las cookies de origen y de tercera parte?

Técnicamente hablando, las cookies de origen y de tercera parte son el mismo tipo de archivos. Lo que es diferente es cómo son creadas y utilizadas por los sitios web.

¿Qué son las cookies de primera parte?

Las cookies de primera parte son creadas por el dominio anfitrión – el dominio que el usuario está visitando. Este tipo de cookies se consideran generalmente buenas; ayudan a proporcionar una mejor experiencia de usuario y a mantener la sesión abierta. Esto significa básicamente que el navegador es capaz de recordar piezas clave de información, como los artículos que se añaden a los carros de la compra, el nombre de usuario y las contraseñas, y las preferencias de idioma.

¿Qué son las cookies de terceros?

Las cookies de terceros son las creadas por dominios distintos al que el usuario está visitando en ese momento, y se utilizan principalmente para el seguimiento y la publicidad en línea. También permiten a los propietarios de sitios web proporcionar ciertos servicios, como chats en directo.

Además de una cookie de origen creada por el sitio anfitrión, somenewssite.com, también se crea una cookie de terceros por ad.doubleclick.net. La razón de la cookie de terceros es que la URL (ad.doubleclick.net) no coincide con el dominio (somenewssite.com). La cookie la deja un proveedor de publicidad de terceros, de ahí el nombre de cookie de terceros.

Consulte la siguiente tabla para ver un breve desglose de cómo se diferencian las cookies de primera y de tercera parte.



¿Cómo se crean las cookies de tercera parte en un sitio web?

Ahora estarás pensando, ¿cómo puede ad.doubleclick.net o cualquier otro tercero crear una cookie si el usuario está en un sitio web diferente en un momento dado?

Para que se cree una cookie de terceros, es necesario enviar una solicitud desde la página web al servidor del tercero. El archivo que se solicita es diferente según el uso, pero puede ser una creatividad real (un anuncio) o un píxel de seguimiento, que es completamente invisible para el usuario pero que actúa como cookie de seguimiento en situaciones en las que no hay ningún evento de clic (por ejemplo, cuando solo se abre una página web) y no se pueden utilizar redireccionamientos de clic.

Por ejemplo, si el tercero fuera un servicio de publicidad como DoubleClick de Google, la solicitud sería para una creatividad: el anuncio real que ve el visitante. Una marca de DoubleClick puede permitir que se coloque una cookie de terceros. Este es el aspecto que podría tener el marcado de anuncio único:

<a href="ad.doubleclick.net/some-other-parameters-specific-to-this-ad" target="_blank" rel="noopener"><img src="ad.doubleclick.net/the-extension-to-the-creative"></a>

Cuando se cargue la página web, el marcado de anuncio anterior también se cargaría y se enviaría una solicitud a ad.doubleclick.net/la-extensión-al-creativo para recuperar la imagen y asignar una cookie al usuario al mismo tiempo.

Diferentes terceros pueden solicitar diferentes archivos de sus servidores web y enviarlos de vuelta al navegador.

Ejemplos de servicios de terceros que dejan cookies

Hay una serie de proveedores de servicios de terceros que suelen dejar cookies en el navegador del usuario. Aquí están algunos de los principales:

Servicios de reorientación publicitaria
La reorientación publicitaria consiste en seguir a los visitantes de un sitio web que lo han visitado previamente por la web y mostrarles anuncios de los productos o servicios que han visto o con los que han interactuado previamente. El retargeting funciona en diferentes canales, como las redes sociales, la visualización y el correo electrónico.

Los propietarios de sitios web colocan un píxel transparente de 1×1 en su sitio, que envía una solicitud al servidor de ad-retargeting cuando se carga la página. A continuación, el servidor devuelve la información solicitada (que suele contener algo de JavaScript) para poder asignar una cookie al usuario y volver a dirigirlo más tarde a otros sitios web.

Para obtener más información, lea nuestro post sobre retargeting de anuncios.

Botones sociales
La mayoría de los plugins de medios sociales que permiten a los usuarios iniciar sesión, compartir y gustar del contenido en sitios web de terceros colocarán cookies en su dispositivo.



De este modo, los sitios de medios sociales de los que proceden estas cookies pueden rastrear los sitios que visitas y enviarte anuncios relevantes cuando vuelvas a estos sitios de medios sociales. Incluso si no ha iniciado sesión en su cuenta, estas cookies le seguirán identificando sus cookies, utilizando una coincidencia determinista y, a veces, tomando la huella digital de su dispositivo para identificarle.

Puede obtener más información sobre la huella digital del dispositivo en uno de nuestros posts anteriores.

Las ventanas emergentes de chat en vivo
En lo que respecta a las cookies, las ventanas emergentes de chat en vivo funcionan de forma similar a los botones sociales. Los servicios de live-chat dejarán una cookie en tu navegador para agilizar la experiencia del usuario.



Por ejemplo, como la ventana emergente de live-chat puede identificarte, la próxima vez que visites el cuadro de chat, recordará tu nombre y todo el historial de conversaciones. Por supuesto, estos datos se eliminan a medida que se borran las cookies o cuando caducan.

Es importante mencionar que las cookies de origen también se pueden utilizar para el seguimiento entre sitios, pero esto significaría que el software de seguimiento (script) tendría que estar alojado bajo el dominio del sitio web.

¿Cómo tratan los navegadores las cookies de origen y las de terceros?

Cookies de origen

Las cookies de origen, como se ha mencionado anteriormente, son creadas directamente por el sitio web cada vez que un usuario visita el sitio. En general, la mayoría de los navegadores aceptan las cookies de origen por defecto, ya que su función principal es permitir la personalización y mejorar la experiencia del usuario.

Por ejemplo, si visita un sitio como techcrunch.com, thehuffingtonpost.com o nytimes.com, se creará una cookie que cada sitio guardará en su ordenador.



La cookie que almacena el sitio específico se utilizará para recordar información sobre el usuario y su comportamiento. Con las cookies de origen, es el sitio web el que decide qué información recopilar y almacenar.

La gran limitación de las cookies de origen es que sólo se pueden leer cuando el usuario está visitando el dominio del sitio web/editor. Esto las hace inútiles para fines publicitarios (por ejemplo, retargeting) en otros sitios web.

Cookies de terceros

Las cookies de terceros (también conocidas como cookies de rastreo o trackers) son creadas por «partes» distintas del sitio web que el usuario está visitando en ese momento: proveedores de servicios de publicidad, retargeting, análisis y seguimiento.

Considere este ejemplo:

Cuando visite cnn.com y lea algunos artículos, cnn.com creará una cookie de origen y la guardará en su ordenador. Como cnn.com (al igual que la mayoría de los editores) utiliza anuncios en línea como forma de monetizar su contenido, los anuncios que vea en cnn.com también crearán una cookie (por ejemplo, en el dominio ads.somedsp.com) y la guardarán en su ordenador.

Como estas cookies no son creadas por cnn.com, se clasifican como cookies de terceros.

Un sitio web puede utilizar una serie de rastreadores (o cookies) de terceros diferentes que recopilan información del usuario. Esta información puede incluir datos como el comportamiento del usuario en el sitio, la ubicación y el tipo de dispositivo – que se transmite desde el sitio web.

Los rastreadores de terceros también pueden rastrear el comportamiento de un usuario, como el contenido que ve en ese sitio web y las cosas en las que hace clic (por ejemplo, productos y anuncios). Los rastreadores crean cookies de terceros y las utilizan para mostrar anuncios al usuario cuando visita diferentes sitios web.

Por ejemplo, si un usuario visita bestbuy.com y hace clic en un producto, los rastreadores de terceros recopilarán y analizarán la información sobre ese usuario y su actividad en bestbuy.com. A continuación, si ese usuario abandona bestbuy.com y accede a otro sitio web, como techcrunch.com, se le podría mostrar un anuncio de ese mismo producto o de algo similar (por ejemplo, otro televisor u otro producto eléctrico).

La forma en que funciona es que tanto bestbuy.com como techcrunch.com cargan un fragmento de código de un servidor de anuncios (por ejemplo, ad.doubleclick.net). Cuando el usuario navega a cualquiera de los dos sitios web, el fragmento de código cargado desde ad.doubleclick.net es de un dominio diferente al de la URL en el navegador del usuario, por lo que las cookies establecidas en ad.doubleclick.net se consideran cookies de terceros.

Las cookies pueden ser establecidas y leídas por el servidor web o por un fragmento de JavaScript que se ejecuta en el sitio web. Programas como Ghostery o AdBlock Plus pueden bloquear estos scripts – más adelante se habla de ello.

Cookies de primera parte utilizadas en un contexto de terceros

Algunas cookies de primera parte pueden utilizarse para rastrear a los usuarios de la misma manera que las cookies de terceros en contextos específicos.

Por ejemplo, los cuadros de inicio de sesión (widgets, plugins) de sitios sociales como Facebook pueden colocarse en diferentes sitios web para facilitar los comentarios o «me gusta» del contenido. Esta funcionalidad utiliza cookies de origen en el contexto de terceros; como el usuario interactúa con el widget de inicio de sesión (es decir, visita su dominio), el widget puede dejar una cookie de origen. Entonces, dicha cookie de origen se utiliza en un contexto de terceros, y puede permitir el seguimiento entre sitios.

Sin embargo, algunos navegadores de Internet como Safari tienen métodos para bloquear esto (es decir, Safari 11 y más recientes).

Prevención de seguimiento inteligente (ITP) de Apple y cookies

La prevención de seguimiento inteligente es una función que se ofrece con Safari y en iOS 11 por defecto. Cambia la forma en que el navegador de Apple maneja las cookies de origen, que es diferente a la de la mayoría de los demás navegadores.

Su versión más reciente, ITP 2.0, detecta el rastreo entre sitios y particiona (o aísla) las cookies de origen, haciendo imposible su uso en un contexto de terceros con fines de rastreo o análisis. Algunos expertos afirman que al introducir normas tan estrictas para tratar las cookies de terceros, Apple sabotea el actual modelo económico de Internet.

Las versiones anteriores de la PTI de Apple (1.0 y 1.1) permitían leer y utilizar las cookies en un «contexto de terceros», siempre que el usuario accediera directamente al dominio en las primeras 24 horas. Eso daba una ventaja injusta a Facebook y Google, ya que la purga de 24 horas no tenía el mismo efecto en ellos que en otros sitios porque los usuarios visitan estos sitios web con regularidad y rara vez cierran la sesión.

Con la ITP 2.0, esto ya no es posible.

Mozilla Firefox

Mozilla siguió su ejemplo, y la versión 50 de Firefox (y posteriores) ofrece actualmente una funcionalidad «inteligente» similar a la de Safari que bloquea las cookies de seguimiento de terceros no deseadas. Un icono de un escudo gris aparece en la barra de direcciones cuando Firefox bloquea los dominios de seguimiento.



Su protección contra el rastreo fue desarrollada en colaboración con Disconnect y se basa en una serie de listas negras de rastreadores para permitir las cookies de terceros sólo de proveedores de confianza.

Para ver qué se bloquea exactamente, puedes seguir abriendo la consola para revisar la pestaña Seguridad.

Otros navegadores

Safari y Firefox (y básicamente todos los demás navegadores disponibles en el mercado) también ofrecen métodos más o menos elaborados para bloquear las cookies de terceros. Sin embargo, la mayoría de los navegadores ofrecen algún tipo de método de bloqueo de cookies – pero no todos se basan en listas negras o algoritmos.

Cómo desactivar las cookies de terceros

Las cookies de terceros se bloquean cuando un usuario realiza una o más de las siguientes acciones:

• Navega por la web en modo privado o de incógnito.
• Usa Safari como navegador web en los dispositivos móviles de Apple, ya que bloquea las cookies de terceros por defecto.
• Cambia la configuración de las cookies y del seguimiento en sus navegadores (detallado más abajo).
• Usa Tor.
• Instala bloqueadores de anuncios o complementos similares (Ghostery, Pivacy Badger, etc).

La mayoría de los navegadores permiten a los usuarios desactivar las cookies de terceros desde el menú de configuración. Hacerlo hará que los anuncios sean mucho menos personalizados, pero por lo demás no debería comprometer la experiencia de navegación. Existen numerosas guías en la red que detallan los pasos para deshabilitar las cookies para cada navegador en particular, pero podemos dar un breve resumen:

Microsoft Edge

Haga clic en el símbolo de la elipsis (tres puntos) en la esquina superior derecha y seleccione Configuración. Haz clic en Ver configuración avanzada y selecciona Bloquear cookies de terceros en el menú desplegable de Cookies.

Internet Explorer

En Internet Explorer, tienes que hacer clic en el icono del engranaje de la esquina superior derecha y seleccionar Opciones de Internet. Luego ir a la pestaña de Privacidad y hacer clic en Avanzadas. Marque la casilla Anular el manejo automático de cookies y establezca las cookies de terceros en «Bloquear».

Google Chrome

Haga clic en el icono de tres rayas de la esquina superior derecha y seleccione Configuración. A continuación, haz clic en Mostrar configuración avanzada en la parte inferior. Haz clic en Configuración de contenido en la sección Privacidad. En Cookies, marque la opción Bloquear cookies de terceros y datos del sitio y haga clic en Listo.

Firefox

Haga clic en el icono de tres rayas de la esquina superior derecha y seleccione Opciones (PC) o Preferencias (Mac). Ve a la pestaña Privacidad y, en Historial, establece que Firefox utilizará una configuración personalizada para el historial. A continuación, establece Aceptar cookies de terceros en «Nunca».

Safari

Las cookies de terceros están desactivadas por defecto, pero nunca está de más volver a comprobarlo. Despliega el menú de Safari y selecciona la pestaña de Privacidad. Elige la opción para bloquear las cookies de terceros y de anunciantes.
Cómo ver qué cookies se crean cuando visitas sitios web
Hay varios métodos que determinan qué cookies almacena un sitio web en tu navegador. Puede hacerlo instalando un plugin de navegador dedicado a la gestión de cookies o utilizando la consola de desarrollador del navegador.

Plugins de navegador

Instalar un plugin de gestión de cookies fácil de usar es la forma más sencilla de analizar las cookies de primera y tercera parte colocadas por los sitios web, y de bloquearlas selectivamente cuando sea necesario. Los plugins de cookies más populares para los navegadores incluyen:

• uBlock
• Ghostery
• AdBlock Plus
• Privacy Badger
• Disconnect (now included in Firefox)



Browser Development Console

Using the development console in your Internet browser is one of the easiest methods to see all the cookies stored by particular websites. You can also determine which of the cookies stored in your browser are first-party cookies and which are third-party. Las cookies de origen compartirán el mismo dominio que el sitio web que estás visitando en ese momento.

Así es como puedes ver las cookies:

Google Chrome

Para Google Chrome, sigue estos pasos:

1. Abre tu navegador Chrome y escribe la URL del sitio que quieres analizar.
2. Para abrir la consola, utiliza el atajo de teclado Ctrl + Shift + I para ejecutar la consola de inspección, o Ctrl + Shift + D para ejecutar la consola de desarrollador.
3. Una vez abierta la consola, puedes ver las cookies instaladas por el sitio haciendo clic en la pestaña Aplicación en la parte superior derecha de la consola.



Mozilla Firefox

Si prefieres usar Firefox de Mozilla, puedes abrir la consola de desarrollador del navegador:

1. Abre el sitio que quieres analizar.
2. Abra el Inspector de almacenamiento seleccionando Inspector de almacenamiento en el submenú Desarrollador web del panel de menús de Firefox (o en el menú Herramientas si despliega la barra de menús o está en Mac OS X), o pulsando Shift + F9 como atajo de teclado.
3. La caja de herramientas aparecerá en la parte inferior de la ventana del navegador con el Inspector de almacenamiento activado. Simplemente se llama Almacenamiento en la caja de herramientas para desarrolladores.
4. Seleccione Cookies a la izquierda para ver las cookies creadas por el sitio web.



El futuro de las cookies de primera y tercera parte

Desde hace muchos años, las cookies de tercera parte han sido la piedra angular de la publicidad online, pero sus días parecen estar contados.

Hoy en día, los anunciantes y editores no solo están luchando contra los cada vez más populares bloqueadores de anuncios y otros métodos que bloquean el seguimiento de terceros, sino que ahora también tienen que lidiar con las regulaciones centradas en la privacidad, como el GDPR. A esto se suma la creciente concienciación sobre los problemas de privacidad asociados a las cookies de terceros impulsada por los medios de comunicación.