Cookies: batalla tecnológica y legal por la privacidad en la web

El objetivo inicial del World Wide Web era el intercambio de información (en forma de documentos de hipertexto con enlaces a otros documentos o recursos) a través de la red, de forma unidireccional servidor a cliente. Es por eso que las tecnologías subyacentes están orientados a un funcionamiento sin estado (stateless): el servidor no «recuerda» nada sobre el cliente y cada nueva petición empieza desde cero como si fuera la primera.

Por ejemplo, un concepto inexistente en los protocolos web es el de sesión: el servidor no tiene una forma directa de recordar si el usuario se ha autenticado y cuál era su identidad. Una solución a este problema es el uso de cookies, pequeños ficheros de texto almacenados en el navegador web del cliente. Las cookies, asociadas un dominio concreto, permiten a cada web recordar información específica acerca del cliente: su nombre de usuario, los objetos que ha almacenado en el carrito de la compra, … Además de estas cookies de sesión, las páginas web pueden usar cookies persistentes: cookies con una fecha de caducidad muy lejana (meses o años). Estas cookies permiten a una página web recordar información más atemporal sobre un usuario (la fecha de su última visita, sus preferencias de visualización, …) y realizar un seguimiento de sus actividades.

Como una página web puede enlazar a recursos de terceros, éstos a su vez pueden fijar sus propias cookies (third-party cookies) cuando la página se carga. Estas cookies creadas por terceros también pueden ser persistentes, de forma que un servicio web enlazado desde muchas páginas puede trazar la actividad de un usuario a través de todas ellas usando estas cookies. Y esto ocurre continuamente en la práctica. Como muestra, Ghostery es un servicio disponible como extensión de los navegadores más populares que permite comprobar quién está rastreando vuestra actividad en una página web. Fijaos que no pongo en duda que alguien os estará rastreando, y seguramente habrá una buena lista.

Este rastreo empieza una lucha de intereses entre los usuarios, preocupados por su privacidad, y las empresas, interesadas en realizar un seguimiento más preciso y exhaustivo de la actividad de los usuarios. Los usuarios empiezan borrando el historial de cookies de su navegador como práctica habitual. Entonces las empresas contraatacan creando diferentes tipos de cookies más resistentes: cookies que se almacenan en otros puntos del navegador como los plug-in de Flash o Silverlight (supercookies), cookies que se recrean cuando son borradas (zombie cookies) y utilidades que combinan todas las técnicas anteriores para crear cookies muy difíciles de eliminar (evercookie). Llegados a este punto, la tecnología ha otorgado la victoria a las empresas, dado que resulta prácticamente imposible «escapar» de este seguimiento.

En este punto, empiezan a entrar en acción los organismos reguladores: la Unión Europea aprueba la directiva 2009/136/CE donde se definen los comportamientos aceptables en términos de cookies. En concreto, las páginas web deben informar y pedir consentimiento antes de almacenar información en los ordenadores de los clientes o acceder a esa información almacenada. Esta legislación de ámbito europeo ha cambiado totalmente las prácticas del sector: antes nadie informaba sobre qué cookies se estaban usando, para qué se usaban, si se usaban cookies de terceros, etc. O bien, si se daba esta información, se explicaba en la página de «términos de uso», «política de privacidad» o similar, donde quedaba oculta en un mar de información y términos legales.

De este extremo, en la UE se ha pasado al opuesto: cada página debe informar explícitamente sobre su política de cookies en la primera visita. De hecho, tanta información sobre las cookies está logrando el efecto opuesto al que se perseguía: nadie presta atención al dichoso mensaje. «Vale, que sí, que usáis cookies como todo el mundo, quita ese pop-up de una vez». Una web podría explicar todo tipo de maldades y la mayoría de usuarios seguiría dando al botón «Aceptar».

El modelo impuesto por esta directiva europea es opt-in: el usuario debe dar su confirmación para que se usen cookies. Otra variante para resolver el sistema de las cookies es un modelo opt-out: los usuarios deben solicitar explícitamente que no se realize el seguimiento de sus actividades mediante el uso de un indicativo especial llamado «Do-Not-Track» (DNT) . Una desventaja de este modelo alternativo es que se basa en la autoregulación: las páginas web reciben el indicativo DNT, y pueden hacerle caso… o no. ¿Alguién piensa que las empresas dedicadas al tracking en Internet descartarán está información sólo con pedirlo amablemente? O sea que, al menos de momento, nos quedamos con esos apasionantes pop-ups sobre la política de cookies…