Cookies y privacidad

13 abril, 2021
cookies

Pocas cosas hay en la web que desaten tantas pasiones como las cookies. El usuario medio, aunque no sepa qué narices es una cookie, está hasta el moño de decir a cada web que visita que sí, que acepta las cookies. Algunos otros, más conocedores de lo que son esas misteriosas «galletas», optan bien por hacer clic en ese misterioso botón de «personalizar cookies«, bien por usar alguna de las múltiples opciones para rechazar las cookies por defecto.

Ejemplo de aviso de cookies
Selecciona Tus Preferencias de Cookies
Utilizamos cookies y herramientas similares para mejorar tu experiencia de compra, prestar nuestros servicios, entender cómo los utilizas para poder mejorarlos, y para mostrarte anuncios, incluidos anuncios basados en tus intereses. Terceros autorizados también utilizan estas herramientas en relación con los anuncios que mostramos. Si no quieres aceptar todas las cookies o quieres saber más acerca de cómo usamos las cookies, haz clic en "Personalizar cookies".
Botón: Aceptar cookies
Botón: Personalizar cookies
El aviso de cookies de una conocida tienda en línea.

Pero… ¿qué son las cookies?

Me temo que todavía queda mucha gente que no sabe qué es una cookie. Parafraseando a la Wikipedia, una cookie es «una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del navegador». Podéis imaginar que una cookie es una especie de «post it» que el sitio web deja en nuestro navegador con cuatro notas sobre nosotros.

Las cookies, por ejemplo, son el mecanismo que me ha permitido acceder a este blog para escribir esta pieza sin teclear mi usuario y contraseña: la última vez que accedí, le di permiso para almacenar esa «pequeña información», de forma que ahora puedo entrar ahorrándome un paso (siempre que me conecte desde el mismo ordenador y usando el mismo navegador). Las cookies también permiten, por ejemplo, que un sitio web recuerde mis preferencias, sin la necesidad de registrarme (de nuevo, si cambio de navegador, o de ordenador, esa información no me seguirá). Vamos, que tienen una utilidad considerable.

Pero las cookies no solo puede escribirlas (y leerlas) el servidor al que me he conectado: si accedo a cualquier medio de comunicación financiado a través de la publicidad, podré comprobar que múltiples otros servidores han almacenado cookies en mi navegador.

Captura de pantalla del inspector de cookies de un navegador
Es relativamente sencillo ver qué cookies almacena una página en el navegador. Basta hacer botón derecho, clic en «Inspeccionar» y rebuscar un poco en el cuadro que nos aparecerá en pantalla (en Firefox, en la pestaña Almacenamiento; en Chrome y derivados, dentro de «Aplicación»)

Si accedemos (con Chrome, en breve hablaremos de qué pasa con el resto de navegadores) a prácticamente cualquier web de un medio de comunicación podremos comprobar que, al hacerlo, múltiples sitios web almacenan también cookies… Son las llamadas «cookies de terceros». En general, esos otros sitios son empresas que se dedican a mostrarnos publicidad (y, de paso, financiar al medio de turno (y esto no es nuevo: durante décadas hemos visto la tele y oído la radio gratis gracias a la «publi», e incluso cuando pagamos por un diario o una revista, solemos ver una buena cantidad de anuncios)). Algunas de esas empresas son respetuosas con nuestra privacidad. Desafortunadamente, las hay que estiran la legalidad hasta extremos de muy dudosa ética.

Cookies buenas, cookies malas… matemos las cookies

Navegando por la web.
Imagen de Cottonbro.

El debate sobre si las cookies (sobre todo las «de terceros») son una invasión tolerable de nuestra privacidad o no es tan antiguo como las propias cookies. Y en España su uso está regulado, como mínimo, desde 2002, cuando se publicó la ley de servicios de la sociedad de la información y de comercio electrónico (más conocida como LSSI, o «la ley de cookies»). Y desde 2016 tenemos el reglamento general de protección de datos (o RGPD). No me atrevería a calcular cuántos clics he hecho aceptando (o no) cookies como resultado de ambas. Tampoco podría calcular cuánto han protegido mi privacidad, pero estoy convencido de que mucho. Y esas normas, europeas, han protegido, además, los derechos de personas de todo el planeta (muchas compañías de todo el mundo han decidido que era más fácil aplicar la normativa universalmente que intentar diferenciar a los usuarios europeos de los del resto del mundo).

Esas normas, además, han dado un empujoncito a los desarrolladores de navegadores para cuestionarse si las cookies de terceros son una idea que merece seguir viva. Y cuando decimos «desarrolladores de navegadores», básicamente hablamos de Google Chrome (y sus múltiples primos, como las últimas versiones del navegador de Microsoft, Edge, Opera y muchísimos otros). Existen otros navegadores, desde luego, con Safari a la cabeza, o Firefox, pero la cuota de mercado de Chrome lo ha convertido, de facto, en el jugador más importante a la hora de decidir cómo funcionan las cosas. De hecho, tanto Firefox como Safari hace ya un tiempo que no aceptan cookies de terceros, pero al mundo de la publicidad apenas le ha preocupado.

Quizás nos daremos cuenta de que el aplastante dominio de un navegador creado por una empresa publicitaria no es una buena idea.

Google ha decidido ahora, finalmente, que las cookies (de terceros, que son las más preocupantes para la privacidad) deben morir también en Chrome y anuncia que dentro de un año Chrome dejará de aceptar las dichosas cookies de terceros. Y todos deberíamos alegrarnos por ello. Pero es un poco intrigante que Google (y su empresa matriz, Alphabet), que obtiene algo así como el 90% de sus ingresos de la publicidad, tome una decisión que aparentemente implica «matar la gallina de los huevos de oro». (Quizá también debería preocuparnos que centenares de millones de personas naveguen por la web usando un navegador creado en gran parte por el mayor anunciante del planeta.)

¿Hay vida después de las cookies?

Supongo que no sorprenderá a nadie: lo que propone Google (y debe quedar claro que es tan solo una propuesta) es sustituir las cookies por otro mecanismo que proteja mejor nuestra privacidad… pero que permita seguir sirviéndonos publicidad personalizada (y esa publicidad no es inherentemente mala: es, incluso, potencialmente mucho menos mala que la publicidad no personalizada a la que nos exponemos cada vez que vemos la tele, escuchamos la radio o leemos un diario o revista en papel, y financia los medios que consumimos).

La propuesta de Google, que ya ha comenzado a probar en algunos países (ninguno de ellos en Europa, curiosamente), se llama FLoC (Federated Learning of Cohorts). El navegador sería el encargado de elaborar un perfil del usuario (en función de las páginas que vista en la web) y asignarle a una cohorte (por ejemplo, «personas interesadas en coches de gama alta», o «personas que han estado buscando información sobre destinos vacacionales»). Esa información permanecería en el ordenador del usuario, y las cohortes, asegura Google, nunca podrían ser lo suficientemente pequeñas como para poder identificar un usuario. Una vez asignada la cohorte (que iría cambiando con el tiempo), el navegador la comunicaría a las páginas web que visita, y con esta información los servidores elegirían los anuncios a mostrar. Todos ganan: las webs siguen pudiendo mostrar anuncios bien pagados, y los usuarios no ponen en riesgo su privacidad para financiar el sistema. O no…

El debate sobre si las cookies (sobre todo las «de terceros») son una invasión tolerable de nuestra privacidad o no es tan antiguo como las propias cookies.

Según la EFF, una prestigiosa fundación estadounidense que lleva treinta años dedicada a la defensa de «la privacidad digital, la libertad de expresión y la innovación», según su propia definición, la propuesta de Google elimina los riesgos de privacidad actuales de las cookies, pero crea nuevos por el camino. Lo explican con detalle aquí. Si se me permite un resumen muy breve, la EFF critica que hay aspectos importantes que no quedan suficientemente definidos en la propuesta, incluyendo la cantidad de cohortes o cómo se comunicaría la información a los servidores. Siempre según la EFF, FLoC abriría, además, nuevas vías para el fingerprinting de los usuarios (el conjunto de técnicas, con frecuencia de dudosa calidad ética, que usan algunas empresas para intentar identificarnos), ya que la cohorte a la que se pertenece es una pieza más para esa identificación, junto con el resto de información sobre el navegador a la que pueden acceder los servidores (que es mucha, como han demostrado múltiples estudios como este). Junto con esa otra información, esto podría permitir afirmar con probabilidad alta de que el usuario ha visitado un determinado conjunto de servidores, por ejemplo. La EFF también critica la cantidad de poder que la propuesta da a Google. El punto de vista de Google, curiosamente, es mucho más optimista, y no se preocupa tanto por el poder que le pueda otorgar el cambio tecnológico propuesto.

¿Echaremos de menos las cookies?

Vaya por delante que lo que sigue tiene mucho de opinión personal. El cambio que propone Google se puede llevar por delante a muchas de las empresas que se dedican a colocar anuncios en las webs que visitamos. A bastantes de esas empresas los consumidores no las vamos a echar de menos: sus más que discutibles prácticas nos han llevado a la situación actual, y casi todos saldríamos ganando… pero también hay empresas del sector que cumplen con la legalidad y respetan nuestra privacidad, pero para las que el futuro es bastante oscuro.

Imagen de Burst

Si Chrome se carga las cookies de terceros e impone FLoC, quedarán en el mercado web dos grandes vendedores de publicidad: Google y Facebook. Los medios lo suficientemente grandes como para poder perfilar a sus usuarios por el tráfico interno (grandes medios nacionales o transnacionales, como un New York Times, por ejemplo), podrán vender sus espacios publicitarios directamente a los anunciantes y no verse muy afectados por la tormenta, pero muchos otros medios podrían acabar expuestos a un duopolio que, al menos de salida, despierta una cierta desconfianza. Uno podría llegar a malpensar y opinar que Google, mientras protege nuestra privacidad, se carga, de un plumazo, a buena parte de su competencia en el negocio que representa la parte del león de sus ingresos. (Este artículo, de lectura muy recomendable, argumenta que la iniciativa podría dar lugar a la aparición de nuevas empresas en el campo de la publicidad orientadas a trabajar con FLoC. Es posible, desde luego, pero personalmente soy bastante escéptico al respecto.)

Si se quiere hacer una lectura positiva (más allá de lo que ganaríamos en privacidad, que es potencialmente muchísimo, desde luego)… quizás nos daremos cuenta de que el aplastante dominio de un navegador creado por una empresa publicitaria no es una buena idea. Con un poco de suerte un porcentaje de gente volverá a Firefox o, al menos, a otros primos de Chrome menos controlados por Google. O, quién sabe, incluso es posible que esos primos acaben divorciándose de Chrome y recuperemos algo de diversidad en el ecosistema de los navegadores en la web, que anda muy falto de ella. Me cuesta un poco ser optimista, pero lo que es seguro es que vamos a estar entretenidos una buena temporada con el tema.

Autor / Autora
Comentarios
Deja un comentario