Cookies en Internet: qué son, tipos, usos, ley y cómo gestionarlas

Portada » Internet » Cookies en Internet: qué son, tipos, usos, ley y cómo gestionarlas

Las cookies son el pegamento silencioso que hace que la web te reconozca, recuerde tus preferencias y te mantenga conectado sin pedírtelo a cada clic. No son nuevas ni misteriosas: son archivos diminutos que, bien usados, facilitan la vida; mal gestionados, pueden afectar a tu privacidad. guía de privacidad digital en Internet.

Si alguna vez te topaste con el aviso de “¿Aceptas las cookies?” y te quedaste con dudas, aquí te lo contamos a fondo. Qué son, cómo funcionan, qué tipos existen, cuáles son esenciales, qué exige la normativa en España y la UE, y cómo controlarlas en tu navegador sin perder el control de tu experiencia online.

Qué son las cookies y cómo funcionan

Una cookie es un pequeño archivo de texto que un sitio solicita guardar en tu navegador cuando lo visitas. Dentro puede almacenar identificadores y datos técnicos que permiten reconocer tu dispositivo en sesiones posteriores, mostrar contenido relevante o recordar que ya iniciaste sesión.

El servidor del sitio crea un identificador único vinculado a tu navegador. En visitas futuras, tu navegador devuelve ese identificador y el sitio “sabe” qué estado recuperar: tu idioma, tu carrito, la sesión activa o la configuración de la página. El servidor no “ve” a la persona, sino al navegador que presenta esa cookie.

Importante: muchas webs serias no capturan datos personales a menos que se los facilites voluntariamente. Hay cookies usadas con fines estadísticos anónimos (por ejemplo, recordar el tipo de navegador), y otras que, combinadas con servicios publicitarios, pueden perfilar tu actividad si das tu consentimiento.

Un breve origen: de las “cookies mágicas” a las cookies HTTP

El término “cookie” viene de la jerga de sistemas. Las llamadas “cookies mágicas” eran paquetes de información que iban y venían sin cambiar, usadas en entornos corporativos para identificación en redes internas.

En 1994, Lou Montulli adaptó la idea a la web creando la cookie HTTP para aliviar cargas de servidor en una tienda online. Desde entonces, el ecosistema web las emplea para sesiones, personalización, analítica y publicidad, entre otros menesteres.

La misma tecnología que aporta comodidad puede abrir la puerta a perfiles de comportamiento si se cede el consentimiento a terceros de publicidad o análisis; por eso hoy es clave la transparencia y el control por parte del usuario, guía de navegadores con privacidad.

Tipos fundamentales de cookies

Por duración, hay dos grandes grupos: de sesión y persistentes. Las de sesión viven solo mientras navegas; al cerrar el navegador, desaparecen. Las persistentes permanecen guardadas hasta su fecha de caducidad o hasta que las borres.

Las cookies de sesión sostienen la navegación en tiempo real (por ejemplo, mantener el estado del carrito o que el botón “Atrás” funcione correctamente). No se escriben en disco de forma permanente.

Las cookies persistentes guardan estados a medio plazo. Se usan en autenticación (evitar que inicies sesión cada vez) y en seguimiento de varios accesos para recordar preferencias o analizar uso. Su caducidad debe ser acorde a su finalidad.

Por procedencia, hay cookies propias y de terceros. Las propias las crea el sitio que visitas y suelen orientarse a funciones internas. Las de terceros pertenecen a proveedores externos (publicidad, analítica), con más implicaciones de privacidad y consentimiento.

Hay variantes especiales como las “zombi”, que pueden reconstituirse tras borrarlas, asociadas a técnicas avanzadas de almacenamiento (a veces llamadas supercookies) y complicadas de eliminar; no son la norma y plantean serios riesgos de privacidad si se usan con fines abusivos.

Categorías por finalidad: funcionalidad, seguridad, analítica, publicidad y personalización

Más allá de su duración u origen, las cookies se distinguen por la finalidad. A continuación, se detallan las categorías más comunes y ejemplos representativos que emplean grandes servicios online.

Funcionalidad (técnicas o necesarias)

Son las que activan funciones esenciales como recordar el idioma, conservar el contenido del carrito, mantener la sesión o ejecutar tareas que solicitas. Sin ellas, muchos servicios no funcionan.

• Preferencias y sesión: cookies como «NID» o «_Secure-ENID» recuerdan idioma o número de resultados por página; la primera caduca a los 6 meses desde el último uso y la segunda a los 13 meses. En YouTube, «VISITOR_INFO1_LIVE» (6 meses) y «__Secure-YEC» (13 meses) cumplen fines similares y ayudan a diagnosticar problemas.
• Reproducción y ajustes: «PREF» en YouTube guarda opciones como reproducción automática o tamaño del reproductor (caduca a los 8 meses). «pm_sess» mantiene la sesión del navegador durante unos 30 minutos.
• Optimización de producto: «CGIC» mejora autocompletado de búsquedas (6 meses).
• Elecciones de cookies: «SOCS» almacena la selección de preferencias de cookies durante 13 meses.

Seguridad

Se usan para protegerte frente a abusos: autenticar al usuario, evitar suplantaciones, frenar fraude y spam, y monitorizar interrupciones de servicio.

• Autenticación: «SID» y «HSID» contienen registros cifrados y firmados del ID de cuenta y el último inicio de sesión, bloqueando intentos de robo de formularios; duran 2 años.
• Antifraude y anti-spam: «pm_sess» (30 minutos) y «YSC» (dura la sesión) verifican que las solicitudes proceden realmente del usuario. «AEC» (6 meses) y «__Secure-YEC» (13 meses) ayudan a detectar interacciones inválidas o fraudulentas y a retribuir de forma justa a creadores.

Analítica o medición

Permiten comprender cómo interactúas con sitios y aplicaciones, medir audiencia y estadísticas, y mejorar contenidos y funcionalidades.

• Google Analytics: la principal cookie «_ga» diferencia usuarios y caduca a los 2 años. Cada «_ga» es única por propiedad, por lo que no te sigue entre sitios no relacionados.
• Otras de análisis usadas en servicios: en Búsqueda, «NID» y «_Secure-ENID»; en YouTube, «VISITOR_INFO1_LIVE» y «__Secure-YEC»; en apps móviles, identificadores como el ID de uso de Google, con fines analíticos.

Publicidad

Sirven para mostrar, limitar frecuencia, medir eficacia y personalizar anuncios según tu configuración (por ejemplo, en myadcenter.google.com o adssettings.google.com/partnerads).

• En servicios de Google y sitios de terceros: «NID» se usa para mostrar anuncios a usuarios sin sesión (6 meses). «IDE» e «id» sirven para anuncios en sitios que no son de Google; en el EEE, Suiza y Reino Unido duran 13 meses, y 24 meses en otros lugares. Si desactivas la personalización, «id» recuerda esa preferencia.
• Usuarios con sesión: «DSID» identifica al usuario en sitios de terceros para respetar la configuración de personalización (2 semanas).
• Soporte publicitario en sitios de terceros: «_gads» permite mostrar anuncios (13 meses) y las «_gac_» procedentes de Analytics ayudan a medir campañas (90 días).
• Medición de conversiones: «_gcl_» se emplea principalmente para atribuir acciones tras clics en anuncios (90 días); no se usa para personalizar anuncios.

Personalización

Muestran contenido y funciones adaptadas a tus intereses y actividad, en función de la configuración que elijas en herramientas de privacidad o en tu dispositivo.

• Recomendaciones y autocompletado: «VISITOR_INFO1_LIVE» puede habilitar recomendaciones en YouTube según lo visto o buscado; «NID» activa autocompletado personalizado en Búsqueda. Suelen caducar a los 6 meses desde el último uso.
• Ubicación precisa: «UULE» puede enviar una ubicación exacta desde tu navegador para resultados relevantes; depende de la configuración de ubicación del navegador y puede durar hasta 6 horas.

Incluso si rechazas personalización, el contenido no personalizado puede variar por contexto (ubicación general, idioma, tipo de dispositivo o página que visitas).

¿Qué NO es una cookie y qué pasa si las desactivas?

Una cookie no es un virus, ni un troyano, ni un gusano, ni abre pop-ups por sí sola. Almacena datos técnicos y preferencias, no números de tarjeta o fotografías, salvo que un servicio concreto lo implemente de forma explícita y transparente.

Si las desactivas por completo, notarás efectos colaterales: no podrás iniciar sesión o se cerrará al salir, las tiendas no guardarán tu carrito, no podrás personalizar moneda o idioma, habrá menos estadísticas de uso y algunas funciones sociales dejarán de estar disponibles.

La clave está en el equilibrio: cuantas menos cookies actives, más privacidad; cuantas más permitas, más personalización. Hoy puedes afinar por categorías (técnicas, preferencias, análisis, publicidad) en los banners de consentimiento.

Marco legal en España y la Unión Europea

En España, la LSSI-CE y la LOPDGDD conviven con el Reglamento Europeo de Protección de Datos (RGPD). Además, está en camino el Reglamento ePrivacy, que concretará reglas específicas sobre comunicaciones y cookies.

La Agencia Española de Protección de Datos (AEPD) publica una guía sobre uso de cookies con recomendaciones para editores y terceros. La transparencia y el consentimiento informado son obligaciones clave.

Cookies exentas de consentimiento

Quedan exentas si su finalidad es estrictamente necesaria y su caducidad es proporcional. El antiguo GT29 (hoy Comité Europeo de Protección de Datos) considera exentas, entre otras:

• Entrada del usuario (por ejemplo, al rellenar formularios esenciales).
• Autenticación o identificación de usuario (de sesión).
• Reproductor multimedia.
• Equilibrado de carga en el servidor.
• Personalización de interfaz (como idioma o diseño).
• Plugins para compartir en redes sociales, cuando sean necesarios para el servicio solicitado.

Si una cookie exenta cumple varias finalidades y alguna no es necesaria, esa parte puede requerir consentimiento expreso.

Información mínima y capas

Debe informarse con claridad y lenguaje sencillo, accesible en 1–2 clics (por ejemplo, “política de cookies”). La primera capa incluirá: editor responsable, finalidades, si son propias o de terceros, tipos de datos, mecanismo para aceptar/rechazar e inclusión de enlace a la segunda capa con detalle.

La segunda capa detallará: definición y función de las cookies, tipos y finalidades, quién las utiliza, cómo aceptar/denegar/revocar, si hay transferencias internacionales, existencia de perfiles automatizados y los periodos de conservación por finalidad.

Consentimiento válido y a quién va dirigido

El consentimiento ha de ser libre, específico e informado, recabado de forma expresa (botones tipo “Aceptar” y configuración granular) o por una acción inequívoca tras informar. La inactividad no vale como aceptación.

Debe dirigirse al usuario/consumidor con opción real a rechazar sin impedir navegar, salvo funciones imprescindibles. Si el rechazo limita un servicio, se debe comunicar y ofrecer alternativa siempre que sea viable.

Formas de obtener consentimiento

Se puede recabar durante el alta, al personalizar la web, mediante plataformas de gestión (CMP), antes de usar un servicio concreto, con el sistema de capas o, con limitaciones, vía configuración del navegador.

Responsabilidades y deber de informar

Responden tanto el editor como los terceros implicados. El editor debe ofrecer información clara y enlaces operativos a terceros. Cada parte es responsable del tratamiento que realiza.

Buenas prácticas: indicar cómo gestionar cookies en cada navegador, y referenciar herramientas de terceros para bloqueo/gestión (p. ej., Cookiebot.com, Cookieserve.com, Webcookies.org) que ayudan a auditar y cumplir.

Cómo activar, gestionar y borrar cookies en tu navegador

Gestionar cookies es más fácil de lo que parece. Desde la configuración de privacidad de tu navegador puedes permitir, bloquear o borrar cookies por sitio o de manera general. Si las bloqueas por completo, algunas webs perderán funciones.

En Chrome: abre Configuración, Privacidad y seguridad, Configuración de sitios, Cookies y datos de sitios. Allí puedes ver “Todas las cookies y datos de sitios”, buscar por dominio y eliminar. También puedes configurar bloqueo/permitir por sitio.

En Microsoft Edge/Internet Explorer: ve a Configuración u Opciones de Internet, entra en Privacidad y ajusta el nivel o administra permisos por sitio.

En Firefox: abre Opciones/Preferencias, Privacidad y seguridad, Historial y elige “Usar una configuración personalizada para el historial” para permitir o no cookies, y gestionar excepciones.

En Safari (macOS y iOS): Preferencias/Ajustes, Privacidad, y ajusta el bloqueo de cookies y datos. En iOS, Ajustes > Safari > Privacidad y seguridad para bloquear o limpiar.

En Android (navegador o Chrome): menú > Ajustes > Privacidad y seguridad; habilita/deshabilita cookies y borra datos de navegación. En Windows Phone (Internet Explorer), Más > Configuración > Permitir cookies.

Cookies, personalización y publicidad: lo que debes saber

Las cookies técnicas o necesarias no suelen poder desactivarse en la capa de consentimiento porque sostienen funciones básicas de la web (flujo de datos, seguridad, finalización de compras, compartir contenido).

Las de preferencias guardan tu idioma, región o modo oscuro. Desactivarlas implica reconfigurar la web cada vez que vuelvas.

Las de análisis ofrecen métricas agregadas sobre qué se usa y dónde hay problemas; útiles para mejorar la web, pero prescindibles si priorizas privacidad.

Las publicitarias o de marketing crean perfiles a partir de tu navegación para mostrar anuncios adaptados. Puedes desactivarlas en la capa de cookies del sitio y revisar la personalización en paneles como myadcenter.google.com.

Los identificadores móviles publicitarios (como el de Android) pueden usarse con fines de medición; desde tu dispositivo puedes restablecerlos o limitar su uso.

¿De verdad necesito todas las cookies?

No hay una respuesta universal. Si valoras comodidad (seguir logueado, carrito intacto, idioma correcto), necesitarás las técnicas y seguramente parte de las de preferencias. Si apuestas por privacidad máxima, limita publicidad y análisis y revisa periódicamente el borrado.

Consejo práctico: acepta solo lo necesario al entrar en una web, ajusta el resto en “Configurar” y revisa el panel de privacidad de tu navegador cada cierto tiempo.

Preguntas rápidas y escenarios comunes

¿Me pueden rastrear sin consentimiento? En la UE, la regla general exige consentimiento para finalidades no esenciales (análisis, publicidad). Excepciones: cookies estrictamente necesarias. Aun así, tu navegación puede verse influida por factores contextuales (ubicación general, idioma, dispositivo).

¿Qué pasa si borro todas las cookies? Tendrás que iniciar sesión de nuevo, reconfigurar preferencias y volver a elegir opciones de consentimiento. Ganarás privacidad, pero perderás comodidad.

¿Puedo navegar sin cookies? Técnicamente sí, pero muchas webs no funcionarán como esperas. Puedes optar por bloquear las de terceros, permitir solo las técnicas y borrar el resto con frecuencia.

Herramientas y buenas prácticas de privacidad

Audita las cookies de tu sitio si eres editor con servicios como Cookiebot.com, Cookieserve.com o Webcookies.org para descubrir qué instala tu web y si cumples con la legislación vigente.

Como usuario, combina limpieza periódica de cookies con la revisión de la personalización de anuncios y, si lo necesitas, valora usar una VPN para separar tu IP pública de tu navegación (ten en cuenta que esto no desactiva cookies, pero añade una capa de privacidad de red).

Conocer las cookies es ganar control sobre tu experiencia online: identifica cuándo son imprescindibles, decide cuándo ceder datos para mejorar servicios y actúa con criterio en cada banner de consentimiento que aparezca.