¿Qué son las Cookies?

Las cookies de la web nada tienen que ver con las dulces galletas y tan sólo comparten el nombre. Son trazas de información que se generan a partir de la navegación que realizamos. Aparentemente inofensivas, estas trazas son una importante fuente de información para empresas de publicidad online, aplicaciones estadísticas, para el seguimiento de la actividad de alguien, segmentar usuarios y, en casos extremos, espiar a alguien y violar su privacidad. El abuso en la utilización de las cookies está llevando, por ejemplo, a la Unión Europea y a sus países miembros a aplicar una nueva regulación mucho más dura con las empresas de contenidos y que, de verdad, garantice la privacidad de los usuarios.

Vamos a intentar ilustrar cómo funcionan estas trazas y dónde reside esta problemática que tanto preocupa a usuarios y autoridades.

¿Qué son las cookies?

Las cookies son trazas de información que se almacenan en el disco duro de un usuario y que se generan mientras navega por la web, es decir, conforme se van realizando peticiones a los servidores web y que, posteriormente, pueden ser recuperadas por los servidores en posteriores visitas.

Estas trazas fueron una idea de Lou Montulli, un antiguo empleado de Netscape Communications, que vio que el protocolo HTTP no era capaz de mantener información, por ejemplo, la página de la que venía, las credenciales de sesión de un usuario o sus preferencias, algo que obligaba que estos datos fuesen incluidos en la URL (lo cual no era nada seguro) o guardar estas preferencias en algún archivo que pudiese ser enviado al servidor cuando hiciese falta.

La idea era mantener la sesión de los usuarios (usuario-contraseña, preferencias, etc), obtener información sobre la navegación de los usuarios (páginas visitadas, tiempo de navegación, página de entrada, página de salida, etc) pero, realmente, la aplicación original era el comercio electrónico porque, así, se podía mantener en la cesta de la compra los elementos que se habían seleccionado durante la navegación por la tienda virtual.

¿Para qué sirven?

En el mundo de la web las cookies se utilizan habitualmente para segmentar muy bien a los usuarios y ofrecer una respuesta personalizada:

• Identificación de usuarios, es decir, cookies de sesión que mantienen activa la sesión en un servicio web y que, por ejemplo, permite que no tengamos que introducir nuestro usuario y contraseña cada vez que entramos en Facebook (si no hemos hecho un logout). Además, gracias a esta identificación activa, muchos sitios web pueden presentarnos un entorno personalizado o adaptado a una configuración que hemos personalizado (por ejemplo iGoogle).

• Seguimiento de usuarios, es decir, un track que sirve para analizar la navegación que realiza un usuario, por ejemplo, para un análisis estadístico. Las cookies, en general, son el fundamento para herramientas de analítica web como Piwik o Google Analytics y ofrecen información de las páginas que hemos visitado, de dónde procedemos, la resolución de nuestra pantalla, el navegador o el sistema operativo que estamos utilizando.

• La Segmentación es otro de los usos derivados de las cookies y, por ejemplo, permite a las empresas de anuncios obtener información de las preferencias, navegación realizada o los sitios web visitados. Toda esta información puede procesarse y obtener una interesante segmentación de usuarios que permita optimizar el lanzamiento de campañas de publicidad online.

Falsos mitos

Visto así, podría pensarse que las cookies son peligrosas. Realmente no lo son, sin embargo, mal utilizadas sí que pueden obtener más información de la que debieran. Quizás por desconocimiento o por el halo de mala prensa que existe alrededor de ellas, alrededor de estas trazas existen una serie de creencias y falsos mitos que habría que despejar:

• Las cookies no son ningún tipo de malware ni tampoco pueden infectar los archivos de los usuarios, comprometerlos o borrarles los datos de sus discos duros. Las cookies no son responsables de las ventanas emergentes o pop-ups. Las cookies no contienen ningún tipo de código HTML, su contenido son los datos de la navegación que hemos realizado y que se utiliza para con varios fines, tal y como ya hemos comentado.

Estos perfiles son habitualmente anónimos, es decir, no contienen información personal del usuario (nombre, dirección, etc). De hecho, no pueden contenerla a menos que el propio usuario la haya comunicado a alguno de los sitios visitados. Pero aunque anónimos, estos perfiles han sido objeto de algunas preocupaciones relativas a la privacidad.

Los riesgos de las cookies

Y es que, al contener datos de los usuarios, la preocupación de éstos es bastante lógica. De todas formas, la información que se almacena no contiene datos personales salvo, claro está, que el usuario haya comunicado alguno de estos datos a alguna de las páginas web visitadas, lo cual las coloca en el punto de mira cada vez que se habla de la privacidad de los usuarios.

Uno de los mayores problemas que surge con las cookies es el de las cookies de terceros, es decir, cuando se accede a una página web que tiene contenido almacenado en servidores de un tercero que se encuentra en un dominio distinto. Este es el caso más habitual en la publicidad online que, normalmente, proviene de un proveedor distinto al de la página que visitamos y que vende este espacio a las empresa anunciante.

Si una empresa de publicidad online, que opera en un dominio concreto, es capaz de generar una cookie en nuestro ordenador al visitar una página que nada tiene que ver con el dominio de la empresa anunciante, si está presente en múltiples páginas web, va ser capaz de detectarnos cada vez que entremos en una página que esté dentro de su ámbito de influencia. Esta capacidad para seguir lo que hacemos y "atar cabos" ha preocupado mucho a usuarios y administraciones públicas y ha propiciado la redacción de legislaciones para controlar estas actividades.

¿Y además de la privacidad qué problemas pueden entrañar las cookies?

Las cookies identifican un usuario sobre un navegador concreto y un ordenador concreto, por tanto, la identificación de un usuario depende de estos tres factores. Si, por ejemplo, trabajamos en un ordenador compartido y no cerramos las sesiones que tenemos abiertas en servicios web (como Twitter o Facebook por ejemplo) en nuestros navegadores, si ésta no ha caducado, cualquiera podría usar nuestras sesiones abiertas, suplantarnos o cambiarnos la contraseña y perder el control de la cuenta.

El otoño pasado, Firesheep nos puso en alerta con el robo de credenciales de sesión en redes inalámbricas de uso público y, precisamente, la gracia de esta extensión de Firefox estaba en la demostración de cómo la gran mayoría de servicios web enviaban las cookies de sesión en abierto y, por tanto, podrían ser interceptadas. Al enviarse las cookies en abierto y, además, contener datos de sesión, podían utilizarse para acceder a estos servicios desde otro ordenador y suplantar al usuario. El robo de cookies es un gran problema que no solo se da en redes inalámbricas puesto que también suele pasar en páginas web que han sido pirateadas y que se hacen con las cookies de sesión de los usuarios para procesarlas y suplantarlos.

Aunque las cookies se almacenan en nuestro ordenador y se presupone que el usuario no las modifica, un sitio web que no controle la modificación de éstos archivos podría ser susceptible de recibir cookies modificadas que, por ejemplo, podrían alterar la actividad realizada (una compra). Estos casos son ya residuales puesto que, hoy en día, las cookies sólo incluyen un identificador unívoco y el resto de datos se almacenan en el servidor web.

Otro caso residual, que ocurría en navegadores poco seguros, era el intercambio de cookies entre sitios conocido como cross-site cooking y que consistía en la posibilidad de que un sitio web modificase las cookies de otro sitio web distinto, haciendo que un sitio web usase las cookies de otro sitio distinto (lo cual no puede permitirse).

La legislación europea

En Europa, la Comisión Europea no ha prohibido el uso de las cookies, como se ha dicho en algún que otro sitio, sino que pone el control del uso en manos de los usuarios. Los sitios web deberán pedir permiso a los usuarios para poder utilizar cookies y almacenarlas, salvo aquellas que sean absolutamente imprescindibles para el normal uso de un sitio web en el que el usuario se haya registrado.

Muchos sitios web se quejaron porque tener que aceptar o denegar la generación de cookies podría empañar la navegación por un sitio web, sin embargo, según la Comisión Europea, no hay tal molestia si los navegadores se adaptan a esta legislación y almacenan los sitios web en los que se permite usar cookies y los que no (algo que la gran mayoría ya incluye). La Comisión quiere garantizar la privacidad de la navegación de los usuarios y cortar el abuso que se ha hecho con respecto a la información que se ha extraído de ellas y que, la gran mayoría de usuarios desconocían por completo, sobre todo con las cookies de terceros. Otro detalle importante es que, tras la entrada en vigor de esta regulación, los sitios web deberán informar de manera clara y sencilla de lo que van a hacer con las cookies e indicarlo claramente en el momento de pedir autorización.

¿Y dónde se recoge esto? En las directrices definidas en la directiva europea 2009/136/CE sobre la privacidad en materia de telecomunicaciones:

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

¿El problema? Que esta regulación tendría que haber entrado en vigor en el mes de mayo y en 20 de los países de la Unión Europea aún no se ha realizado la transposición de esta directiva y, por tanto, aún no se ha aplicado la norma.

Algunos consejos para mejorar nuestra privacidad

La "directiva de las cookies" sólo tiene aplicación a nivel europeo, en el resto de países, los usuarios pueden seguir algunas pautas que eviten que algunos sitios web obtengan mucha más información de la que deberían y, además, nos pueda ahorrar algún que otro disgusto:

• Es importante leer las políticas de privacidad de los sitios web que recopilan datos personales. Nuestros datos son nuestros y, por tanto, debemos velar por un buen uso de éstos. Quizás pueda resultar aburrido o repetitivo pero es importante conocer qué hace una página web con los datos que recopila.

No facilitar datos personales o aceptar cookies de páginas web que carezcan de una política de privacidad clara.

Si estamos en un ordenador de uso compartido, es importante cerrar las sesiones abiertas en páginas web (logout) o, en su defecto, utilizar los métodos de navegación privada que, precisamente, al cerrar la ventana eliminan cualquier rastro de la navegación (cookies incluidas).

• Revisar la configuración de nuestro navegador y ser algo más conscientes de la información que estamos "regalando". Por ejemplo, en Chrome (En el apartado avanzado de las opciones, en privacidad) podemos configurar el comportamiento del navegador ante las cookies y, en dicho lugar, podremos definir una lista negra de páginas a las que bloquearemos las cookies, otras a las que sí se las aceptaremos y, finalmente, aquellas que se borrarán al cerrar la sesión del navegador. En Firefox podemos encontrarlo, dentro de opciones, en privacidad y ahí podremos definir nuestra lista negra (o blanca) e indicar si aceptamos cookies de terceros, al igual que en Internet Explorer.