Cookie de terceros

Una cookie de terceros es una cookie que un sitio web coloca en el disco duro de un usuario desde un dominio que no es el que está visitando el usuario.

Cookies de origen frente a cookies de terceros

Ambos tipos de cookies son bits de información que recopilan datos de los usuarios de la web. Ambos se utilizan normalmente para almacenar datos del usuario, como preferencias de navegación y personalización e información de seguimiento. La diferencia está en quién usa esos datos y para quién la cookie recopila datos.

Cookies de origen. El editor / propietario del sitio coloca una cookie de origen en un sitio web y recopila datos de usuario para el editor / propietario. A menudo se utilizan para mejorar la experiencia del usuario (UX) recordando las preferencias y la configuración del usuario. Los elementos agregados a los carritos de compras minoristas en línea, los nombres de usuario, las contraseñas y las preferencias de idioma son información que almacenan las cookies de origen. También pueden ser utilizados por el propietario de un sitio para proporcionar servicios; los chats en vivo son un ejemplo de esto.

Cookies de terceros. Una cookie de terceros es colocada en un sitio web por alguien que no es el propietario (un tercero) y recopila datos del usuario para el tercero. Al igual que con las cookies estándar, las cookies de terceros se colocan para que un sitio pueda recordar algo sobre el usuario en un momento posterior. Sin embargo, las cookies de terceros a menudo las establecen las redes publicitarias a las que un sitio puede suscribirse con la esperanza de aumentar las ventas o las visitas a la página.

Por ejemplo, un usuario visita un sitio web llamado news.com. Las cookies colocadas en este dominio por news.com son cookies de origen. Una cookie colocada por cualquier otro sitio, como un anunciante o un sitio de redes sociales, es una cookie de terceros.

Las cookies en general también pueden denominarse cookies HTTP, cookies web y cookies del navegador. Las cookies de terceros también pueden denominarse rastreadores.

Diagrama de cookies de terceros frente a propias

Un diagrama que contrasta las cookies de origen con las cookies de terceros.

Cómo funcionan las cookies de terceros

Las cookies de terceros funcionan incrustando JavaScript de un sitio web en otro. Un sitio web aloja la cookie de terceros mediante la incorporación de JavaScript de terceros. HTTP, el protocolo que se utiliza para la navegación web, es un protocolo sin estado, lo que significa que la información no se guarda entre sesiones de navegación. Las cookies recuerdan información con estado (información que se recuerda entre sesiones) en el entorno HTTP sin estado.

Al crear una cookie, los atributos de la cookie se especifican en el encabezado de respuesta HTTP que determina si la cookie es propia o de terceros. El atributo "SameSite" permite al creador de la cookie determinar si la cookie será una cookie de terceros o una cookie propia (cookie del mismo sitio). Cuando un usuario realiza una solicitud al navegador (realiza cualquier acción en el sitio), los atributos de las cookies determinan si se enviarán cookies junto con la respuesta y cuándo.

Por ejemplo, si un usuario de un sitio web solicita una imagen del mismo dominio del sitio (al hacer clic en la imagen, por ejemplo), la cookie con el atributo SameSite registrará la información del usuario. Si el usuario solicita una imagen de un sitio de terceros, donde el nombre de dominio no es el mismo, una cookie con el atributo SameSite no recopilará información del usuario en todos los sitios.

El atributo SameSite básicamente determina que la cookie será de primera parte. Dentro de SameSite, hay un par de descriptores.

  • Si el creador de la cookie establece SameSite en "Strict", la cookie será estrictamente propia y nunca se enviará en solicitudes entre sitios. Solo se activará cuando el dominio de ambas partes en el intercambio provenga del mismo dominio web. Esta configuración funciona bien para recordar las preferencias del usuario en el sitio, pero no funcionará para una solicitud proveniente de un enlace externo. Entonces, por ejemplo, si el usuario hace clic en el enlace de un sitio en un correo electrónico de un amigo, la cookie no se enviará porque el usuario proviene de un dominio diferente.
  • Si la cookie está configurada en "Lax", se enviará en determinadas solicitudes entre sitios. Laxa significa que la cookie se envía con navegaciones seguras de nivel superior (nivel superior significa que la URL cambia). Lax no permite que los sitios de terceros realicen POST o, en otras palabras, carguen información en el sitio del usuario original. Esto significa que se puede enviar una cookie de terceros con "Lax" cuando un usuario hace clic en un enlace al sitio de la cookie, pero no podrá cargar anuncios de otro sitio en un iframe, por ejemplo, ya que utiliza el comando HTTP POST. , que se considera menos seguro.
  • Si no se realiza ninguna especificación, todas las solicitudes están sujetas a cookies y, por definición, la cookie es una cookie de terceros. No restringe las solicitudes POST, que pueden ser utilizadas por anunciantes, redes sociales y otros terceros para cargar información desde su sitio. Esta falta de especificación hace que las cookies sean útiles para los anunciantes porque a menudo utilizan métodos que no se ajustan a los criterios de "SameSite = Strict" y "SameSite = Lax". Por ejemplo, un sitio externo realiza una solicitud GET que no cambia la URL como navegación de nivel superior. Esta acción (que puede ser una o request) está bloqueado por "Lax" y "Strict". No tener especificación permite ese tipo de comunicación, en la que una página se carga dentro de otra página. Esta es una forma común de que aparezcan anuncios en páginas web.

Por qué se utilizan cookies de terceros y quién las utiliza

Las cookies de terceros se denominan así porque provienen de un sitio web diferente al que se encuentra actualmente el usuario; en otras palabras, un tercero. Los anunciantes y las redes sociales los utilizan a menudo para monitorear la actividad de los usuarios en línea y para la segmentación por comportamiento. Esto es útil para los anunciantes porque los datos específicos del usuario pueden mejorar el éxito del anunciante al comercializar al usuario el producto correcto. Realizan un seguimiento de los usuarios en todos los dominios. Tanto los anunciantes como la plataforma de redes sociales dependen en gran medida de los datos del usuario para informar el contenido que seleccionan y crean. Las cookies de terceros permiten que los usuarios sean rastreados a través de los sitios, lo que crea una imagen más rica del comportamiento del usuario que la que pueden ofrecer las cookies de origen al recopilar solo datos del usuario cuando interactúan con el sitio del propietario. Se pueden crear perfiles de usuario a partir de estos datos para informar cómo se presentará la información al usuario, ya sea una ventana emergente publicitaria o una fuente de redes sociales.

Habilitar, deshabilitar y bloquear cookies en navegadores web

Las cookies de terceros a menudo se bloquean y eliminan a través de la configuración del navegador y la configuración de seguridad, como la política del mismo origen; de forma predeterminada, Mozilla Firefox bloquea todas las cookies de terceros; Chrome y Apple Safari también han comenzado a hacerlo recientemente. El bloqueo de las cookies de terceros no crea problemas de inicio de sesión en los sitios web (lo que puede ser un problema después de bloquear las cookies de origen) y puede resultar en ver menos anuncios en Internet. Sin embargo, bloquear todas las cookies a veces puede ocasionar problemas, ya que algunos sitios web dependen de las cookies de origen para funcionar correctamente.

Cómo habilitar o deshabilitar las cookies en navegadores populares:

  • Safari de Apple:
    • Abre Safari
    • Haz clic en Safari> Preferencias en la esquina superior izquierda de la pantalla
    • Haga clic en Privacidad. Aparecerá una opción para "Bloquear todas las cookies".
    • Marque la casilla junto a "Bloquear todas las cookies" para deshabilitar todas las cookies.
    • Desmárquelo para habilitar todas las cookies.
    • Comprobar el "Evite el seguimiento entre sitios:"opción para bloquear solo las cookies de terceros.
  • Google Chrome:
    • Abrir Chrome
    • Haga clic en el botón que parece tres puntos en la esquina superior derecha de la ventana del navegador
    • Desplácese hacia abajo hasta la sección Privacidad y seguridad.
    • Haga clic en cookies y otros datos del sitio. Se le presentarán las siguientes opciones
      • Permitir todas las cookies
      • Bloquear cookies de terceros en modo incógnito
      • Bloquear cookies de terceros
      • Bloquear todas las cookies (no recomendado)
    • Haga clic en la burbuja junto a la opción que más le corresponda.
  • Mozilla Firefox:
    • Abre Firefox
    • Haga clic en el botón de menú (se ve como tres líneas horizontales apiladas una encima de la otra). Seleccione opciones.
    • Seleccionar privacidad y seguridad. Esto presentará su configuración para una protección de seguimiento mejorada (incluidas las cookies).
    • Aparecen tres opciones:
      • Esto significa que todas las cookies están habilitadas excepto los rastreadores. Los rastreadores son, en la mayoría de los casos, los mismos que las cookies de terceros. Ésta es la configuración predeterminada.
      • Bloquea la mayoría de las cookies y puede hacer que los sitios se rompan.
      • Esto le permite elegir qué cookies se bloquean.

Firefox ofrece la opción de protección adicional contra los rastreadores de redes sociales. Por ejemplo, si un sitio contiene un botón "Me gusta" de Facebook en algún lugar de la página, Facebook puede rastrear la actividad de navegación del usuario en el sitio incluso si nunca se hace clic en el botón Me gusta.

Cookies de terceros y privacidad de datos

Las cookies de terceros, y las cookies en general, representan un riesgo significativo para la seguridad de los datos y algunos consideran que infringen los derechos de privacidad del usuario. Es por eso que todos los navegadores principales mencionados anteriormente ahora bloquean las cookies de terceros de forma predeterminada. En 2011, la Unión Europea aprobó la ley de cookies que requería que los usuarios estuvieran informados de las cookies con las que interactuarían al visitar un sitio.

Aunque no son peligrosas por sí mismas, las cookies pueden ser secuestradas y utilizadas por actores malintencionados para obtener información. Esto sucede cuando cualquier cookie relacionada con la autenticación no se transmite de forma segura. Por ejemplo, Kaspersky descubrió un troyano que roba cookies y que brinda a los piratas informáticos la capacidad de controlar las cuentas de redes sociales de las víctimas.

Las cookies relacionadas con la autenticación normalmente tendrán una bandera de seguridad que indica al navegador que solo acceda a la cookie mediante canales seguros (SSL / TLS). Si no se transmite a través de estos canales, los piratas informáticos pueden espiar y obtener acceso de forma ilegítima.

Otros ataques comunes que utilizan cookies en su método incluyen:

  • Falsificación de solicitudes entre sitios (CSRF)
  • Secuencias de comandos entre sitios (XSS)
  • Secuestro de sesión

¿Qué pasa con las cookies de terceros?

Ha habido un alejamiento general de las cookies de terceros. El bloqueo de cookies de terceros aumenta la privacidad y la seguridad del usuario, pero ha creado un problema para las empresas de servicios de publicidad / seguimiento de consumidores, que a menudo colocan anuncios que siguen a los usuarios en la web.

En combinación con la eliminación de cookies de terceros por otros medios, algunas empresas estiman que se eliminan el 40% de todas las cookies de terceros. Dado que afecta su supervivencia, los editores web han intentado socavar estos cambios mediante el uso de otras técnicas como las cookies de reaparición, las cookies Flash, las etiquetas de entidad (Etags) y la toma de huellas dactilares en el lienzo.

La toma de huellas digitales del navegador también está reemplazando las cookies de terceros como una forma de identificar a los usuarios en línea. Una huella digital del navegador consiste en una colección de detalles sobre el usuario, por ejemplo, el tipo de navegador que está usando, el contenido de la caché del navegador, la hora y la fecha y el sistema operativo. Recopila todos estos en un valor hash, y el recopilador de la información puede buscar esa misma combinación de detalles y seguir a los usuarios en la web con precisión.

Un grupo de investigadores de la Universidad de Cambridge descubrió que los teléfonos inteligentes son particularmente vulnerables a las huellas dactilares del navegador, en formas contra las que el usuario no puede protegerse. Si está en una computadora, los usuarios pueden tomar medidas para mitigar las huellas dactilares del navegador. Una forma sencilla es borrar la memoria caché del navegador; otras formas implican el uso de un navegador Tor, una ventana de incógnito o una variedad de complementos del navegador que limitan la exposición de los datos del usuario.