Publicado: abril 23, 2026, 9:24 pm
Cuando se accede a una página web, suele aparecer una ventana para aceptar las cookies o gestionar cuáles se quieren rechazar. En muchos casos, hay quienes le dan al botón de aceptar sin saber muy bien qué datos se están recopilando, mientras que otros que rechazan todas las opciones para mantener a salvo su privacidad. Sin embargo, lo que se ha sabido recientemente es que, incluso cuando los usuarios piden a los sitios web que no los rastreen, algunos navegadores como Google ignoran dicha solicitud en el 86% de los casos.
Así lo da a conocer la organización sin fines de lucro webXray en una auditoría forense, en la que analizó el tráfico web de varios sitios populares y descubrió que 194 servicios de publicidad seguían usando cookies de seguimiento incluso después de que los usuarios optaran por rechazar el rastreo.
Google, Meta y Microsoft rastrean a los usuarios aunque rechacen las cookies
La investigación de webXray analizó el tráfico web de miles de sitios populares en California y encontró que el 55% de las páginas incumplen con la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés). Además, la auditoría puso de relieve los mecanismos técnicos que utilizan los navegadores para eludir las preferencias de privacidad.
Uno de estos mecanismos es el Global Privacy Control (GPC, por sus siglas): cuando un usuario lo habilita, su navegador envía el encabezado sec-gpc: 1, que, según la ley de California, los sitios web deben respetar como una petición válida para no compartir datos personales. Sin embargo, la auditoría de webXray encontró los siguientes fallos:
- Google tiene una tasa de fallos del 86% porque los servicios de anuncios ignoran sistemáticamente la señal sec-gpc: 1 cuando la reciben, respondiendo con una orden para crear la cookie publicitaria ‘IDE’ de dos años.
- Meta posee una tasa de fallos del 69% porque el fragmento de píxel de seguimiento no tiene código para comprobar la señal GPC, por lo tanto, se activa incondicionalmente, registrando los eventos de seguimiento independientemente de la configuración de privacidad.
- Microsoft tiene una tasa de fallos del 50% porque, al igual que Google, la red de seguimiento recibe la GPC, pero devuelve de forma incondicional una cookie de seguimiento ‘MUID’ con una duración de un año.
Como conclusión, webXray revela que la gran mayoría de los avisos de cookies no protegen a los usuarios, e incluso no impiden los rastreos por parte de los navegadores.
Infringir la ley supone una multa económica bastante elevada
Los reguladores de California indican que ignorar las Condiciones Generales de Servicio (CGS) es un delito punible, pese a que las recientes medidas de cumplimiento de la CCPA han dado lugar a multas cuantiosas para las empresas que no procesan correctamente las solicitudes de exclusión voluntaria.
Según 404 Media, la auditoría de privacidad en California estima que estas infracciones continuadas podrían suponer una responsabilidad acumulada de 5.800 millones de dólares para el conjunto de la industria. No obstante, para mitigar las amenazas y evitar las multas, es recomendable que las compañías implementen estas estrategias:
- Los servidores de anuncios deben estar configurados para detectar el encabezado sec-gpc: 1 y descartar la solicitud de inmediato.
- Los administradores de sitios web tienen que envolver los scripts de seguimiento de terceros.
- Las organizaciones no pueden confiar plenamente en los banners de consentimiento de terceros, ya que los equipos de cumplimiento deben supervisar las solicitudes de red en tiempo real para comprobar que las cookies están bloqueadas.
