Las Cookies: galletas digitales poco dulces



Es llamativo entrar varias veces en determinadas páginas web y descubrir que algunos enlaces tienen distinto color, nos llevan a un lugar concreto de la página o muestran publicidad acorde con nuestros gustos. Incluso si estamos registrados, posiblemente los campos de usuario y contraseña se rellenen automáticamente para que solo pulsemos el botón de acceder. La navegación por Internet se está haciendo cada vez más rápida, sencilla y personalizada gracias a unas galletas digitales que no son tan dulces como parecen: las cookies.


¿Qué son las cookies?
El término cookie viene de “magic cookie” que en el ámbito de la informática se refiere al paquete de datos que un programa o software recibe y envía. Llevado a la navegación por la red se trata de archivos de texto que un servicio de internet descarga en un dispositivo para almacenar datos y tratarlos. Hasta ahora eran a través de las páginas web desde donde se introducían estos archivos cada vez que un usuario accedía, pero con la llegada de las aplicaciones móviles también se crean ficheros para guardar información y tratarla posteriormente.

En los inicios, las cookies fueron creadas por Netscape Communications como cestas de la compra virtuales para guardar los artículos que el usuario elegía en una aplicación de comercio electrónico. La utilidad era simplemente guardar en el ordenador del usuario la relación de productos que este quería comprar en vez de hacerlo en el servidor.


Datos que se guardan
Los más comunes son:

- Nombre de usuario y contraseña
- Datos personales para darse de alta en un servicio a través de un formulario
- Servicios o artículos que pretenden contratar
- Navegación dentro del dominio o página web
- Navegador, tipo de dispositivo, sistema operativo
- Relación de páginas visitadas
- Dirección IP, país, fecha y hora y duración de la visita
- Palabras clave utilizadas para la búsqueda de páginas web
- Datos de flujo de clics de ratón


Tipos
Según quien crea las cookies, su finalidad y duración, existen diferentes tipos:

1. Creador y gestor

- Propias. Cuando el editor que gestiona el dominio que presta el servicio en internet es el que envía el archivo de texto al equipo del usuario. Por ejemplo guardar los datos de inicio de sesión, determinar si el usuario utiliza servicios gratuitos o de pago, las actividades del usuario en la web, etc.

- De terceros. Cuando el editor envía cookies propias y las gestiona un tercero creando una nueva cookie. Es el caso de empresas que utilizan la tecnología del editor de la página web, socios o terceros a los que se acceden a través de enlaces insertados en el dominio del editor. Por ejemplo, una empresa de análisis de mercado necesita acceder a las cookies de las webs que visitamos para poder crear informes de patrones generales. Previo acuerdo entre las webs que visitamos y la de análisis de mercado, estas últimas pueden consultar grupos de cookies de diferentes dominios y crear nuevas guardando los resultados.

2. Finalidad

- Autenticación y seguridad. El objetivo es iniciar la sesión a través de usuario y contraseña y proteger la seguridad verificando que no pretende acceder otra persona.

- Personalización o Perfil del usuario. Se trata de establecer el tipo de usuario: básico o Premium; el idioma, país o ubicación para ofrecer determinado tipo de información según donde esté el usuario; el tipo de dispositivo desde el que se conecta para ofrecer un formato óptimo.

- Técnicas. Se crean para guardar información referente a los servicios contratados, si son gratuitos o de pago; los productos que desea comprar; acceso a determinadas áreas restringidas; opciones de privacidad en la que el usuario establece qué información personal se hace pública o privada; reglas establecidas para controlar el tráfico y las comunicaciones como por ejemplo no descargar vídeos o imágenes cuando se navega a través de una tarifa de datos.

- Análisis e investigación. Recopilación de información para conocer en tiempo real el tráfico de una página web; qué zonas de la página se hace clics con más frecuencia y crear los llamados mapas de calor; formas que el usuario utiliza para buscar una página web o determinada información; elaboración de patrones generales de visitas a sitios web.

- Publicitarias. Guardan información sobre cómo gestionar la publicidad, con qué frecuencia se muestran los anuncios, qué tipo de anuncios.

-Publicidad comportamental. Almacena las preferencias del usuario, sus hábitos de navegación, para crear un perfil y mostrar una publicidad más personalizada.

- Zombis. Son un tipo de cookie que una vez eliminado el original se crea una réplica a partir de copias de seguridad guardadas en un servidor  o en una carpeta distinta a la que el navegador utiliza. Su finalidad es recuperar información como la ID de usuario y continuar el seguimiento de hábitos de navegación personal; rastrear a los usuarios de todos los navegadores instalados en un mismo equipo; o recordar los datos de inicio de sesión. Suelen instalarse en navegadores que tienen desactivada la opción de guardar cookies.

3. Duración

- Temporales. Es borrada la cookie cada vez que se cierra el navegador o la aplicación o cuando se establece una fecha determinada. Entre este tipo se encuentran las cookies de sesión, diseñadas para recoger y almacenar información mientras el usuario está en una página web.

- Permanentes o persistentes. A pesar de que se cierre el navegador o aplicación y se apague el equipo, las cookies siguen guardadas indefinidamente. En este caso el propio usuario puede entrar en la configuración del navegador y borrarlas junto a otros datos como el Historial de navegación, contraseñas o archivos almacenados en caché.


Cookies en Apps
Hace unos años se detectó que gran parte de las aplicaciones móviles recopilan información personal y las envían a las empresas propietarias de las aplicaciones; de los sistemas operativos como Google (Android), Apple (iOS), Microsoft (Windows Phone); y terceras empresas de análisis de mercados como Comscore, OmnitureFiksu, Criteo y Salesforce.

El Instituto Tecnológico de Massachusetts (MIT) realizó un informe en el que afirmaban que la mayoría de la información recopilada no era necesaria para el funcionamiento de la aplicación y su valor era altamente sensible.


La gestión de las cookies según la legislación española y europea
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico en su artículo 22 establece que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios” (Cookies). Por tanto, todo editor de páginas web puede guardar archivos de texto y almacenar en ellos información para su posterior tratamiento.

Sin embargo, para que ese tratamiento de datos se realice garantizando los derechos de privacidad, es necesario que los usuarios “hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”.

De ahí la obligatoriedad de insertar un enlace que lleve a una página web del dominio donde explique qué son las cookies, el tipo de información que recogen y los fines de su tratamiento.

El Reglamento General de Protección de Datos (RGPD) refuerza la seguridad en el tratamiento de datos personales al exigir que “el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal” (párrafo 32). En el caso de las cookies, no solo es necesario el deber de información sino también que el responsable sea “capaz de demostrar que [el usuario] consintió el tratamiento de sus datos personales” (artículo 7.1).

Por esta razón las páginas web insertan un mensaje informando que, para una mejora del servicio o para fines de investigación, es necesaria la creación de cookies en el dispositivo del usuario y este debe dar su conformidad pulsando el botón de Aceptar insertado en el mensaje. Hasta que el usuario no acepta expresamente pulsando el botón, la web no puede almacenar cookies en su dispositivo. El acto de pulsar el botón permite al editor, como responsable, demostrar el consentimiento.


Peligros de las cookies
Una cookie no es en sí peligrosa puesto que se trata de un archivo de texto. La creación y almacenamiento en un dispositivo no supone la entrada de virus informáticos. Sin embargo, la importancia radica en el tipo de información que se almacena y la posibilidad de que pueda ser robada por software malintencionado o recopilada por ciertas web de terceros que la utilicen para realizar perfiles personales de los usuarios.


Hay que tener en cuenta que las cookies no están cifradas y cualquiera puede ver su contenido. Por esta razón se recomienda que a la hora de entrar en una página web y aportar datos personales se realice a través del Protocolo seguro de transferencia de hipertexto HTTPS. La forma más sencilla de saber si navegamos en una web segura, en la que el intercambio de datos se realiza mediante cifrado, es observando que en la barra de direcciones estén las siglas https:// junto con la dirección URL. Si la página web que visitamos trabaja bajo http:// significa que no es segura y los datos que se intercambian pueden ser interceptados por terceras personas y leerlos sin dificultad.