Es llamativo entrar varias veces en determinadas páginas web y descubrir que algunos enlaces tienen distinto color, nos llevan a un lugar concreto de la página o muestran publicidad acorde con nuestros gustos. Incluso si estamos registrados, posiblemente los campos de usuario y contraseña se rellenen automáticamente para que solo pulsemos el botón de acceder. La navegación por Internet se está haciendo cada vez más rápida, sencilla y personalizada gracias a unas galletas digitales que no son tan dulces como parecen: las cookies.
¿Qué son las cookies?
El término cookie viene
de “magic cookie” que en el ámbito de
la informática se refiere al paquete de datos que un programa o software recibe
y envía. Llevado a la navegación por la red se trata de archivos de texto que
un servicio de internet descarga en un dispositivo para almacenar datos y
tratarlos. Hasta ahora eran a través de las páginas web desde donde se introducían
estos archivos cada vez que un usuario accedía, pero con la llegada de las
aplicaciones móviles también se crean ficheros para guardar información y
tratarla posteriormente.
En los inicios, las
cookies fueron creadas por Netscape
Communications como cestas de la
compra virtuales para guardar los artículos que el usuario elegía en una
aplicación de comercio electrónico. La utilidad era simplemente guardar en el
ordenador del usuario la relación de productos que este quería comprar en vez
de hacerlo en el servidor.
Datos que se guardan
Los más comunes son:
- Nombre de usuario y
contraseña
- Datos personales para darse
de alta en un servicio a través de un formulario
- Servicios o artículos
que pretenden contratar
- Navegación dentro del
dominio o página web
- Navegador, tipo de
dispositivo, sistema operativo
- Relación de páginas
visitadas
- Dirección IP, país,
fecha y hora y duración de la visita
- Palabras clave
utilizadas para la búsqueda de páginas web
- Datos de flujo de clics
de ratón
Tipos
Según quien crea las
cookies, su finalidad y duración, existen diferentes tipos:
1. Creador y gestor
- Propias. Cuando el editor que gestiona el dominio que presta el
servicio en internet es el que envía el archivo de texto al equipo del usuario.
Por ejemplo guardar los datos de inicio de sesión, determinar si el usuario
utiliza servicios gratuitos o de pago, las actividades del usuario en la web,
etc.
- De terceros. Cuando el editor envía cookies propias y las gestiona
un tercero creando una nueva cookie. Es el caso de empresas que utilizan la
tecnología del editor de la página web, socios o terceros a los que se acceden
a través de enlaces insertados en el dominio del editor. Por ejemplo, una
empresa de análisis de mercado necesita acceder a las cookies de las webs que
visitamos para poder crear informes de patrones generales. Previo acuerdo entre
las webs que visitamos y la de análisis de mercado, estas últimas pueden
consultar grupos de cookies de diferentes dominios y crear nuevas guardando los
resultados.
2. Finalidad
- Autenticación y seguridad. El objetivo es iniciar la sesión a
través de usuario y contraseña y proteger la seguridad verificando que no
pretende acceder otra persona.
- Personalización o Perfil del
usuario. Se trata de establecer el tipo de usuario: básico o Premium; el
idioma, país o ubicación para ofrecer determinado tipo de información según
donde esté el usuario; el tipo de dispositivo desde el que se conecta para
ofrecer un formato óptimo.
- Técnicas. Se crean para guardar información referente a los
servicios contratados, si son gratuitos o de pago; los productos que desea
comprar; acceso a determinadas áreas restringidas; opciones de privacidad en la
que el usuario establece qué información personal se hace pública o privada;
reglas establecidas para controlar el tráfico y las comunicaciones como por
ejemplo no descargar vídeos o imágenes cuando se navega a través de una tarifa
de datos.
- Análisis e investigación. Recopilación de información para conocer
en tiempo real el tráfico de una página web; qué zonas de la página se hace
clics con más frecuencia y crear los llamados mapas de calor; formas que el
usuario utiliza para buscar una página web o determinada información;
elaboración de patrones generales de visitas a sitios web.
- Publicitarias. Guardan información sobre cómo gestionar la
publicidad, con qué frecuencia se muestran los anuncios, qué tipo de anuncios.
-Publicidad comportamental. Almacena las preferencias del usuario,
sus hábitos de navegación, para crear un perfil y mostrar una publicidad más
personalizada.
- Zombis. Son un tipo de cookie que una vez eliminado el original se
crea una réplica a partir de copias de seguridad guardadas en un servidor o en una carpeta distinta a la que el
navegador utiliza. Su finalidad es recuperar información como la ID de usuario
y continuar el seguimiento de hábitos de navegación personal; rastrear a los
usuarios de todos los navegadores instalados en un mismo equipo; o recordar los
datos de inicio de sesión. Suelen instalarse en navegadores que tienen
desactivada la opción de guardar cookies.
3. Duración
- Temporales. Es borrada la cookie cada vez que se cierra el
navegador o la aplicación o cuando se establece una fecha determinada. Entre
este tipo se encuentran las cookies de sesión, diseñadas para recoger y almacenar
información mientras el usuario está en una página web.
- Permanentes o persistentes. A pesar de que se cierre el navegador o
aplicación y se apague el equipo, las cookies siguen guardadas indefinidamente.
En este caso el propio usuario puede entrar en la configuración del navegador y
borrarlas junto a otros datos como el Historial de navegación, contraseñas o
archivos almacenados en caché.
Cookies en Apps
Hace unos años se detectó
que gran parte de las aplicaciones móviles recopilan información personal y las
envían a las empresas propietarias de las aplicaciones; de los sistemas
operativos como Google (Android), Apple (iOS), Microsoft (Windows Phone); y terceras empresas de análisis de
mercados como Comscore, Omniture, Fiksu,
Criteo y Salesforce.
El Instituto Tecnológico de Massachusetts (MIT) realizó un informe en el que afirmaban que la mayoría de la
información recopilada no era necesaria para el funcionamiento de la aplicación
y su valor era altamente sensible.
La gestión de las cookies según la legislación
española y europea
La Ley de Servicios de la Sociedad de la Información y de Comercio
Electrónico en su artículo 22
establece que “Los prestadores de
servicios podrán utilizar dispositivos de almacenamiento y recuperación de
datos en equipos terminales de los destinatarios” (Cookies). Por tanto,
todo editor de páginas web puede guardar archivos de texto y almacenar en ellos
información para su posterior tratamiento.
Sin embargo, para que ese
tratamiento de datos se realice garantizando los derechos de privacidad, es
necesario que los usuarios “hayan dado su
consentimiento después de que se les haya facilitado información clara y
completa sobre su utilización, en particular, sobre los fines del tratamiento
de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal”.
De ahí la obligatoriedad
de insertar un enlace que lleve a una página web del dominio donde explique qué
son las cookies, el tipo de información que recogen y los fines de su
tratamiento.
El Reglamento General de Protección de Datos (RGPD) refuerza
la seguridad en el tratamiento de datos personales al exigir que “el consentimiento debe darse mediante un
acto afirmativo claro que refleje una manifestación de voluntad libre,
específica, informada, e inequívoca del interesado de aceptar el tratamiento de
datos de carácter personal que le conciernen, como una declaración por escrito,
inclusive por medios electrónicos, o una declaración verbal” (párrafo 32). En el caso de las cookies,
no solo es necesario el deber de información sino también que el responsable
sea “capaz de demostrar que [el
usuario] consintió el tratamiento de sus
datos personales” (artículo 7.1).
Por esta razón las
páginas web insertan un mensaje informando que, para una mejora del servicio o
para fines de investigación, es necesaria la creación de cookies en el
dispositivo del usuario y este debe dar su conformidad pulsando el botón de Aceptar insertado en el mensaje. Hasta que
el usuario no acepta expresamente pulsando el botón, la web no puede almacenar
cookies en su dispositivo. El acto de pulsar el botón permite al editor, como
responsable, demostrar el consentimiento.
Peligros de las cookies
Una cookie no es en sí
peligrosa puesto que se trata de un archivo de texto. La creación y
almacenamiento en un dispositivo no supone la entrada de virus informáticos. Sin
embargo, la importancia radica en el tipo de información que se almacena y la
posibilidad de que pueda ser robada por software malintencionado o recopilada
por ciertas web de terceros que la utilicen para realizar perfiles personales
de los usuarios.
Hay que tener en cuenta
que las cookies no están cifradas y cualquiera puede ver su contenido. Por esta
razón se recomienda que a la hora de entrar en una página web y aportar datos
personales se realice a través del Protocolo
seguro de transferencia de hipertexto HTTPS.
La forma más sencilla de saber si navegamos en una web segura, en la que el
intercambio de datos se realiza mediante cifrado, es observando que en la barra
de direcciones estén las siglas https:// junto con la dirección
URL. Si la página web que visitamos trabaja bajo http:// significa que no es
segura y los datos que se intercambian pueden ser interceptados por terceras
personas y leerlos sin dificultad.