Borrador del TAG del W3C: "Las cookies de terceros deben eliminarse de la web"

 (w3ctag.github.io)
4 puntos por GN⁺ 2025-05-03 | 1 comentarios | Compartir por WhatsApp
  • Las cookies de terceros (third-party cookies) se consideran una tecnología que vulnera gravemente la privacidad de las personas, por lo que deben eliminarse de la plataforma web
  • Siguiendo los principios de diseño web centrados en la privacidad, varios navegadores ya introdujeron el bloqueo de cookies de terceros, y todos los navegadores deberían sumarse
  • Las funciones útiles existentes, como inicio de sesión, autenticación y seguimiento publicitario basados en cookies, deben reemplazarse por nuevas tecnologías orientadas a propósitos específicos
  • Es indispensable evaluar las tecnologías alternativas tanto de manera individual como considerando sus interacciones dentro de todo el ecosistema web
  • Los estándares web deben mantener la neutralidad para reforzar la privacidad sin quedar atados a un modelo de negocio específico

Third Party Cookies Must Be Removed

  • Las cookies de terceros rastrean información de los usuarios web entre distintos sitios y funcionan como un elemento que vulnera la privacidad
  • Este documento es un texto de consenso del W3C Technical Architecture Group (TAG) que explica por qué deben eliminarse las cookies de terceros y por qué se necesitan tecnologías alternativas

1. Introduction

  • La privacidad en la web es un principio central de diseño, y se busca garantizarla mediante diversos documentos y herramientas
  • Algunos navegadores ya bloquean las cookies de terceros, pero se necesita una respuesta coherente de todos los navegadores
  • La eliminación no es sencilla, y se requieren consideraciones técnicas para mantener las funciones existentes

2. Why remove third party cookies?

  • Las cookies fueron diseñadas originalmente para reconocer a los visitantes de un sitio, pero luego su uso se amplió a seguimiento, publicidad y prevención de fraude, entre otros fines
  • Las cookies de terceros son una tecnología clave de las redes de seguimiento, y recopilan y comparten datos sin que el usuario lo sepa
  • Esta centralización puede frenar la innovación y generar problemas de evasión de responsabilidades
  • Las violaciones a la privacidad también se relacionan con la libertad de expresión, la salud de las comunidades y el debilitamiento del control de los usuarios

3. Use cases previously met by third-party cookies

  • El inicio de sesión, el single sign-on, la autorización de acceso a recursos entre sitios y la detección de fraude dependen actualmente de las cookies de terceros
  • Lo mismo ocurre con la medición y segmentación publicitaria, y las tecnologías alternativas deben satisfacer estas necesidades
  • Las nuevas API pueden habilitar posibilidades de seguimiento cuando se combinan, por lo que se necesita diseño cuidadoso y supervisión

4. Leaving the web better than we found it

  • Las nuevas propuestas tecnológicas deben demostrar claramente que no perjudican la privacidad
  • En especial, para propuestas relacionadas con perfilado, reconocimiento de usuarios y compartición de datos entre contextos, se recomienda una revisión independiente
  • Ni los navegadores ni los sitios deben eludir o debilitar estas mejoras
  • El ecosistema web debe ser neutral respecto a los modelos de negocio, y no debe incorporar estructuralmente un modelo de ingresos específico
  • En conclusión, se requiere introducir tecnologías alternativas con cautela para evitar que se conviertan en un nuevo medio para mantener las tecnologías de vigilancia existentes

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-05-03
Opiniones de Hacker News

  • Este artículo se siente muy extraño, y uno se pregunta si realmente forma parte del proceso de trabajo del W3C

    • Capítulo 2: señala que las cookies de terceros se volvieron malas
    • Capítulo 3: dice que hay casos de uso legítimos para las cookies de terceros y advierte que las nuevas tecnologías pueden combinarse para rastrear a los usuarios
    • Capítulo 4: sostiene que las nuevas tecnologías de la plataforma web podrían empeorar el problema de las cookies de terceros, así que hay que resolverlo rápido
    • Como no conoce bien el contexto cultural del W3C, supone que este documento podría ser un borrador que después se va a pulir

  • La "tecnología alternativa" ya se está redactando, y se añadirá a las cookies de terceros

    • Según la investigación de Google, eliminar las cookies de terceros reduce los ingresos, y el rastreo "con protección de privacidad" aumenta los ingresos
    • Por lo tanto, usarán ambos métodos

  • Un caso de uso legítimo para las cookies de terceros es mantener la sesión en un solo sitio lógico que abarca varios dominios

    • Se pregunta si existen otros casos
    • Personalmente, preferiría que ni siquiera las cookies de primera parte se usaran en contextos de terceros
    • Preferiría eliminar por completo las cookies y usar certificados de cliente para rastrear el estado

  • Si se eliminan las cookies de terceros, los rastreadores pedirán que se incluya su script en los sitios web para convertir las cookies en "de primera parte"

    • Se necesitan protecciones que eviten el rastreo en sí, no solo un método específico de rastreo

  • El problema de las cookies es solo superficial; si JavaScript está activado, se puede rastrear incluso sin cookies

    • Hace falta más esfuerzo para que las especificaciones web impidan rastrear a los usuarios incluso con JavaScript habilitado
    • Navegadores como Brave y Firefox no están haciendo nada al respecto
    • Se pregunta si, para tener privacidad real, hay que usar un navegador con JavaScript desactivado

  • Google no implementará esta especificación

    • Actualmente no está permitido legalmente, y los anunciantes sostienen que no pueden competir sin cookies de terceros
    • Google ampliará Privacy Sandbox y retirará su plan de bloqueo

  • Entre los casos de uso que requieren soluciones específicas están la identidad federada, la autorización de acceso a recursos entre sitios y la prevención de fraude

    • Sostiene que no hay forma de garantizar la privacidad en la prevención de fraude
    • Hay que aceptar el fraude como costo del negocio o renunciar a la privacidad

  • Mientras Google controle Chrome, esta discusión está vacía

    • Si los reguladores obligaran a Google a vender Chrome, no espera que el nuevo dueño logre un resultado mejor

  • Siempre ha bloqueado las cookies de terceros, y el único problema es que algunos videos incrustados en páginas web no se reproducen

  • Si se eliminan las cookies de terceros sin una forma de reemplazarlas, la toma agresiva de huellas digitales se volverá universal