¿Muestra document.cookie todas las cookies?

No. Las cookies HttpOnly permanecen del lado del servidor desde la perspectiva de JavaScript. Los desarrolladores solo ven las cookies legibles intencionalmente por script asociadas a la ruta efectiva y a las reglas de SameSite para el contexto de navegación actual.

¿Qué demuestra una sonda de cookies de origen (first-party)?

Demuestra que este origen puede establecer, leer y eliminar una cookie temporal con SameSite=Lax, un paso práctico para flujos de inicio de sesión, carritos de compra e instrumentación. No demuestra que los anunciantes de terceros sigan pudiendo etiquetarte en varios sitios.

¿Por qué podría fallar localStorage pero funcionar las cookies?

El modo privado, las políticas de TI o la partición del almacenamiento pueden lanzar un error SecurityError para las API de almacenamiento, mientras siguen respetando los contenedores de cookies limitados. Trata cada API como una compuerta independiente al depurar aplicaciones web de una sola página (SPAs) que no funcionen.

¿Es Global Privacy Control legalmente vinculante?

GPC comunica una preferencia de exclusión voluntaria (opt-out) donde las regulaciones y la jurisprudencia econocen las señales automatizadas. El cumplimiento operativo sigue dependiendo del alcance de la jurisdicción, los contratos y la interpretación del editor, no de un simple booleano en JavaScript.

10 de junio de 2026 · 7 min de lectura

Comprobador del estado de cookies y seguimiento — Lo que expone tu navegador (2026)

Comprende las sondas de cookies de origen, los puntos ciegos de HttpOnly, los fallos del almacenamiento web, Global Privacy Control y por qué las páginas aisladas (sandboxed) no pueden auditar todos los rastreadores.

Un "control de cookies" moderno no es un simple botón de activación basado en sensaciones en la Configuración; es una pila estructurada de cookies síncronas, almacenamiento DOM, bases de datos estructuradas, cuotas y señales de privacidad salientes. Los consumidores quieren saber si el seguimiento está "desactivado", pero los ingenieros necesitan respuestas precisas: ¿El navegador lanzó un error en localStorage.setItem? ¿Discrepa navigator.cookieEnabled con la sonda de escritura? ¿Anuncia el Global Privacy Control una exclusión voluntaria?

Este artículo explica qué puede mostrar un diagnóstico responsable en el navegador en 2026, qué no debe afirmar y cómo emparejar nuestra herramienta de Estado de cookies y seguimiento con comprobaciones adyacentes (detección del navegador, revisión del UA, contexto DNS) cuando las escaladas llegan a los equipos de soporte.

¿Qué puede "ver" JavaScript legalmente sobre las cookies?

document.cookie devuelve una lista de pares nombre=valor delimitados por punto y coma que el documento actual puede leer. Quedan omitidos inmediatamente los indicadores HttpOnly, las cookies Secure en esquemas incorrectos, las cookies fuera de origen y las cookies de terceros particionadas que residen en contenedores de almacenamiento separados. El historial de Prevención de Seguimiento Inteligente (ITP) de Safari, el calendario de obsolescencia de cookies de terceros de Chrome y la Protección de Seguimiento Mejorada de Firefox influyen en qué cookies aparecen tras los eventos de navegación.

Superficie	¿Observable desde script?	Modo de fallo típico
Sesión del mismo sitio `SameSite=Lax`	Sí (si no es HttpOnly)	Extensiones de bloqueo, políticas de empresa
Token de actualización de autenticación (HttpOnly)	No — por diseño	Reducción del radio de impacto de XSS
Cookie de iframe de pago incrustado	Posible tras solicitudes de Storage Access	Gesto del usuario + reglas de múltiples sitios
Etiqueta publicitaria en iframe de terceros	Requiere marco asociado + políticas	Almacenamiento particionado, 3P bloqueado

Cómo se comporta la sonda de origen (first-party)

El diagnóstico emite un token aleatorio, escribe path=/ con SameSite=Lax, verifica que document.cookie incluya el token y luego pone a cero Max-Age. Si algún paso falla (algo común en perfiles reforzados), la interfaz de usuario marca bloqueo estricto para que el control de calidad (QA) pueda correlacionar matrices de extensiones sin asumir que navigator.cookieEnabled es autoritativo.

document.cookie = `${token}=1; path=/; SameSite=Lax; Max-Age=60`;
const ok = document.cookie.split(";").some((pair) => pair.trim().startsWith(`${token}=`));
document.cookie = `${token}=; path=/; SameSite=Lax; Max-Age=0`;

Contrasta eso con el lavado de privacidad (privacy washing): un sitio que afirma "solo usamos cookies esenciales" mientras envía veinte píxeles de marketing de terceros seguirá fallando en la revisión de políticas, incluso si el fragmento anterior tiene éxito.

El almacenamiento web no es un clon de las cookies

localStorage y sessionStorage lanzan errores cuando los modos de privacidad restringen la persistencia, cuando se supera la cuota o cuando el acceso al almacenamiento se particiona para iframes que carecen de activación por parte del usuario. IndexedDB cubre conjuntos de datos estructurados sin conexión; la API de caché almacena activos de service workers. Comprobar la disponibilidad booleana te indica si los arranques de las SPA pueden hidratar indicadores de características en el lado del cliente, algo distinto de si se cargan las etiquetas de marketing.

navigator.storage.estimate() expone el uso frente a la cuota cuando está permitido, ayudando a depurar incidentes en los que una PWA se vuelve repentinamente de "solo lectura" después de que las herramientas de copia de seguridad del SO llenen el disco del perfil.

Señales más allá del almacenamiento: DNT y GPC

navigator.doNotTrack sigue siendo legible para paneles heredados, pero rara vez cambia el comportamiento de las subastas de anuncios. Global Privacy Control — cuando navigator.globalPrivacyControl === true — comunica una postura de exclusión voluntaria que algunos marcos asocian a las prohibiciones reguladas de venta/compartición. Mostrar ambos educa a las partes interesadas en el cumplimiento normativo sin pretender que ninguno de ellos reemplace a una Plataforma de Gestión de Consentimiento (CMP).

Las comprobaciones de la API de acceso al almacenamiento importan más para los flujos incrustados: document.hasStorageAccess() responde si el marco actual recibió acceso delegado, lo cual es menos relevante en una página editorial de nivel superior pero crítico al reproducir fallos en ventanas emergentes de Apple Pay o OIDC.

Por qué esto no es un CMP ni una lista de rastreadores

Las plataformas de gestión de consentimiento categorizan proveedores, bases legales, textos de banners y selectores granulares. Nuestra herramienta nunca almacena cadenas del Marco de Transparencia y Consentimiento de la IAB; solo responde a preguntas de infraestructura: "¿Puede este navegador persistir el estado de origen usando las API estándar ahora mismo?". Combina esto con paneles de red, gestores de etiquetas y búsquedas en /dns cuando persigas llamadas entre sitios.

Orientación operativa para equipos de soporte

Pide a los usuarios que ejecuten el diagnóstico en una ventana de incógnito sin extensiones y luego con su perfil corporativo. Los resultados divididos aíslan las políticas frente a conflictos de extensiones. Combínalos con ¿Cuál es mi navegador? y ¿Cuál es mi User Agent? antes de abrir incidencias con los proveedores de identidad.

Abre ¿Cuál es mi estado de cookies y seguimiento? para ver la tabla en vivo que resume el resultado de la sonda, el recuento de cookies visibles por script, la salud de las API de almacenamiento, las estimaciones de cuota, las sugerencias de Storage Access y la visibilidad de DNT/GPC; no se sube nada más allá de las analíticas normales del sitio descritas en nuestra Política de privacidad.