Estado de Cookies y Rastreo

El panel anterior escribe una cookie persistente de corta duración de origen (first-party) en este nombre de host, la lee de vuelta e inspecciona si localStorage, sessionStorage e IndexedDB son utilizables en su sesión actual. También informa las señales Do Not Track y Global Privacy Control si su navegador las expone. Lo que no puede hacer es contar las cookies de terceros (eso requiere un iframe incrustado de otro origen) o listar cookies marcadas como HttpOnly (estas están ocultas de JavaScript por diseño). Escribí esta página después de una interrupción en el sistema de pago de Stripe que me llevó horas diagnosticar porque no tenía una forma rápida de confirmar si se estaban escribiendo cookies en el navegador del usuario.

Qué comprueba realmente esta página

Esta es una prueba de diagnóstico de origen (first-party). Todo lo que comprueba está limitado a la interacción entre su navegador y whatismytools.com. No puede ver el estado de su navegador en otros sitios y no puede ver cookies HttpOnly. Dentro de ese ámbito, se ejecutan cuatro comprobaciones.

Escritura y lectura de cookies de origen (first-party). Se establece una cookie con un nombre único y SameSite=Lax, e inmediatamente se vuelve a leer. Si la lectura es exitosa, las cookies funcionan para este origen en su sesión actual.
Almacenamiento web (Web Storage). Se prueban localStorage y sessionStorage mediante la escritura y lectura de una cadena pequeña. Ambos pueden fallar independientemente de las cookies, especialmente en los modos de navegación privada.
IndexedDB. Se abre y cierra una base de datos de prueba. Un fallo aquí suele significar que un perfil de privacidad estricto o una política de modo quiosco bloquean el almacenamiento persistente.
Señales de privacidad. La página lee navigator.doNotTrack y navigator.globalPrivacyControl si están expuestos. Su ausencia no significa que no tenga derechos de privacidad; solo significa que su navegador no está anunciando una preferencia de exclusión de forma programática.

Cabe destacar que el panel no le dice cuántas cookies están almacenadas en su máquina, qué terceros han establecido cookies en otros sitios o qué socios publicitarios pueden reconocerlo en diferentes sitios web. Los navegadores ocultan intencionadamente esa información de JavaScript. Para obtener esas respuestas, use el inspector de almacenamiento integrado de su navegador (DevTools → Aplicación → Almacenamiento en Chrome y Edge, Inspector de almacenamiento en Firefox, pestaña Almacenamiento en el Inspector web de Safari).

Cookies de origen (first-party) frente a cookies de terceros (third-party) en 2026

Una cookie de origen (first-party) es establecida por el sitio cuya URL está en su barra de direcciones. Una cookie de terceros (third-party) es establecida por un origen diferente incrustado en la página, normalmente a través de un <iframe>, <img> o un script de terceros. Ambos tipos usan el mismo mecanismo de cookies HTTP definido en el RFC 6265; la diferencia es puramente sobre qué origen las estableció y a qué sitio se envían de vuelta.

Durante dos décadas, la industria de la publicidad utilizó cookies de terceros para reconocer a los usuarios en diferentes sitios. Un píxel de seguimiento en news.example.com y el mismo píxel en shop.example.com leían la misma cookie de terceros, lo que permitía al rastreador crear un perfil que abarcaba ambas visitas. Ese modelo se está desmantelando.

El estado actual de las cookies de terceros, según el navegador:

Safari bloquea las cookies de terceros de forma predeterminada desde 2020 a través de Intelligent Tracking Prevention (ITP). El bloqueo es total: no se envían cookies de terceros, incluso con el consentimiento del usuario.
Firefox bloquea las cookies de seguimiento de forma predeterminada a través de Enhanced Tracking Protection (ETP), utilizando una lista mantenida de rastreadores conocidos. El modo estricto bloquea todas las cookies de terceros; el modo estándar (el predeterminado) bloquea los rastreadores conocidos y divide el resto por sitio de nivel superior.
Brave bloquea todas las cookies y el almacenamiento de terceros a nivel de escudos. Los escudos agresivos también aleatorizan las señales de huella digital (fingerprinting).
Chrome pasó cinco años prometiendo eliminar gradualmente las cookies de terceros, luego revirtió su decisión en 2024 y ahora ofrece una opción a través de Privacy Sandbox. Las cookies de terceros siguen estando permitidas de forma predeterminada en Chrome a menos que el usuario active la nueva protección de seguimiento.
Edge utiliza una configuración predeterminada equilibrada que bloquea los rastreadores conocidos sin bloquear todas las cookies de terceros.

El mecanismo de reemplazo para el estado legítimo entre sitios (como el inicio de sesión federado o los widgets de pago incrustados) es CHIPS (Cookies con estado particionado independiente). Un sitio establece una cookie con el atributo Partitioned, y el navegador la almacena vinculada al sitio de nivel superior que cargó el elemento incrustado. Esta es la forma correcta de implementar widgets incrustados en 2026.

Cómo evolucionó la protección contra el seguimiento

La protección contra el seguimiento en los navegadores evolucionó en tres grandes etapas, y la posición actual de cada navegador refleja la etapa en la que se integró.

Etapa uno (2014 a 2018): exclusión voluntaria del usuario (opt-in). Los navegadores incluyeron configuraciones para bloquear cookies de terceros. Casi nadie las usaba. Se añadió Do Not Track como una señal de encabezado. Casi ningún sitio la respetaba. Esta era demostró que un modelo de exclusión voluntaria no protege a nadie que no sepa de antemano que debe excluirse.

Etapa dos (2018 a 2023): bloqueo predeterminado con listas de permitidos. Safari lanzó Intelligent Tracking Prevention en 2017 y lo convirtió en la opción predeterminada. Firefox le siguió con Enhanced Tracking Protection. Ambos utilizan una lista de rastreadores conocidos mantenida por el proveedor del navegador, además de heurísticas para detectar el reconocimiento entre sitios. Brave se basó en esta premisa desde el primer día. La documentación de ITP de WebKit sigue siendo la explicación más clara de cómo funciona.

Etapa tres (2024 en adelante): reemplazos estructurados. Privacy Sandbox de Chrome intenta ofrecer reemplazos que preserven la privacidad para la publicidad segmentada: Topics API (categorías de interés calculadas localmente), Attribution Reporting (medición de conversión de anuncios sin identificar usuarios) y CHIPS (cookies particionadas). Firefox y Safari se muestran escépticos y no los han adoptado. El resultado es un panorama confuso a mediados de la década de 2020 donde lo que funciona depende en gran medida del navegador que esté utilizando.

Una cookie es un par clave-valor junto con un pequeño conjunto de atributos que controlan dónde y cómo se envía. Cinco de esos atributos realizan la mayor parte del trabajo en sistemas de producción.

Set-Cookie: session_id=abc123;
  Domain=example.com;
  Path=/;
  Max-Age=2592000;
  Secure;
  HttpOnly;
  SameSite=Lax;
  Partitioned

Secure: la cookie solo se envía a través de HTTPS. Requerido para cookies de sesión en cualquier sitio no trivial. Requerido para cualquier cookie con SameSite=None.
HttpOnly: la cookie no se puede leer desde document.cookie. Requerido para tokens de sesión para evitar el robo basado en XSS. Esta página informa una cookie HttpOnly como “no visible” porque no puede verla; ese es el comportamiento correcto y significa que el sitio está haciendo lo correcto.
SameSite: Strict envía la cookie solo en solicitudes del mismo sitio, Lax también la envía en navegaciones de nivel superior, None la envía en todas las solicitudes pero requiere Secure. El valor predeterminado desde Chrome 80 es Lax, lo que rompió muchas integraciones incrustadas en 2020 y sigue siendo la causa de la mitad de los errores de cookies que veo.
Max-Age: vida útil en segundos. Expires es un equivalente más antiguo que utiliza una fecha absoluta. Sin ninguno de los dos, la cookie es una cookie de sesión y se elimina cuando se cierra el navegador. ITP de Safari limita las cookies persistentes establecidas por el cliente a siete días, independientemente de lo que especifique.
Partitioned: opta por el almacenamiento CHIPS cuando la cookie se carga en un contexto de terceros. Sin él, los navegadores modernos rechazan o aíslan las cookies de terceros.

Cómo borrar las cookies correctamente

“Borrar todas las cookies” rara vez es lo que desea. Le cierra la sesión en todas partes, rompe sus carritos de compra y restablece las preferencias de cada sitio. El borrado por sitio suele ser la herramienta adecuada.

Chrome y Edge: Haga clic en el candado en la barra de direcciones → Cookies y datos del sitio → revise y elimine las entradas del sitio actual. Para borrar todo: Configuración → Privacidad y seguridad → Borrar datos de navegación → Cookies y otros datos de sitios.

Firefox: Configuración → Privacidad y seguridad → Cookies y datos del sitio → Administrar datos le permite eliminar cookies de sitios individuales. El candado en la barra de direcciones también ofrece Borrar cookies y datos del sitio.

Safari: Ajustes → Privacidad → Gestionar datos de sitios web. Puede buscar por sitio y eliminar entradas específicas. Safari también elimina automáticamente las cookies de los sitios que no ha visitado en 30 días, según ITP.

Un detalle: borrar las cookies no elimina localStorage, sessionStorage o IndexedDB. Un sitio que almacena su sesión en localStorage sobrevivirá a un borrado de cookies. Las interfaces de usuario de los navegadores etiquetan esta colección como “datos del sitio” o “contenido web almacenado en caché” según el proveedor. Para restablecer por completo un sitio, elimine los datos del sitio en el inspector de almacenamiento o use la opción de “borrar todos los datos del sitio” del navegador para ese origen.

Comparativa de la protección contra el seguimiento de los navegadores

La página de pago de un cliente funcionaba en Chrome pero arrojaba “sesión expirada” para aproximadamente uno de cada cinco usuarios de Safari. La cookie del token de sesión se estableció con una expiración de 30 días, pero el ITP de Safari la limitó a siete días porque fue establecida por JavaScript en lugar de un encabezado Set-Cookiedel lado del servidor. Los clientes que regresaban después de una semana se encontraban con la sesión cerrada de forma silenciosa. La solución fue mover la emisión de la sesión al servidor con una cookie Secure, HttpOnly, SameSite=Lax. El panel de esta página habría revelado “cookie presente, establecida por JS, expira en siete días” en segundos; sin él, pasé una tarde leyendo documentación de ITP.

Navegador	Cookies de terceros	Protección contra huella digital	Por defecto
Chrome	Permitido (opción en Privacy Sandbox)	Limitado (APIs de Privacy Sandbox)	Desactivado
Safari	Bloqueado por defecto (ITP desde 2020)	Fuerte (ITP + restricciones de script)	Activado
Firefox	Bloqueado o particionado (ETP)	Fuerte con `resistFingerprinting`	Estándar activado
Brave	Bloqueado por defecto	Aleatorización agresiva	Activado
Edge	Rastreadores conocidos bloqueados (Equilibrado)	Limitado	Equilibrado activado
Arc	Bloqueado (listas de DuckDuckGo)	Limitado	Activado

Preguntas frecuentes

¿Qué son las cookies de terceros?

Una cookie de terceros es establecida por un dominio diferente al que figura en su barra de direcciones, generalmente a través de una imagen, iframe o script incrustado. Eran la columna vertebral del seguimiento publicitario entre sitios. Safari, Firefox y Brave las bloquean por defecto; Chrome y Edge todavía las permiten pero ofrecen protecciones opcionales. Las cookies particionadas CHIPS son la forma admitida de implementar cookies de terceros para fines legítimos en 2026.

¿Son las cookies malas para mi privacidad?

Las cookies de origen son la forma en que los sitios web recuerdan que ha iniciado sesión y mantienen su carrito de compras. Son esenciales y de bajo riesgo. Las cookies de terceros se utilizaron históricamente para rastrearlo a través de los sitios, por lo que todos los navegadores principales, excepto Chrome, ahora las bloquean de forma predeterminada. El mecanismo de cookies en sí es neutral; el caso de uso determina el impacto en la privacidad.

¿Cómo sé si mi navegador está bloqueando rastreadores?

Use la prueba Cover Your Tracks de la EFF, que carga dominios de rastreadores conocidos e informa cuáles fueron bloqueados. Brave y Firefox también muestran un icono de escudo en la barra de direcciones con lo que se bloqueó en la página actual. En Chrome, la pestaña Privacy Sandbox en la configuración muestra el estado actual de su protección.

¿Cuál es la diferencia entre las cookies y localStorage?

Las cookies se envían automáticamente al servidor en cada solicitud, están limitadas a unos 4 KB cada una y pueden tener indicadores de seguridad como HttpOnly. localStorage solo es accesible desde JavaScript, almacena entre 5 y 10 MB y nunca se envía a través de la red. Use cookies para los tokens de sesión que el servidor necesita; use localStorage para las preferencias del cliente y el estado almacenado en caché de la interfaz de usuario.

¿Por qué tengo que iniciar sesión constantemente en los sitios web?

Tres causas comunes. Primero, el ITP de Safari limita las cookies establecidas por JavaScript a siete días, por lo que cualquier sitio que emita cookies de sesión desde el cliente le cerrará la sesión después de una semana. Segundo, los modos de navegación privada eliminan todas las cookies cuando se cierra la ventana. Tercero, las extensiones agresivas de limpieza de cookies o almacenamiento eliminan el estado entre sesiones. Si solo un sitio le cierra la sesión, el problema está en su lado; si lo hacen todos, su navegador está limpiando los datos de forma demasiado agresiva.

El navegador que realiza el almacenamiento y la versión que ejecuta están en Cuál es mi navegador. La cadena de User-Agent sin procesar que los sitios leen para tomar decisiones de seguimiento está en Cuál es mi agente de usuario. Las señales de huella digital de GPU y WebGL están en Cuál es mi WebGL / GPU. Para conocer la IP con la que se asociarían sus cookies de seguimiento, consulte Cuál es mi IP.

Fuentes citadas anteriormente

RFC 6265: Mecanismo de gestión de estado HTTP (cookies, 2011)
Política de prevención de seguimiento de WebKit: Intelligent Tracking Prevention de Safari
Google Privacy Sandbox: cookies particionadas CHIPS
Mozilla: Protección contra el seguimiento mejorada de Firefox
Global Privacy Control: especificación y navegadores compatibles
EFF Cover Your Tracks: prueba de bloqueo de rastreadores del navegador

Common questions

What are third-party cookies?

A third-party cookie is set by a domain other than the one in your address bar, usually via an embedded image, iframe, or script. They were the backbone of cross-site advertising tracking. Safari, Firefox, and Brave block them by default; Chrome and Edge still allow them but offer opt-in protections. CHIPS partitioned cookies are the supported way to ship third-party cookies for legitimate purposes in 2026.

Are cookies bad for my privacy?

First-party cookies are how websites remember you are logged in and keep your shopping cart. They are essential and low-risk. Third-party cookies were historically used to track you across sites, which is why every major browser except Chrome now blocks them by default. The cookie mechanism itself is neutral; the use case determines the privacy impact.

How do I know if my browser is blocking trackers?

Use the EFF's Cover Your Tracks test, which loads known tracker domains and reports which were blocked. Brave and Firefox also surface a shield icon in the address bar showing what was blocked on the current page. In Chrome, the Privacy Sandbox tab in settings shows your current protection state.

What is the difference between cookies and localStorage?

Cookies are sent automatically to the server on every request, are limited to about 4 KB each, and can have security flags like HttpOnly. localStorage is accessible only from JavaScript, holds about 5 to 10 MB, and is never sent over the network. Use cookies for session tokens that the server needs; use localStorage for client-side preferences and cached UI state.

Why do I keep having to log in to websites?

Three common causes. First, Safari's ITP caps JavaScript-set cookies at seven days, so any site that issues session cookies from the client logs you out after a week. Second, private browsing modes delete all cookies when the window closes. Third, aggressive cookie or storage clearing extensions wipe state between sessions. If only one site keeps logging you out, the issue is on their side; if every site does, your browser is clearing too aggressively.

También revisa estas herramientas

🌐Cuál es mi IPConsulta instantáneamente tu dirección IPv4 o IPv6 pública con detalles de ISP, ciudad y país.→📡Cuál es mi ISPConoce qué Proveedor de Servicios de Internet (ISP) u organización está asociado con tu IP pública.→🔷Cuál es mi DNSBusca registros DNS A y AAAA públicos usando Cloudflare DNS sobre HTTPS con etiquetado claro de resolutores.→📶Cuál es mi LatenciaMide el tiempo de ida y vuelta HTTPS desde tu navegador a este sitio: un "ping" práctico en la web.→🛜Cuál es mi Tipo de RedDetecta si estás en Wi-Fi, móvil o ethernet, con la clase de velocidad estimada de la API Network Information.→🔐Fuga de VPN / ¿Estoy filtrando?Compara tu IP pública visible por HTTP con las direcciones WebRTC ICE para detectar posibles fugas de IP.→⚡Prueba de Velocidad de InternetPrueba tus velocidades de descarga y subida con un test de velocidad rápido y preciso en el navegador.→🖥️Cuál es mi NavegadorDetecta el nombre, versión, motor de renderizado y sistema operativo de tu navegador en un clic.→🔍Cuál es mi User AgentMira la cadena de agente de usuario completa que tu navegador envía a los servidores web.→📐Cuál es mi Resolución de PantallaComprueba tu resolución de pantalla, profundidad de color, relación de píxeles y tamaño de ventana gráfica.→🎮Cuál es mi WebGL / GPUDetecta tu renderizador de GPU, proveedor, versión de WebGL y capacidades gráficas directamente.→📍Cuál es mi UbicaciónDescubre tu ubicación aproximada basada en tu dirección IP, incluyendo ciudad y país.→🕐Cuál es mi Zona HorariaEncuentra tu zona horaria actual, diferencia UTC y hora local con el estado de horario de verano.→🔌Cuál es mi Puertos AbiertosComprueba qué puertos TCP están abiertos, cerrados o filtrados en tu dirección IP pública.→