1000028602

Cada vez que navegamos por las páginas de un medio de información, entidad bancaria o tienda online y de forma general, por casi cualquier tipo de web; surge el consabido banner solicitando permisos publicitarios. Pulsamos «rechazar todo» con la idea de que cumplirá con su enunciado. Para nuestra desgracia, nada más lejos de la realidad.

El TCF como arquitectura destinada al consentimiento

Detrás de casi todos esos banners hay un sistema llamado TCF (Transparency & Consent Framework), desarrollado por IAB Europe (la patronal de la publicidad digital). Parte de una premisa oficial realmente loable: crear un mecanismo estándar para que las webs recaben tu consentimiento y lo transmitan de forma verificable a las empresas que quieren mostrarte publicidad. La realidad técnica no lo es tanto.

Cuando pulsas cualquier opción en un banner TCF, el sistema genera una cadena de texto codificada en Base64 llamada TC String. Dicha cadena contiene, entre otras cosas:

  • Tus preferencias de consentimiento.
  • Fecha y hora.
  • Versión del framework.
  • Identificador del proveedor de la Consent Management Platform (CMP) que gestiona el banner.

La TC String se almacena en el navegador y se distribuye a las empresas registradas mediante la CMP API. Cada una de las empresas suscritas, registra un receptor de eventos (event listener) que recibe la señal en tiempo real cada vez que el usuario modifica sus preferencias. En el ecosistema de subasta en tiempo real (real-time bidding), esa señal acompaña además las peticiones de puja que determinan qué anuncio se muestra cada sitio. (Fuente: especificación técnica oficial de IAB Tech Lab, repositorio GDPR-Transparency-and-Consent-Framework, GitHub.)

El problema es estructural; el TCF tiene registradas más de 900 empresas en su lista global de afiliados. Cuando eliges aceptar o rechazar en una página, dicha elección debería hacerse extensible a la totalidad de empresas que conforman el registro TCF. En la práctica, ningún elemento del sistema impide que un afiliado ignore esa señal dado que el cumplimiento es contractual, no técnico.

IAB Europe audita el cumplimiento por muestreo (revisó 180 empresas de forma aleatoria durante 2025) sobre un registro global que a cierre de ese año contaba con 953. Todo ello sin que el usuario tenga forma de verificar qué ocurrió con su preferencia una vez que salió del navegador.

Más importante aún: en 2022, la Autoridad de Protección de Datos belga dictaminó que el TCF 2.0 de IAB Europe era incompatible con el RGPD, porque IAB Europe actúa como corresponsable del tratamiento sin asumir las obligaciones que eso implica. IAB Europe recurrió, llegó a un acuerdo con la autoridad belga y lanzó las versiones 2.2 y 2.3 del TCF con algunos cambios sustanciales; entre ellos, la eliminación del interés legítimo como base jurídica para las finalidades publicitarias 3 a 6, y mayores requisitos de transparencia sobre el número de empresas implicadas. El ecosistema, no obstante, continuó operando sin interrupción durante todo ese periodo

Catálogo de trampas visuales

Los conocidos como Dark Patterns (patrones de diseño engañosos) utilizados en los banners de cookies se han convertido con el paso del tiempo en todo un clásico. Investigadores de la Universidad de Princeton y del MIT los han clasificado, la AEPD los ha descrito en sus guías, y el Comité Europeo de Protección de Datos publicó en 2022 unas directrices específicas sobre ellos. Todo eso no ha impedido que sigan siendo una práctica habitual.

El botón fantasma

El ejemplo más extendido: un botón verde y prominente que dice «Aceptar todas las cookies» y, en algún lugar menos visible, un texto en gris claro o un enlace de aspecto secundario que dice «Gestionar preferencias». No hay botón de «rechazar todo» en primera capa. Para llegar al rechazo tienes que entrar en un panel secundario, desactivar docenas de interruptores, y en algunos casos volver a confirmar. El coste de atención está calculado para que la mayoría abandone.

En España esto fue práctica habitual durante años en grandes cabeceras de prensa y portales de e-commerce. Algunas webs de clasificados y comparadores de seguros todavía lo hacen. Internacionalmente, el caso de Google fue especialmente documentado; hasta que la CNIL francesa le impuso una multa de 150 millones de euros en 2022:

Porque el botón de rechazo requería de más pasos que el de aceptación.

El consentimiento por desplazamiento

El ejemplo clásico serían los textos tipo «si continúas navegando, aceptas el uso de cookies«. Técnicamente ilegal bajo el RGPD desde 2018. Sigue apareciendo en 2026.

El muro de cookies

Si no aceptas la publicidad personalizada, no puedes acceder al contenido. Varios medios europeos siguen implementando este modelo. El Tribunal de Justicia de la UE y diversas autoridades nacionales han cuestionado que el consentimiento prestado bajo esa presión pueda considerarse libre, que es uno de los requisitos explícitos del Reglamento. El «debate» sigue abierto.

La opacidad semántica

Textos como «socios de confianza» para referirse a cientos de brokers de datos, o «experiencia personalizada» para describir la construcción de perfiles de comportamiento. El lenguaje está diseñado para que no sepas exactamente a qué o a quienes estás dando tu consintiendo.

El RGPD acaba en papel mojado

El Reglamento General de Protección de Datos lleva en vigor desde 2018 con unos principios bien definidos:

  • Consentimiento libre, específico, informado e inequívoco.
  • Derecho al olvido.
  • Portabilidad de datos.
  • Incumplimiento con multas de hasta el 4 % del volumen de negocio global.

Sobre el papel, es una de las normativas de privacidad más exigentes del mundo. En la práctica, la ejecución ha sido desigual en el mejor de los casos.

La AEPD ha expedientado a varias empresasa relevantes (Vodafone, BBVA, Caixabank entre otros) pero la mayoría de las sanciones en el sector del rastreo publicitario han sido simbólicas o han tardado años en resolverse. El grueso de las multas multimillonarias ha llegado de Irlanda (sede europea de Meta, Google y Apple) y de Francia, no de España.

El problema estructural es de recursos y jurisdicción. Las autoridades de control nacionales operan con presupuestos ajustados frente a empresas con enormes departamentos legales dedicados a bucear en la letra pequeña. Añádase que la arquitectura del TCF fue diseñada precisamente para distribuir la responsabilidad entre tantos actores que resulta extremadamente difícil señalar a un único responsable.

Además, hay una laguna legal muy importante: las cookies técnicas (necesarias para el funcionamiento del sitio) no requieren consentimiento. Con lo cual nos encontramos que la frontera entre lo que es «técnicamente necesario» y lo que es publicidad o analítica, ha devenido en un concepto «muy elástico«. Muchos scripts de seguimiento llevan años catalogándose bajo categorías de «funcionalidad» o «rendimiento» para omitir su obligación de pedir permisos.

Medidas de protección

Aceptar que el sistema está roto no significa resignarse. Hemos de cambiar el enfoque:

En lugar de confiar en que el banner respete tu elección, puedes desplegar una combinación de herramientas que bloqueen el rastreo.

Primera capa: extensiones de navegador

El punto de entrada más accesible, con varias herramientas muy útiles:

UBlock Origin es el estándar de facto para el bloqueo de contenido. Funciona con listas de filtros que identifican dominios y scripts de seguimiento, y los bloquea antes de que se carguen. Es de código abierto, tiene licencia GPLv3 y su modelo de financiación no depende de acuerdos con anunciantes (a diferencia de algunas alternativas más populares). En Firefox Desktop es donde mejor rinde; en Chromium, el paso al Manifest V3 ha limitado -mucho- su capacidad técnica, aunque sigue siendo útil.

Privacy Badger de la EFF aprende de forma adaptativa qué dominios te siguen en distintos sitios y los bloquea progresivamente. Es complementario a uBlock Origin, no un sustituto.

Cookie AutoDelete borra automáticamente las cookies de los sitios que cierras, con excepciones configurables sí quieres mantener abierta alguna sesión. Elimina el vector de rastreo persistente sin que tengas que acordarte de limpiar el navegador manualmente (aunque es algo altamente recomendable).

Segunda capa: el navegador como plataforma

La extensión más privativa no puede compensar un navegador que comparta datos por defecto.

Firefox endurecido (hardening) es la opción más equilibrada para un uso cotidiano. Desde about:config

  • Puedes desactivar la telemetría
  • Habilitar la protección antirastreo estricta
  • Activar DNS sobre HTTPS (DoH)
  • Ajustar el comportamiento frente a las supercookies (rastreo vía caché, localStorage, IndexedDB o ETag).

El proyecto arkenfox/user.js mantiene un perfil de configuración documentado y actualizado regularmente, aunque requiere revisar qué ajustes pueden romper alguna funcionalidad en páginas concretas.

Brave incluye muchas de esas protecciones activadas por defecto y es más accesible para usuarios que no quieren tocar la configuración. Su modelo de negocio basado en publicidad propia lleva tiempo generando polémica. Pero desde el punto de privacidad frente a terceros, funciona bien. Aquí la reseña que efectuamos.

LibreWolf es un fork de Firefox preconfigurado con ajustes de privacidad más agresivos. Ideal para perfiles de uso separado (por ejemplo, un perfil para compras y otro para navegación general). Menos práctico como único navegador por las rupturas que puede ocasionar en algunas páginas web.

Hay muchos otros, tanto para escritorio como para Android: Zen, IronFox, Fennec, Midori, Helium, etcétera.

Tercera capa: DNS como filtro de red

El bloqueo a nivel de DNS actúa antes de que la petición salga del dispositivo. Es la capa más eficiente en términos de rendimiento y la que requiere una menor configuración en el dispositivo.

NextDNS permite configuraciones personalizadas, con listas de bloqueo, historial de consultas DNS y tutoriales sobre cómo aplicar la configuración en cualquier dispositivo. Tiene un plan gratuito con límite mensual de consultas (300.000) y planes de pago muy económicos. Es una de las mejores alternativas gestionadas.

AdGuard Home es probablemente la opción autohospedada más popular (junto a Pi Hole). Se puede instalar en prácticamente cualquier dispositivo:

  • Routers
  • Raspberry Pi
  • NAS
  • MiniPC
  • Home Assistant

Actúa como servidor DNS, con listas de bloqueo, scripts personalizables, sin límites de consultas y un control absoluto de nuestra red interna. Eso sí, requiere de cierto mantenimiento.

Cuarta capa: VPN

Aquí es importante ser muy precisos, dado que el marketing de muchos servicios VPN ha construido una especie de mística mezclando funcionalidades reales con otras difíciles de sostener.

En términos generales, una VPN ayuda en lo relativo al rastreo por cookies en un escenario específico; ocultar la dirección IP del registro del servidor, dificultando la correlación entre sesiones. También cifra el tráfico, lo que impide que tu ISP construya un perfil de navegación basado en consultas DNS o metadatos de tráfico.

Por otra parte una VPN no soluciona:

  • El rastreo basado en cookies
  • La huella digital (fingerprinting)
  • Píxeles de seguimiento
  • Scripts de terceros

Si tienes una sesión iniciada en Google, Amazon o Meta, el rastreo ocurre independientemente de si estás utilizando o no un servicio VPN.

El fingerprinting merece una mención especial dado que se ha convertido en el método de rastreo con mayor crecimiento, debido precisamente a las restricciones sobre cookies de terceros que Chrome, Firefox y Safari han ido implementando.

Lo podemos resumir como el conjunto de técnicas que identifican tu navegador de forma única a partir de la combinación de diversos parámetros (versión del navegador, fuentes instaladas, resolución, zona horaria, plugins, comportamiento del canvas, HTML5) sin necesidad de almacenar ninguna cookie.

Brave y LibreWolf tienen mitigaciones específicas, al igual que Firefox con arkenfox.

Combinaciones recomendadas según perfil

PerfilConfiguración recomendada
Usuario casual, bajo riesgo Firefox uBlock Origin NextDNS
Conciencia de privacidad Brave Firefox hardened uBlock Origin Cookie AutoDelete NextDNS
Riesgo elevado LibreWolf uBlock Origin AdGuard Home VPN sin registros auditada

Conclusiones

De primeras:

El consentimiento informado no existe

Tal y cómo está diseñado actualmente el sistema de consentimiento de cookies, mas que tratar de proteger la privacidad del usuario, se centra en conformar una coartada legal para seguir operando un ecosistema publicitario valorado en cientos de miles de millones de euros.

  1. El TCF es la infraestructura del sistema.
  2. Los diferentes patrones de manipulación visual (dark patterns) la interfaz.
  3. El RGPD poco más que un invitado de piedra. Con un modelo de arbitraje que, a fecha de hoy, no ha conseguido cambiar el modelo.

Personalmente me declaro pesimista sobre toda ésta cuestión. Pero también creo que dicho pesimismo es el punto de partida para la toma de muchas decisiones de calado. El sistema no va a cambiar por pulsar o no el botón correcto. Cambiará cuando dejemos -en la medida de lo posible- de depender de él.

Tags:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

alt43
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.