Llevo mucho tiempo queriendo hacer una entrada como esta. Sino la he acometido antes ha sido principalmente porque me costaba encontrar la manera de enfocarla de forma que para mí tuviera sentido. Porque al final esto va de entender cómo afecta utilizar un navegador u otro para tu privacidad en la web. Mi intención es dotar de conocimiento a todo aquel que sienta curiosidad por lo que ocurre con sus datos cuando visita una web, y para eso no podía optar por la primera opción que me vino a la cabeza: contarlo todo desde lo técnico. De hecho, esta opción era básicamente recoger los tests que realiza periódicamente la magnífica web privacytests.org y explicar qué era cada uno de esos apartados (aquí vemos la protección sobre ciertas cookies):
Y por mucho que me gustara esta opción por la cantidad de información que ofrecía, esa misma ingente suma de información me parecía demasiado para que fuera lo suficientemente divulgativo. He estado dándole vueltas durante semanas para intentar encontrar el mejor enfoque para esto y, finalmente, creo que lo he encontrado. Nada excepcional, pero hay veces que lo obvio pasa desapercibido a los ojos acostumbrados: vamos a simular una experiencia real en una serie de navegadores para ver qué ocurre con los apartados más principales de privacidad:
- ¿Se transmite información de mi visita e interacciones a un tercero?
- ¿Se comparte esta información entre visitas a diferentes webs?
- ¿Permite el navegador que se carguen scripts de tracking?
- ¿Respetan las webs mis decisiones de consentimiento de cookies?
- ¿Acorta mi navegador la vida de las cookies?
Por supuesto, podríamos abarcar muchas más opciones y navegadores (si es algo que queréis ver en próximas entradas, escribidlo en comentarios!), pero para esta primera aproximación me parecía lo más relevante.
¿Qué navegadores vamos a estudiar? He escogido 4 que creo que ofrecen todas las opciones de privacidad del mercado ahora mismo: Chrome, Safari, Firefox y Brave. Mientras que Brave se mantiene como una opción residual por el momento, los otros 3 son los navegadores más utilizados en desktop (siendo Chrome el primero muy de largo):
Cogiendo estos 4, espero recoger la mayoría de vuestras experiencias rutinarias. Dicho todo esto, vamos a lo que nos ocupa. Para realizar estas pruebas vamos a irnos a las más visitadas de España que realmente funcionan como una web. Si cogemos este estudio de Semrush, vemos que la web «real» más visitada es Marca.com:
Le sigue de cerca elmundo.es, por lo que estas dos van a ser la base de nuestros experimentos: primero entraremos en marca.com y, en la misma sesión, nos dirigiremos a elmundo.es. Una ruta que pueden hacer millones de personas en España habitualmente.
Creo que es importante también entender por qué nos interesa conocer las respuestas a las preguntas que he planteado anteriormente y no a otras, al menos de momento. Y para esto tengo que dar un poquito de contexto (o la turra, como lo queráis ver). Hasta hace relativamente poco, la web era la jungla. Era posible hacer un seguimiento de prácticamente todo lo que hacía un usuario en una página, y lanzar esta información adonde quisiéramos. Ninguna regulación, ningún bloqueo. Y por mucho que esto fuera divertido al principio, poco a poco se fue viendo que este tipo de práctica favorecía el control de los usuarios a través de las grandes plataformas tecnológicas: Facebook, Google, Apple, Microsoft, etc. Y uno de los componentes digitales culpables de que esto pudiera suceder han sido las third-party cookies. Lo que permiten las cookies de terceros se instale un código externo a la web que estás visitando. Por ejemplo, un código de seguimiento de Facebook en la web de Marca (siguiendo con nuestro ejemplo). Al ser una cookie de terceros (pertenece a Facebook), es capaz de propagarse a todas las webs que visitemos en nuestro navegador. Esta es, sin duda para mí, la amenaza más importante para nuestra privacidad, ya que permite generar un perfil de usuario demasiado sofisticado dentro de la base de datos de, por ejemplo, Facebook (estas prácticas no están ni mucho menos limitadas al equipo de Zuckerberg, pero es de lo más extendido). Permite decirle que a mí me interesan los deportes, que leo elmundo a una hora determinada y que me gusta ver noticias sobre zepelines. Cuantas más webs visites, más información sobre ti tendrá Facebook. Y más fácil será para su algoritmo predecir qué te puede interesar para así ofrecértelo.
Quizá esto no se vea como una amenaza para la privacidad gravísima, y en realidad no lo es. Los anuncios basados en nuestro perfil de consumidores llevan décadas entre nosotros (a través de la televisión, la radio, la prensa…), sólo que internet lo ha llevado hasta otro nivel. Para mí la amenaza viene en el hecho de que todos estos walled gardens puedan recoger toda esta información sobre nosotros y no tengamos ninguna opción para evitarlo. Porque si bien ahora mismo todo -o casi todo- se destina al marketing, pensad en lo fácil que sería que esto tomara rumbos mucho más turbios. Y aquí es donde entran nuestros navegadores, ya que pueden ser una herramienta utilísima para proteger nuestra privacidad en la web.
Teniendo claro lo que vamos a hacer y qué vamos a intentar averiguar, vamos sin más dilación al primero de nuestros navegadores, el browser de cabecera de la mayoría de nosotros: Google Chrome:
La privacidad en Google Chrome
La primera muestra que nos ayuda a saber si algo no funciona especialmente bien con nuestra privacidad la encontramos en nuestra entrada a la web. Normalmente nos vamos a chocar con un banner de cookies, como este en el caso de Marca:
Lo que debe ocurrir aquí, en este punto de entrada en el que todavía no hemos aceptado o rechazado cookies es que NINGUNA información de mi visita vaya a parar a un tercero. Para comprobar si esto es así, en mi caso voy a utilizar la pestaña de Network en la consola del Navegador. Lo hago así aunque no sea lo más intuitivo del mundo porque es la fuente última de la verdad. Todo lo que sale o entra en la web a través de una llamada pasa por esta pestaña. Vamos a comprobar si efectivamente la información no sale de la web:
Parece que Marca no supera la primera prueba de no enviar información sobre el usuario antes de que haya realizado su decisión sobre el consentimiento. Aquí hay que decir que el navegador no tiene «la culpa» de que esto ocurra per se. Al final esto es algo que debe configurar la propia página para que no ocurra. Eso sí, Google Chrome aquí no hace nada por impedirlo.
Al final, lo que esto quiere decir básicamente es que mi visita a esta página ya se está trackeando y enviando a todas estas plataformas de terceros. Pero lo importante aquí no es sólo esto, sino el apartado de cookies de nuestro navegador. Si nos vamos a la pestaña Application, vamos a poder observar qué cookies se están almacenando ahora mismo sobre nuestro usuario en la web de Marca:
No me he puesto a enumerarlas todas, pero creo que con esto queda bastante claro lo que ocurre: estas cookies se instauran en nuestro navegador para identificarnos y lanzar esta información a la plataforma correspondiente. Principalmente, esto va a ser con fines publicitarios: si yo, que estoy haciendo una campaña de marketing, sé que has visitado Marca, seguramente te pueda impactar con algún anuncio sobre fútbol (y hasta aquí mi conocimiento sobre Marca y el marketing). Y aquí es donde viene el segundo riesgo para nuestra privacidad: la propagación de estas cookies a otras webs. Vamos a entrar en la web de elmundo.es y vamos a comprobar qué ocurre.
Como véis, esta cookie tiene exactamente el mismo valor en las dos webs. ¿Por qué? Como hemos visto en la introducción, esto es una cookie de terceros controlada por Facebook, lo que hace que sea posible su propagación a diferentes páginas, informando de nuestro comportamiento en ellas al señor Zuckerberg. Y todo esto, sin todavía haber aceptado cookies. En cuanto lo hacemos, la cascada de scripts de terceros es simplemente abrumadora:
Por todo esto (y más cosas que no caben en esta entrada), pasamos a la valoración de Google Chrome en materia de privacidad que, como no podía ser de otra forma, sale muy mal parado:
| Se transmite información de mi visita a un tercero | ❌ |
| Se comparte esta información entre diferentes webs | ❌ |
| Permite el navegador tracking scripts | ❌ |
| Si la página no respeta mis opciones de consentimiento, hace algo el navegador por evitarlo | ❌ |
| Acorta la vida de las cookies | ❌ |
La privacidad en Firefox
Al contrario que Google Chrome, que ha atrasado la desaparición de cookies de terceros hasta 2024, Firefox lleva mucho tiempo ofreciendo su bloqueo y hace unos meses anunció el roll-out de su nueva feature: Total Cookie Protection. Al menos sobre el papel deberíamos ver mucha más privacidad y control en Firefox de lo que hemos visto en Chrome, principalmente debido a este último desarrollo. En este, Firefox ha intentado aunar una navegación fluida de los usuarios, sabiendo que el marketing es muy importante para gran parte del negocio digital existente, con una privacidad más compacta. ¿Cómo lo ha hecho? Pues la verdad, creo que no hay mejor forma de describirlo que como ellos lo han hecho:
Lo que Firefox asegura es su mayor desarrollo en privacidad hasta la fecha, es básicamente un mecanismo a través del cual se generan diferentes «tarros de cookies» (en una originalísima analogía) para cada una de las webs que visitemos. Así, evitaríamos el fenómeno que hemos visto anteriormente: mi cookie de Facebook en Marca no será la misma que en elmundo, por lo que Mark no podrá rastrear mi comportamiento web.
Sabiendo la teoría de lo que ha desarrollado Firefox, vamos a realizar los mismos tests que en Chrome para ver qué nos encontramos:
Vemos que la primera prueba se desarrolla de la misma manera que en Chrome: la información sale la web a un tercero sin que el usuario haya hecho ningún tipo de acción sobre su consentimiento. Hasta ahora, todo cuadra con la teoría que hemos visto anteriormente. Eso sí, lo que debería ocurrir es que cuando nos vayamos a la web de elmundo, la cookie de Facebook no se propague hasta allí (hemos cogido Facebook como ejemplo porque es de lo más estándar en la mayoría de las webs). Vamos a comprobarlo. Primero vemos el apartado de cookies:
Nos encontramos un escenario bastante parecido al de Chrome, viendo muchas de las cookies ya mencionadas. Ahora sí, vamos a recoger el valor de la cookie de Facebook y a compararlo con el de elmundo.es:
Tal y como lo describían en su post, efectivamente Firefox genera un solo bote de cookies por web, lo que hace imposible que una herramienta como Facebook tenga trazabilidad de todo mi comportamiento web. Si en Marca tengo una cookie que me identifica y en elmundo otra, ya no soy el mismo usuario y el perfil que Facebook estaba confeccionando sobre mí se ha roto. Por otro lado, es importante que os fijéis en la fecha de expiración de esta cookie, porque en Safari vamos a ver un comportamiento diferente. Sabiendo esto, podemos ver que Firefox está un pasito por delante a Chrome en materia de privacidad, siendo además el paso más importante de los que tratamos en esta entrada:
| Se transmite información de mi visita a un tercero | ❌ |
| Se comparte esta información entre diferentes webs | ✅ |
| Permite el navegador tracking scripts | ❌ |
| Si la página no respeta mis opciones de consentimiento, hace algo el navegador por evitarlo | ❌ |
| Acorta la vida de las cookies | ❌ |
La privacidad en Safari
Llegamos por fin a Apple, el gran estandarte de la privacidad en los últimos años. Sólo los cambios introducidos por este gigante en materia de privacidad (tanto en web como en app) preven costarle a la industria más de 16.000 millones de dólares el año que viene. Creo que todos hemos visto las campañas de publicidad poniendo foco en la privacidad de los usuarios de Apple, así que vamos a comprobar si todo esto se traduce en algo tangible.
Safari fue el primer navegador en introducir bloqueos a los scripts y cookies de terceros, allá por 2017. Apple desarrolló lo que vino a llamar el Intelligent Tracking Prevention (ITP), que combina lo que hemos visto en Firefox para prevenir el envío cruzado de cookies entre diversas webs con un mayor control sobre las propias cookies que se insertan. ¿Cómo se hace esto último? Vamos a verlo ahora. Si hacemos nuestra ruta habitual y navegamos a Marca desde nuestro navegador de Safari, vemos las siguientes llamadas:
Nada cambia demasiado en este punto entre los 3 navegadores estudiados. La información de mi visita sale antes de aceptar o denegar cookies, sin ningún tipo de bloqueo. Pero aquí viene lo interesante de Safari:
Aunque en este caso Facebook sea capaz de insertar su cookie también en nuestra navegación, la vida de esta se ha acortado hasta los 7 días únicamente (estoy consultando esta web el día 04/10/2022). Esto quiere decir que si yo vuelvo a visitar Marca dentro de una semana, mi cookie identificativa ya será otra, lo que hace al usuario mucho más difícil de trazar. Si volvemos a nuestro caso experimental y comparamos la cookie que se genera en Marca y la que se genera en elmundo.es, veremos que, como en Firefox, son completamente distintas:
Por tanto, podemos concluir con la evaluación de que la privacidad en Safari también sube un nivel con respecto a Firefox (y, por supuesto, queda muy por encima de Chrome):
| Se transmite información de mi visita a un tercero | ❌ |
| Se comparte esta información entre diferentes webs | ✅ |
| Permite el navegador tracking scripts | ❌ |
| Si la página no respeta mis opciones de consentimiento, hace algo el navegador por evitarlo | ❌ |
| Acorta la vida de las cookies | ✅ |
La privacidad en Brave
He de confesar que antes de realizar esta comparativa ya sabía cómo iba a quedar el resultado. Junto con LibreWolf, Brave se ha convertido en el navegador más funcional para aquellos que buscan privacidad. Y con funcional me refiero a que no requiere que contrates un servicio de VPN para ocultar tu IP o utilizar algo menos «user-friendly» como Tor. Brave está basado en Google Chrome y su interfaz es prácticamente la misma. Pero su sistema de privacidad es completamente lo opuesto a Chrome. Y ahora veréis por qué. Vamos a nuestra ya característica ruta:
Todas estas llamadas que véis en rojo son las requests que en el resto de navegadores estaban enviando información a plataformas de terceros. ¿Por qué están en rojo? Porque están bloqueadas. Lo que hace que no llegue ningún tipo de información a estas plataformas, ya sea Facebook, Google Analytics, Chartbeat o Taboola. Nada sale.
Por tanto, poco importa que los scripts que se introduzcan a través de estas webs puedan generar alguna cookie, es una información que nunca llegará a su destinatario. De hecho, algo muy significativo es cómo se comporta Brave con la introducción de cookies de terceros cuando aceptamos el banner de cookies. Mientras Firefox y Safari presentan el mismo comportamiento que Chrome en este caso (cascada interminable de cookies almacenadas), esto es lo que sucede cuando aceptas las cookies en Brave:
Sólo las cookies propias de la página se mantienen.
Por supuesto, el cruce de datos entre webs es prácticamente imposible en Brave, ya que no es que se generen dos cookies distintas en cada web (que también), sino que Facebook no llega a tener nunca esa información. POR TANTO:
| Se transmite información de mi visita a un tercero | ✅ |
| Se comparte esta información entre diferentes webs | ✅ |
| Permite el bloqueo de tracking scripts | ✅ |
| Si la página no respeta mis opciones de consentimiento, hace algo el navegador por evitarlo | ✅ |
| Acorta la vida de las cookies | ❌ |
Sí, Brave no acorta la vida de las cookies de terceros, pero no le hace falta. Hace algo mucho más drástico, lo que lo convierte en el ganador sin discusión de esta comparativa en materia de privacidad.
Final Words
Dicho todo esto, debo aclarar que aquí estoy hablando de la versión estándar de los navegadores (no modo incógnito), sin ningún tipo de plugin ni añadido. También debo aclarar que ninguno de estos desarrollos es completamente infalible (sistemas como el Server-side se pueden utilizar para «saltar» por encima de algunas de estas restricciones), pero sin duda se cubren la gran mayoría de los casos actuales de la web.
Así que, si queréis tener la mayor privacidad posible bajo ningún coste, os recomiendo empezar a utilizar Brave. Veréis como, de repente, os dejan de salir esos anuncios tan «oportunos».
Visión de Funnel 