TL;DR
Una cookie es un pequeño archivo de texto que un sitio web deposita en el navegador de un visitante para almacenar información entre dos solicitudes. Existen varios tipos de cookies: first-party (depositadas por el sitio visitado) y third-party (depositadas por un dominio externo), de sesión (eliminadas al cerrar el navegador) y persistentes (conservadas durante un periodo definido). Algunas son esenciales para el funcionamiento del sitio, otras sirven para el análisis o la publicidad segmentada. Comprender estas distinciones es indispensable para configurar correctamente su banner de consentimiento y cumplir con el RGPD.
Qué es una cookie (en términos simples)
Una cookie informática es un pequeño archivo de texto enviado por un servidor web y almacenado en el dispositivo del usuario (ordenador, teléfono, tableta) a través de su navegador. Cuando el usuario vuelve al mismo sitio, el navegador reenvía automáticamente la cookie al servidor, lo que permite al sitio "recordar" información: idioma preferido, contenido del carrito, sesión de conexión, identificador de seguimiento.
El término fue inventado en 1994 por Lou Montulli, desarrollador en Netscape, por analogía con el concepto de "magic cookie" utilizado en la programación Unix. Desde entonces, las cookies se han convertido en el mecanismo estándar para mantener un estado entre un navegador y un servidor web, ya que el protocolo HTTP es por naturaleza sin estado (stateless).
Una cookie contiene generalmente un nombre, un valor, un dominio asociado, una ruta, una fecha de expiración y atributos de seguridad (Secure, HttpOnly, SameSite). No contiene código ejecutable y no puede instalar software malicioso por sí misma.
Los tipos de cookies
First-party vs third-party
Una cookie first-party es depositada por el dominio del sitio que usted visita directamente. Si está en example.com, una cookie creada por example.com es una cookie first-party. Estas cookies sirven principalmente para el funcionamiento del sitio: memorizar sus preferencias, mantener su sesión de conexión, almacenar el contenido de su carrito. Solo son accesibles por el sitio que las creó.
Una cookie third-party (de terceros) es depositada por un dominio diferente al del sitio visitado. Si está en example.com pero un script cargado desde ad-network.com deposita una cookie, se trata de una cookie third-party. Estas cookies se utilizan principalmente para el seguimiento publicitario entre sitios, el retargeting y los servicios integrados (botones de compartir en redes sociales, videos de YouTube, widgets de chat). Son las cookies más vigiladas por los reguladores y los navegadores.
Safari y Firefox ya bloquean las cookies third-party por defecto. Google Chrome anunció y luego abandonó su eliminación total, optando finalmente por dejar la elección al usuario.
De sesión vs persistentes
Una cookie de sesión es temporal. Se crea cuando usted abre un sitio y se elimina automáticamente cuando cierra su navegador. No tiene una fecha de expiración explícita. Las cookies de sesión sirven típicamente para mantener su conexión durante la navegación o para conservar el contenido de su carrito durante su visita.
Una cookie persistente permanece en su dispositivo después de cerrar el navegador, durante un periodo definido (de algunos minutos a varios años según la configuración). Se utiliza para recordar sus preferencias de idioma, su estado de conexión o para construir un perfil de navegación a lo largo del tiempo. Las cookies persistentes utilizadas con fines de seguimiento o publicidad requieren un consentimiento explícito en el marco del RGPD y de la directiva ePrivacy.
Por finalidad: esenciales, analytics, publicitarias, funcionales
Las cookies esenciales (o estrictamente necesarias) son indispensables para el funcionamiento del sitio: autenticación, seguridad, carrito de compra, preferencias de consentimiento. No requieren consentimiento previo.
Las cookies analytics (o de medición de audiencia) sirven para comprender cómo los visitantes utilizan el sitio: páginas vistas, duración de la visita, tasa de rebote. Google Analytics, Matomo y Plausible son ejemplos. Salvo exención específica (configuración restringida, sin cruce de datos, sin transferencia a terceros), estas cookies requieren un consentimiento.
Las cookies publicitarias (o de segmentación) permiten seguir al usuario en varios sitios para construir un perfil publicitario y mostrar anuncios personalizados. Meta Pixel, Google Ads, TikTok Pixel son ejemplos comunes. Siempre requieren un consentimiento explícito.
Las cookies funcionales sirven para personalizar la experiencia (idioma, región, tema visual) sin ser estrictamente necesarias para el funcionamiento del sitio. Su estatus depende del contexto: si están vinculadas a una elección explícita del usuario y no transmiten datos a terceros, pueden considerarse esenciales.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Qué cambia para el cumplimiento normativo
La directiva ePrivacy y el RGPD imponen un consentimiento previo para cualquier depósito de cookie no esencial. Esto significa que sus cookies analytics, publicitarias y la mayoría de las funcionales solo pueden depositarse después de un acto positivo claro del usuario a través de su banner de cookies.
La clasificación de sus cookies por tipo y por finalidad es la base de la configuración de su CMP. Si no sabe qué cookies están presentes en su sitio, comience por un escaneo de sus cookies para obtener un inventario completo. Cada categoría deberá corresponder a una opción en su banner.
Si utiliza Google Analytics o Google Ads, la transmisión de las señales de consentimiento pasa por el Google Consent Mode v2, que ajusta el comportamiento de los tags Google según la elección del usuario.
Errores frecuentes sobre las cookies
Creer que todas las cookies son peligrosas. Una cookie no puede ejecutar código ni instalar un virus. Las cookies esenciales son indispensables para el funcionamiento de la mayoría de los sitios. El riesgo está vinculado al uso de los datos recopilados, no a la cookie en sí.
Confundir first-party y third-party. Una cookie de Google Analytics depositada por el script gtag.js es técnicamente una cookie first-party (se escribe en su dominio), pero los datos se envían a Google. El estatus first-party/third-party no determina por sí solo la obligación de consentimiento.
Pensar que las cookies de sesión nunca necesitan consentimiento. Una cookie de sesión utilizada para seguimiento publicitario necesita consentimiento, aunque desaparezca al cerrar el navegador. Lo que cuenta es la finalidad, no la duración de vida.
Ignorar las cookies de los contenidos integrados. Los videos de YouTube, los mapas de Google Maps, los widgets de redes sociales y los iframes de chat depositan cookies de terceros. Si su banner no los cubre, tiene una brecha en su cumplimiento.
Checklist: gestionar correctamente las cookies de su sitio
- Escanear el conjunto de cookies presentes en su sitio.
- Clasificar cada cookie por tipo (first-party/third-party) y por finalidad (esencial, analytics, publicitaria, funcional).
- Identificar las cookies exentas de consentimiento (solo las esenciales).
- Configurar su CMP para bloquear todas las cookies no esenciales antes del consentimiento.
- Verificar que los contenidos integrados (videos, mapas, widgets) están cubiertos.
- Probar con el inspector de red que ninguna cookie no esencial se deposita antes de la interacción.
- Documentar el inventario de sus cookies y actualizarlo con cada adición de script.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusión y siguiente paso
Comprender los tipos de cookies es el primer paso para configurar correctamente su cumplimiento. La distinción first-party/third-party determina quién tiene acceso a los datos. La distinción sesión/persistente determina cuánto tiempo se conservan. La finalidad (esencial, analytics, publicitaria) determina si se requiere un consentimiento.
Lance un escaneo gratuito de sus cookies para saber exactamente qué rastreadores están activos en su sitio. Consulte nuestra guía sobre el banner de cookies conforme para pasar a la acción. En 2026, las restricciones de los navegadores y el endurecimiento del RGPD hacen que esta comprensión sea imprescindible.
Preguntas frecuentes
¿Puede una cookie instalar un virus?
No. Una cookie es un archivo de texto pasivo. No contiene código ejecutable y no puede instalar software malicioso ni acceder a sus archivos. El riesgo asociado a las cookies se refiere al uso de los datos recopilados (seguimiento, perfilado), no al archivo cookie en sí.
¿Cuál es la diferencia entre una cookie first-party y third-party?
Una cookie first-party es depositada por el sitio que usted visita directamente. Una cookie third-party es depositada por un dominio externo (red publicitaria, red social, herramienta de tracking). La distinción se basa en el dominio que crea la cookie, no en su contenido.
¿Todas las cookies requieren consentimiento?
No. Las cookies estrictamente necesarias para el funcionamiento del sitio (autenticación, seguridad, carrito) están exentas de consentimiento. Todas las demás (analytics, publicitarias, funcionales no esenciales) requieren un consentimiento previo según la directiva ePrivacy y el RGPD.
¿Cuánto tiempo permanece una cookie en mi dispositivo?
Depende del tipo. Una cookie de sesión se elimina cuando cierra el navegador. Una cookie persistente tiene una fecha de expiración definida por el sitio, que puede ir de algunos minutos a varios años. Puede eliminar todas las cookies manualmente en la configuración de su navegador.
¿Google Analytics utiliza cookies first-party o third-party?
Google Analytics (a través de gtag.js) deposita cookies first-party en su dominio. Sin embargo, los datos recopilados se envían a los servidores de Google. El hecho de que la cookie sea first-party no exime de consentimiento, ya que la finalidad del tratamiento y la transferencia de datos a un tercero siguen sujetas a las obligaciones del RGPD.