Aviso de cookies (fijado en la cabecera debido a que algunos navegadores y extensiones ahora ocultan los banners): Al navegar por este sitio web, tus datos de conexión (IP) y navegación (URL) son obtenidos y mantenidos durante un máximo de 90 días exclusivamente para mantener la seguridad del sitio web a través de los servicios de cortafuegos y antivirus de Defiant Inc, prestador de servicios ubicado en EE.UU. con el que Pablo (responsable) mantiene un contrato de encargado del tratamiento. Puedes oponerte o ejercitar otros derechos, así como obtener más información consultando el aviso de cookies.
El contenido de este sitio web está basado en normas de España, salvo indicación expresa en contrario.

Cómo hacer una auditoría de cookies (Paradoja Epicel)

paradoja_epicel
La Paradoja Epicel se centra en la imposibilidad de obtener un único resultado cierto al tratar de evaluar todos los elementos de un conjunto indeterminado y cambiante. Por @Pablofb

En este artículo trataré de explicar qué se necesita para hacer una auditoría de cookies (Ley de cookies) y cómo se auditan las cookies de una web.

También explicaré por qué creo que la Agencia Española de Protección de Datos ha decidido malinterpretar la Ley, para no sancionar por actos que la propia Ley dice que son merecedores de sanción. (Propuesta de sanción & Sanción)

Y todo ello con mi mayor respeto y afecto al legislador, al que saludo en su propia lengua: Gâkh Golug narku gimbubut lat!

1.- Explicación de la imagen superior

La imagen que ilustra este artículo (arriba) muestra una ecuación matemática cuya incógnita, que es el resultado, solo es posible hallar cuando el número de factores alcanza el infinito. Al no ser posible llegar al infinito, debemos parar en algún momento: Si no comenzamos la operación, obtenemos un 0 absoluto; si paramos tras un +1, obtenemos un 1; si paramos tras un -1, volvemos al 0. Por tanto, debemos asumir que el resultado más certero que podemos dar a la ecuación es un 1/2. Es decir, la incógnita resultante es la mitad de un entero.

Las auditorías de cookies son similares a la ecuación: solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las cookies de la web, lo cual es imposible. Una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado: el contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores… y puede estar creado sobre un CMS de actualización automática; y el externo está absolutamente fuera de nuestro control. La instalación de cookies es constante, cambiante y descontrolada. Si no hacemos una auditoría, obtendremos un cero absoluto, lo que implica un incumplimiento flagrante de la Ley. Si hacemos una auditoría perfecta, el resultado puede ser un +1… o un -1, lo cual es un 0 relativo. La consecuencia de la Paradoja de Epicel es sencilla: toda auditoría de cookies resultará en un cumplimiento parcial de la Ley.

2.- ¿Qué es la Paradoja Epicel?

EPICEL es el acrónimo de las palabras «Es Prácticamente Imposible Cumplir Esta Ley». La Paradoja Epicel demuestra como una auditoría de cookies correctamente realizada solo permite cumplir la ley a medias. Es imposible tener la certeza de haber localizado y descrito todas las cookies que el sitio crea, está preparado para crear o permite crear a otros.

El nombre EPICEL (Paradoja Epicel) es inventado, por supuesto. Publicar aquí lo que deseo es mi voluntad; dárselo a quien quiero es mi privilegio.

3.- Un ejemplo de la Paradoja de Epicel: la invocación

Los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastran cookies de las páginas fuente. Al auditar (una vez más) la web de mi despacho, advertí que una de las páginas instala una cookie técnica (wptouch-pro-cache-state) enviada precisamente desde mi blog: para evitar la subida de una imagen específica que ya estaba publicada aquí, introduje en el post de Abanlex un sencillo código de invocación, de manera que el contenido del blog personal se arrastrase a la web corporativa con cada nueva visita. Sin embargo, además del contenido se arrastra también una cookie.

Los códigos de invocación más comunes son los que copiamos desde los sitios YouTube y Google Analytics, para embeber vídeos y para monitorizar la navegación de los usuarios, respectivamente. En el lateral de este mismo blog podéis ver, en vista HTML, al menos 7 códigos de invocación, que muestran cuadros de Twitter, Facebook y Grooveshark, entre otros.

Captura de pantalla 2014-02-06 18.06.12
Es recomendable usar las opciones de «Mejora de la privacidad» en YouTube, que sustituyen el código de invocación originario por otro que no llama a las cookies

4.- Otro ejemplo de la Paradoja de Epicel: Los iFrames

Los iFrames son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente.

A principios de siglo los programadores usábamos bastante los iFrames para salvar obstáculos: mostrar publicidad, presentar un listado de artículos, introducir contenido ajeno… Facebook y Twitter los siguen usando.

A continuación muestro el código de un iFrame que permitiría ver una página de la Wikipedia. Si lo tuviese aquí activado, Wikipedia ya te habría instalado sus tres cookies. Justo debajo pongo el código para crear el iFrame en el que se muestra a Nyan (si quieres disfrutar de Nyan.Cat con música, pulsa aquí).

Opinión: ¿Vamos a obligar a Wikipedia a cumplir una ley española para poder poner su contenido en un iFrame? No podemos, a menos que afirmemos que ofrece un servicio especialmente dirigido a los usuarios españoles o que las cookies que instala son instrumentos tecnológicos ubicados en territorio español. ¿Las webs de España tienen prohibido ahora usar iFrames de prestadores que incumplan la ley de cookies española? Sí, como norma general. ¡Pero qué absurdo!

[iframe src="https://es.wikipedia.org/wiki/Iframe"
height="400" width="600"
frameborder="1" scrolling="auto"]
[/iframe]
[iframe src="https://www.nyan.cat/cats/original.gif"
height="600" width="100"
frameborder="1" scrolling="auto"]
[/iframe]

5.- ¿Cuánto tiempo lleva una auditoría de cookies?

Las auditorías de cookies pueden parecer sencillas, pero no lo son. Estos son los tiempos dedicados:

  • Sitios web pequeños sin apenas cookies: entre 10 y 20 minutos de análisis.
  • Sitios web complejos con años a la espalda: entre 15 y 25 horas de análisis.

En el caso de la auditoría a una universidad, tardé 12 horas. También es cierto que ahora ya sé las finalidades de muchas de las cookies analizadas, así que la próxima espero tardar menos.

6.- ¿Cómo es posible que una auditoría requiera tanto tiempo?

Una auditoría de cookies es compleja por los deberes que para el auditor conlleva:

  • Debes localizar las cookies: las cookies no se instalan al visitar la home, sino al visualizar una determinada página o realizar una acción específica. Para ello, debes rastrear todas las páginas del sitio principal y todas las de los sitios secundarios. En cada página, debes accionar todos los mecanismos puestos a disposición del usuario.
  • Debes acceder hasta al lugar más recóndito de la web: Es posible que se instale una cookie al publicar un comentario, llenar el carrito, solicitar información, suscribirse al boletín, acceder al correo o revisar la documentación de un curso. Debes tener acceso completo a todo el sitio web… y utilizarlo.
  • Debes averiguar la finalidad de cada cookie: Cada cookie tiene un propósito. No debes inventártelo, sino averiguarlo. En ocasiones, encontrarás este propósito en la página de cookies del dominio del que se instala. También puedes probar en la web del responsable, en la web del titular del dominio, en webs de hackers, en foros de debate o en buscadores. Los desarrolladores informáticos del sitio que auditas deben cooperar contigo y darte esta información, si la tienen. Puedes preguntar al responsable de la aplicación que genera la instalación. Y, si no se localiza la finalidad, debes requerir la supresión inmediata de la solución que la genera.
  • Debes anotar los detalles de las cookies: cada página mostrará unas cookies concretas y potencialmente diferentes a las que se mostrarán en la siguiente página que visites. Debes anotar los detalles de todas las que se muestren y, en particular, los siguientes:
    • Nombre de la cookie
    • Dominio del que se descarga
    • Finalidad de la cookie
    • Vigencia hasta su expiración
    • URI de su localización, a efectos de verificación de la existencia de la cookie
  • Debes visitar el sitio en todas sus versiones: Un sitio con diseño adaptable (en inglés, responsive web design) cambia su comportamiento en función del dispositivo que se use para visualizarlo. Es posible que cambie incluso el dominio y presente una página completamente diferente. Deberás hacer una auditoría específica por cada adaptación significante de la que te advierta el cliente o que tú detectes. Ten en cuenta que hay versiones para escritorio, móviles, tabletas, videoconsolas y, dentro de poco, relojes y gafas.
  • Debes auditar el sitio desde diferentes navegadores: Algunos sitios web se presentan de forma diferente en función del navegador (o de la versión del navegador) que el visitante use. Las etiquetas se encuentran bien indicadas en el HTML de cada página. Es posible que la instrucción sea común para todo el sitio o que sea específica para páginas con contenido enriquecido.
  • Debes hacer la auditoría sobre todos los dispositivos de almacenamiento y recuperación de datos: Además de las cookies, también puede haber píxeles de seguimiento, web beacons, etiquetas ETag y ciertas librerías, que están regulados por la misma norma que regula las cookies. En este caso, requerirás de la ayuda del equipo técnico que ha desarrollado la página.
  • Debes auditar todos los sitios web del cliente: Es posible que el cliente tenga un sitio web principal, pero también un blog en WordPress.com, un perfil de empresa con noticias propias en Twitter y una galería de productos a la venta alojada en Facebook con enlaces de compra en el pie de cada imagen. En estos casos, deberás, al menos, conocer el funcionamiento de la tecnología de los terceros empleada para alojar páginas de empresa y perfiles profesionales. Además, deberás auditar los complementos y herramientas instaladas debido a que suelen hacer uso de cookies analíticas, publicitarias y de rastreo.

 7.- ¿Qué herramientas necesito para hacer una auditoría de cookies?

Debes tener varios navegadores limpios, preparados para este trabajo.

Cada auditor tiene sus preferencias en cuanto a navegadores. A mí me gusta usar para este trabajo Firefox Portable y Google Chrome, ambos con Firebug instalado. Suelo emplear ventanas de navegación privada. También trabajo con el Firefox clásico.

Para tener una primera idea de lo que voy a encontrar, a veces uso otras herramientas, como Attacat Cookie Audit Tool en Chrome o Cookie Monster en Firefox. Son útiles, pero no 100% confiables.

Es importante que sepas interpretar HTML. Es básico que sepas leer inglés avanzado. Es imprescindible que tengas interés por descubrir y originalidad para encontrar soluciones.

 8.- ¿Qué pasos he de dar para hacer una auditoría?

 Los pasos para hacer una auditoría de cookies son los siguientes:

  1. Genera una lista con todos los sitios a analizar, incluidos los subdominios y los blogs desvinculados.
  2. Obtén información sobre el CMS usado en cada sitio y sobre la política de actualización de plugins.
  3. Visita todas las páginas de un mismo sitio, haciendo uso de una ventana de navegación privada, usando un compilador de cookies. Obtendrás así una primera impresión. ¡Naturalmente, has de navegar sin estar logueado en redes sociales!
  4. Usa una ventana de navegación privada, en Firefox limpio solo con Firebug instalado, para visitar todas las páginas de un mismo sitio. Si por error visitas una página que esté fuera del dominio, deberás empezar de cero. Sugiero que utilices Firefox Portable para que puedas usar una instalación nueva en cada auditoría.
  5. Recopila toda la información concerniente a las cookies que localices en cada una de las páginas visitadas: nombre de la cookie; dominio del que se descarga; finalidad de la cookie, vigencia hasta su expiración; y URI de su localización, a efectos de verificación posterior de la existencia de la cookie.
  6. En caso de que desconozcas la finalidad de una cookie, averíguala. Es posible encontrar casi todas las finalidades de las cookies en este buscador, en la Cookiepedia o en páginas de hackers como Stackoverflow. Algunas empresas responsables también publican información sobre sus cookies en sus propios avisos legales y otras facilitan correos electrónicos de contacto para que se lo puedas preguntar.

Una vez finalices la auditoría de cookies, debes informar en el aviso legal sobre las cookies que has descubierto y generar un sistema de bloqueo de las cookies no técnicas hasta que el usuario haya dado su consentimiento para la instalación. Recuerda que si alguna cookie se usa para tratar datos personales, deberás aplicar, además, la LOPD. He escrito algunos post que pueden servir sobre cómo cumplir la ley de cookies, sobre la propuesta de sanción por incumplir y sobre las primeras multas por no cumplir la Ley de cookies.

La verdad es que no sé cómo hay empresas que venden auditorías de cookies por 200€. Supongo que será lo siguiente que investigue.

Hasta aquí hemos visto la parte sencilla de una auditoría de cookies. Pero lo cierto es que es bastante más complicada. En una auditoría, que he concluido hoy he tenido que analizar, además del sitio web principal, 6 subdominios, 5 áreas privadas, 2 secciones de venta, 4 blogs externos (uno de ellos en Tumblr, otro en WordPress.com, uno en Blogger y un último en un servidor propio con WordPress como CMS instalado), página de empresa en Foursquare, LinkedIn y Facebook y perfil en Twitter y Pinterest. El perfil en Facebook tiene complementos de terceros instalados; en uno de los blogs integraba vídeos y textos de proveedores como Scribd y Slidshare; el blog en servidor propio cuenta con un CMS que se actualiza automáticamente y con más de 20 plugins de proveedores externos, que instalan cookies como si estuvieran repartiendo frutas escarchadas sobre un roscón; y el sitio web principal tiene instaladas soluciones de publicidad inteligente y herramientas que permiten compartir noticias y posts. ¡El número de cookies localizado es de 93! 32 de ellas son publicitarias y 28 envían información personal del usuario a empresas que mi cliente desconoce… o desconocía. 2 se instalan unas veces y otras no. Y hay 4 de las que apenas tenemos información.

El problema es el siguiente: los prestadores pueden estar cambiando las cookies que instalan ahora mismo.

9.- Consecuencias de la Paradoja de EPICEL

Es prácticamente imposible cumplir esta ley de cookies. Por este motivo, la AEPD hace una interpretación interesadamente errónea, pero agradecida, de los artículos 22.2 y 38.4.g de la LSSI, concluyendo que la información debe ser entregada antes de la instalación de cookies pero que el incumplimiento de esta obligación de información previa no es sancionable.

El art. 22.2 LSSI obliga a los prestadores a ofrecer información completa, clara y previa a la instalación de cookies. El 38.4.g prevé una sanción por el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el artículo 22.2.

Si la AEPD se ciñese a la literalidad de la Ley, tendría que sancionar a las empresas que tienen página de empresa en Facebook o cuenta en Twitter, por haber elegido una tecnología que brea a sus usuarios con cookies de terceros sin ofrecerles información previa.

Afortunadamente, la AEPD ha decidido malinterpretar la Ley afirmando en su resolución que ofrecer información de forma incorrecta (es decir, solo en un aviso legal después de haber instalado todas las cookies posibles al usuario) es ilegal pero no es sancionable. La AEPD basa su interpretación en la imposibilidad de sancionar la falta de consentimiento, obviando que lo que debe sancionar es la falta de información previa, clara y completa.

En conclusión: La AEPD, órgano sancionador, ha decidido (según interpreto leyendo el literal de su resolución) que es posible incumplir la Ley, en relación con las cookies no técnicas, de estas formas:

  • Es ilegal, pero no sancionable, no ofrecer información previa a la instalación de cookies, siempre que se ofrezca después de la instalación de forma clara y completa.
  • Es ilegal, pero no sancionable, tener página o perfil en redes sociales y plataformas de terceros, como WordPress.com, que instalen cookies sin avisar, pero tengan un buen aviso informativo de cookies que el usuario pueda ver después.
  • Es ilegal, pero no sancionable, no obtener el consentimiento del usuario antes de instalarle cookies.
  • Es ilegal, pero no sancionable, instalar al usuario todas las cookies que consideres, manteniendo escondida en la web toda la información completa y clara sobre las mismas.

Este asunto lo explico con más detalle en el post «Primeras multas por vulnerar la Ley de Cookies«.

Esta norma de cookies es la mayor estulticia que el legislador ha podido sacarse de la manga. ¿Tiene sentido que exista una norma tan absurda como esta? ¿Una norma creada solo para sancionar? ¿Una norma injusta con los ciudadanos y con las empresas?

Si el legislador desea solucionar este asunto de las cookies, puede optar por soluciones más sensatas. Por ejemplo, podría obligar a los prestadores con su sitio en un servidor propio a usar tecnologías similares a Do Not Track; podría recomendar a los navegadores que incluyan en sus nuevas versiones un sistema específico que permita a los usuarios navegar sin ser rastreados; podría obligar a ofrecer información clara y completa (pero no previa) sobre las cookies propias que se instalan, no sobre las ajenas. Podría dejar de intentar controlar la tecnología, asumir que existe, entender que Internet es una ventana al Mundo y empezar a desarrollar normas que se adapten al estado de la ciencia. Necesitamos legisladores sensatos que ayuden a potenciar el comercio electrónico.

10.- Reformas propuestas a la Ley de Cookies:

Está en proceso una reforma de la ley de cookies, que implicaría la supresión de la expresión «siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto» del párrafo 2º del artículo 22.2, lo cual es una chorrada. El párrafo quedaría como sigue:

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

El legislador, ¿qué pretende con este párrafo? ¡¿Intenta dejar sin contenido el primero del 22.2?! Creo que no se da cuenta de que este párrafo obliga al desarrollador de sitios web a crear una tecnología que discrimine navegadores, instalando o no cookies en aquellos que cuenten con un área de configuración de cookies y no instalándolas en aquellos simples que no permitan la configuración, como Browser Lite, para iPhone y otros tantos. Esta revisión no cambia el hecho de que cumplir la ley es imposible, con o sin esa expresión que ahora quieren suprimir. Esta modificación de la Ley se merecerá una oda más a la ineptitud legislativa.

<

p>Mi recomendación al legislador está al final de esta secuencia.

9 thoughts on “Cómo hacer una auditoría de cookies (Paradoja Epicel)”

  1. Pablo, muchísimas gracias por este artículo, absolutamente aclaratorio para mí. Cuando alguien me pregunta sobre cuánto cobro por meterle el mensaje de las cookies en su web, yo me echo a temblar. De hecho, hemos decidido que no nosotros sólo cobramos por la parte técnica del mensaje, que les recomendamos si quieren algún despacho de abogados para el texto, pero la gente se toma estos temas a la ligera y con razón. Es imposible cumplir la ley, lo han hecho de pena. Mil gracias por toda la info.

  2. Jajaja…muy bueno Pablo, muy bueno….estamos realizando una auditoria de cookies para lograr el sello de confianza online y nos estamos volviendo locos (sindrome de Epicel) ya que, entre otras cosas, ellos ven otras cookies que nosotros no habíamos visto y cuando vamos a buscarlas ya no están…jajaja… de locos, y encima la auditoria no sirve para nada si en el minuto mas uno los propietarios de los widgets, plugins y demás martingalas deciden instalar cookies nuevas……que baje EPICEL y lo vea!!!

  3. Pablo, ante todo muchas gracias por todo el trabajo que dedicas a informar sobre el asunto éste porque, igual que yo, veo que hay mucha gente que se está volviendo loca.

    En mi opinión, las sanciones deberían ser para todos aquellos desarrolladores de plugins y demás «cacharrería» tecnológica (en mi caso WordPress) que instala cookies y no informa debidamente sobre éstas. ¿Tanto les costaría hacerlo?

    Supongo que en algún momento mi paciencia lleguará a un límite y decidiré eliminar toda traza de WordPress para volver al HTML plano, prescindiendo de toda interacción con mis usuarios y de todo tipo de beneficio que la plataforma, sin duda, ofrece. Con eso me evitaré sólo algunos problemas, lo sé, pero la vida será infinitamente más sencilla, al menos para mí.

    Cuando pienso en qué razones puede haber para hacer semejantes chapuzas con las leyes sólo se me ocurre una: no quieren que la gente haga nada. A mí, desde luego, me han quitado las ganas.

    Un saludo a todos.

  4. Muy interesante tu articulo. No estoy totalmente de acuerdo con algunos temas que has dado, por ejmplo los valores que indicas en las auditorias, al dia de hoy tenemos unas herramientas muy buenas para realizarlas en tiempos muy cortos.Manejo kali linux para realizarlas y por ahora no me puedo quejar.

    Pero tu articulo me ha gustado

  5. Muy interesante tu blog. Estoy haciendo mi Trabajo fin de carrera sobre el tema de cookies y me ha aclarado bastantes cosas. Me gustaría preguntarte una cosa en particular que me he planteado y no se responderla. Es que si la infracción del articulo 22.2 de la LSSI, puede llegar a suponer una responsabilidad civil o incluso penal y en su caso, ¿tiene la AEPD competencia para ello?.
    Si es posible espero su respuesta y estoy abierto a cualquier tipo de fuente e información.

  6. Hola Pablo,

    ¿Me podrías hacer tu la auditoría? Estoy un poco perdido y no me quiero meter en camisa de once varas.

Comments are closed.

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad
Ir al contenido