Google revocó su prohibición del fingerprinting y mató Privacy Sandbox. Así es el rastreo online ahora.

La historia que se suponía que ocurriría: Google eliminaría las cookies de terceros, forzaría a la industria a adoptar las alternativas de Privacy Sandbox y la web sería más privada. La historia que realmente ocurrió: Google revocó su prohibición del fingerprinting en febrero de 2025, descontinuó oficialmente Privacy Sandbox en abril de 2025, nunca completó la eliminación gradual de cookies que había prometido repetidamente desde 2020, y para 2026 el rastreo online es técnicamente más sofisticado y más difícil de bloquear por los usuarios que cuando comenzó esta historia.

Entender lo que pasó requiere separar tres hilos distintos que se enredaron en la cobertura: el destino de las cookies de terceros, el destino de Privacy Sandbox y el auge del fingerprinting como método de rastreo sucesor. Están relacionados pero no son la misma historia.

Qué pasó con las cookies de terceros

Las cookies de terceros — el mecanismo que permite a una red publicitaria reconocerte en diferentes sitios web donde aparecen sus anuncios — se suponía que morirían en Chrome para 2022. Ese plazo se retrasó a 2023, luego a 2024, luego al cuarto trimestre de 2025. En abril de 2025, Google confirmó que no implementaría una eliminación universal de las cookies de terceros en Chrome. En su lugar, mantendría los controles de cookies existentes en la configuración de Chrome y daría a los usuarios un prompt único para configurar sus preferencias.

Esto no es una victoria técnica para las cookies de terceros. Safari y Firefox bloquean el rastreo entre sitios por defecto desde hace años, y esos navegadores representan colectivamente aproximadamente el 35% del tráfico web global. La decisión de Chrome de no eliminarlas significa que las cookies de terceros persisten en el navegador usado por el 65% de la web — pero la industria publicitaria ya se estaba adaptando a su eventual muerte, y muchas de esas adaptaciones resultaron estar basadas en fingerprinting.

El resultado práctico: las cookies de terceros todavía funcionan en Chrome, pero su alcance está limitado por los marcos de consentimiento, el hecho de que muchos usuarios ignoran o descartan los banners de cookies y la continua erosión de su eficacia a medida que la infraestructura de resolución de identidad se desplaza hacia otros métodos.

Privacy Sandbox: la alternativa que no se materializó

Privacy Sandbox fue el intento de Google de reemplazar la funcionalidad de las cookies de terceros con alternativas que preservaran la privacidad. Las propuestas principales — Topics API (publicidad basada en intereses sin rastreo individual), Attribution Reporting API (medir conversiones de anuncios sin datos entre sitios) — fueron diseñadas para permitir que el ecosistema publicitario funcionara sin identificadores individuales entre sitios.

Privacy Sandbox fue descontinuado oficialmente en abril de 2025. Las razones declaradas: baja adopción por parte de sitios web y la industria adtech, presión regulatoria de la Autoridad de Competencia y Mercados del Reino Unido (que tenía preocupaciones sobre si Privacy Sandbox servía principalmente al negocio publicitario de Google en lugar del ecosistema más amplio) y la realidad práctica de que sin la eliminación obligatoria de cookies que forzara la migración, no había una razón convincente para que la industria adoptara alternativas incompletas.

La ICO del Reino Unido mantuvo que Privacy Sandbox aún requería consentimiento explícito del usuario para fines de rastreo — lo que significaba que Privacy Sandbox en realidad no resolvía el problema del consentimiento, solo movía dónde se requería el consentimiento. Con esa decisión regulatoria, el caso de negocio para adoptar Privacy Sandbox se evaporó en gran medida.

La reversión del fingerprinting: qué cambió y qué significa

El fingerprinting del navegador — crear un identificador único para un dispositivo combinando características como el comportamiento de renderizado de la GPU, fuentes instaladas, resolución de pantalla, zona horaria, estado de la batería y cientos de otras señales — ha sido técnicamente posible durante años. Google había clasificado anteriormente el fingerprinting como una violación de sus políticas publicitarias, colocándolo en la misma categoría que las prácticas que eluden los controles de privacidad del usuario.

En febrero de 2025, Google revocó esa política. El fingerprinting ahora está permitido dentro de los productos publicitarios de Google, citando tecnologías de mejora de la privacidad como justificación. En la práctica, esto significa que el fingerprinting pasó de ser una técnica que los anunciantes usaban en silencio y de manera negable a una que se despliega abiertamente y está sancionada oficialmente por la empresa de publicidad digital más grande del mundo.

El estado técnico del fingerprinting en 2026 es aleccionador. Los sistemas modernos de fingerprinting combinan más de 100 señales de dispositivos y navegadores. El análisis impulsado por IA de esas señales logra una precisión de identificación de hasta el 99,78% en dispositivos móviles. Incluso con JavaScript deshabilitado, el canvas fingerprinting, la enumeración de fuentes y las señales de comportamiento pueden identificar usuarios con un 94,2% de unicidad. La técnica funciona en modo de navegación privada, sobrevive a la eliminación de cookies y persiste a través de actualizaciones del navegador porque la configuración subyacente de hardware y software cambia lentamente.

La ICO del Reino Unido mantiene que el fingerprinting requiere consentimiento explícito del usuario bajo el GDPR — una posición que crea tensión legal con la política de uso permitido de Google. Pero la aplicación de esa tensión depende de que los reguladores tengan tanto los recursos como la capacidad técnica para auditar despliegues de fingerprinting a escala, lo cual es sustancialmente más difícil que auditar el uso de cookies.

Fingerprinting polimórfico: por qué bloquear se está volviendo más difícil

El fingerprinting tradicional puede ser parcialmente derrotado por navegadores anti-detección — herramientas que falsean las características del navegador, presentan renders de canvas fabricados y manipulan otras señales de fingerprinting para crear un perfil de dispositivo engañoso. Los navegadores centrados en la privacidad como Brave y Firefox implementan cierta resistencia al fingerprinting por diseño.

El fingerprinting polimórfico, que surgió en 2026, cambia la dinámica adversarial. En lugar de usar JavaScript estático que las herramientas de bloqueo de fingerprinting pueden identificar e interceptar, el fingerprinting polimórfico altera dinámicamente el código utilizado para recopilar señales — cambiando nombres de funciones, orden de ejecución y patrones de transformación de datos en cada solicitud. La validación de coherencia del lado del servidor luego verifica si el patrón de fingerprint coincide con el comportamiento esperado, marcando inconsistencias que sugieren suplantación. Los navegadores anti-detección que logran bloquear una implementación de fingerprinting se encuentran reidentificados porque las señales falseadas son internamente inconsistentes de maneras que el servidor puede detectar.

La carrera armamentista entre el fingerprinting y la resistencia al fingerprinting siempre ha existido. El fingerprinting polimórfico representa un avance genuino en las capacidades del lado del fingerprinting, no solo una mejora incremental.

Lo que realmente está reemplazando a las cookies: la respuesta real de la industria

La respuesta real de la industria adtech al futuro limitado de las cookies no es una única API respaldada por Google — es una combinación de enfoques que colectivamente reducen la dependencia de cualquier mecanismo de rastreo individual:

Datos propios (first-party data): Datos recopilados directamente de usuarios que los han proporcionado explícitamente — direcciones de correo electrónico, historial de compras, preferencias declaradas. Estos datos son muy precisos y cumplen con el consentimiento, pero se limitan a marcas que tienen relaciones directas con los usuarios.

Unified ID 2.0 (UID 2.0): Un Framework de código abierto que crea identificadores anonimizados y cifrados a partir de direcciones de correo electrónico con consentimiento del usuario. El editor solicita un correo electrónico; UID 2.0 lo convierte en un ID seudónimo que se puede usar para segmentación sin exponer el correo electrónico sin procesar a los anunciantes. La adopción está creciendo pero requiere acción del usuario (proporcionar un correo electrónico) que la mayoría de la navegación no implica.

Data Clean Rooms: Entornos de computación segura donde múltiples partes pueden analizar sus conjuntos de datos combinados sin compartir datos de usuario sin procesar. Una marca puede traer datos propios de clientes; un editor puede traer datos de usuarios autenticados; la clean room encuentra la superposición y mide la efectividad de la campaña sin que ninguna de las partes vea los registros sin procesar de la otra.

Publicidad contextual: Segmentación basada en el contenido de la página que se está viendo en lugar del historial del usuario que la ve. Un usuario que lee una reseña de un coche recibe anuncios de coches independientemente de su historial de navegación. Menor precisión que la segmentación conductual, pero no requiere rastreo entre sitios.

Ninguno de estos reemplaza completamente la precisión de la segmentación conductual mediante rastreo entre sitios. Esa precisión se ha perdido para los usuarios que bloquean cookies, usan Safari o están cubiertos por los requisitos de consentimiento del GDPR. Para los usuarios que no lo están — la mayoría — el fingerprinting es el identificador predeterminado en un mundo donde las alternativas basadas en cookies no han logrado despegar en gran medida.

Qué pueden hacer realmente los usuarios

En la práctica: usar Firefox o Brave en lugar de Chrome, ambos con resistencia al fingerprinting más agresiva incorporada. Activar la protección de rastreo estricta (Firefox) o los escudos contra fingerprinting (Brave). Usar una VPN para ocultar tu IP, que es una de las señales de fingerprinting más fuertes. Entender que el modo de navegación privada evita el rastreo local (historial guardado, cookies) pero no previene el fingerprinting — las características del dispositivo son las mismas independientemente del modo de navegación.

Ninguna herramienta de consumo derrota completamente el fingerprinting moderno. Lo que hace la resistencia al fingerprinting es hacerte parte de un grupo más grande que se ve igual — lo que limita la segmentación conductual incluso si no puede eliminar la identificación del dispositivo por completo. La brecha de privacidad entre un navegador resistente al fingerprinting y una instalación predeterminada de Chrome es real y significativa.