Cookies third party: qué son y cómo adaptar tu medición

Blog

Conceptos clave, riesgos y pasos prácticos para adaptar la medición.

  • Identificar qué son las cookies third party y diferenciarlas de first y second party, tanto técnicamente como en negocio.
  • Reconocer usos concretos en publicidad, analítica e iframes, y evaluar el impacto de su bloqueo en medición y targeting.
  • Aplicar una checklist práctica para migrar a soluciones server-side, alternativas cookieless y pruebas de QA y gobernanza operativa.
Índice de contenido

¿Tienes poco tiempo?
Haz clic y obtén un resumen avanzado gracias a nuestra IA

ChatGPT Claude Perplexity
Fran Jiménez
Últimas entradas de Fran Jiménez (ver todo)

¿Qué son las cookies third party?

Las cookies third party (cookies de terceros) son cookies que el navegador almacena asociadas a un dominio distinto al que el usuario está visitando en ese momento. En la práctica, aparecen cuando una página carga recursos de un proveedor externo (por ejemplo, un píxel publicitario, un script de analítica, una librería de A/B testing o un iframe) y ese proveedor intenta leer o escribir una cookie bajo su propio dominio.

El matiz importante es el contexto: una cookie puede ser “first-party” o “third-party” dependiendo de si el dominio de la cookie coincide con el dominio en la barra de direcciones (o el “site” efectivo) en esa navegación. Por eso, el mismo proveedor puede operar en contexto first-party (p. ej., mediante un subdominio propio del sitio) o en contexto third-party (p. ej., como recurso embebido desde el dominio del proveedor).

En términos de medición y publicidad, las cookies third party se han usado durante años para reconocer navegadores en múltiples sitios, habilitar segmentación, atribución, limitación de frecuencia, prevención de fraude y sincronización de identificadores entre plataformas (lo que suele llamarse cookie syncing).

First vs second vs third: resumen práctico

First-party cookie: se crea y se lee en el mismo dominio (o “site” efectivo) que el usuario está visitando. Suele sostener sesiones, preferencias, estado de consentimiento, cestas de compra y medición propia. Es la base de la medición más estable cuando hay restricciones de terceros.

Second-party cookie: no es una categoría técnica estándar del navegador; es un término de negocio. Normalmente describe datos/cookies compartidos entre dos organizaciones mediante acuerdos, integraciones o entornos controlados. A nivel técnico, cuando esos datos se materializan en el navegador, siguen siendo first o third según dominio y contexto.

Third-party cookie: se asocia a un dominio externo al sitio visitado y aparece por la carga de recursos de terceros. Es el caso típico de redes publicitarias, DSPs, DMPs y otros proveedores adtech que operan en múltiples sitios.

Para una definición y el marco de cambios en navegadores, resulta útil la documentación oficial de Google Privacy Sandbox sobre third‑party cookies y la guía técnica de MDN sobre third‑party cookies.

¿Para qué se usan? (publicidad, analítica, iframes)

Las cookies third party se han utilizado como un mecanismo generalista de identificación pseudónima en el navegador. No almacenan necesariamente datos personales por sí mismas, pero sí permiten enlazar múltiples eventos a un mismo identificador y, cuando se combinan con otras fuentes, pueden aumentar la capacidad de perfilado.

En publicidad, el patrón habitual es: un proveedor inserta un recurso (script, píxel o iframe) que deposita o lee una cookie de tercero; esa cookie funciona como clave para asociar impresiones, clics y conversiones a un mismo navegador y facilitar decisiones de puja, segmentación o medición.

  • Publicidad y retargeting: reconocimiento del navegador entre sitios para mostrar anuncios basados en interacciones previas. También se usa para frequency capping (no mostrar el mismo anuncio demasiadas veces) y para secuenciación creativa.
  • Atribución y medición cross-site: enlace de puntos de contacto publicitarios con conversiones, con ventanas de atribución y modelos que dependían de poder “reconocer” el navegador.
  • Analítica de terceros: algunos proveedores de medición, anti-fraude o herramientas integradas pueden operar como tercero y mantener su propio identificador para deduplicación o análisis.
  • Contenido embebido vía iframes: reproductores, mapas, widgets sociales o sistemas de comentarios. En muchos casos, el iframe intenta acceder a almacenamiento/cookies del dominio que lo sirve; esto es lo que más se ve afectado cuando el navegador restringe terceros.

En entornos modernos, además de cookies, existen otros mecanismos de almacenamiento (localStorage, IndexedDB) y señales (cabeceras, parámetros) que han sido usados para objetivos similares. Muchos navegadores han ido limitando el acceso a estos mecanismos en contexto third-party o han añadido requisitos de interacción y permisos.

¿Cuál es el problema? Privacidad y bloqueo por navegadores

El principal problema de las cookies third party es que habilitan seguimiento entre sitios a escala, con impacto directo en privacidad. Esto ha desencadenado restricciones regulatorias (especialmente en el marco europeo) y, en paralelo, decisiones de producto de los navegadores para reducir o controlar el tracking.

Desde el punto de vista operativo, el bloqueo o la limitación de cookies third party afecta a:

Audiencias publicitarias: se reduce la capacidad de construir y activar audiencias de retargeting basadas en navegación cross-site. Las plataformas pasan a depender más de señales first-party y de modelado estadístico.

Medición de conversiones: aumentan las conversiones no atribuibles a un clic/impresión específico por pérdida de identificadores, ventanas recortadas o imposibilidad de leer cookies de terceros en el momento de la conversión.

Deduplicación y frecuencia: cuando varias plataformas compiten por medir o servir anuncios, la falta de un identificador consistente puede causar duplicados o sobreexposición si el control de frecuencia dependía del tercero.

Experiencias embebidas: iframes de terceros (login social, vídeos, mapas, widgets) pueden fallar parcial o totalmente si requieren almacenamiento third-party para funcionar. En algunos casos hay alternativas (Storage Access API, flujos de autenticación redirigidos, integración server-side) pero requieren trabajo.

En el navegador, el problema se manifiesta de forma visible cuando una cookie se marca (o debería marcarse) con atributos como SameSite y Secure. Desde hace años, muchos navegadores han endurecido el comportamiento por defecto: cookies sin SameSite explícito tienden a tratarse como SameSite=Lax, lo que limita envíos en contextos cross-site. Para terceros, además, se han introducido bloqueos completos o particionamiento del almacenamiento según el navegador.

# Ejemplo genérico de cabecera Set-Cookie (no usar tal cual sin revisión legal y técnica)
# SameSite=None + Secure se exige para cookies en contexto third-party en navegadores modernos.
Set-Cookie: vendor_id=abc123; Path=/; Domain=thirdparty.example; Max-Age=7776000; Secure; HttpOnly; SameSite=None

En el contexto de cumplimiento (RGPD y ePrivacy en la UE), el reto adicional es el consentimiento. Cuando una cookie third party se usa para publicidad comportamental o medición no esencial, la base más habitual es el consentimiento informado, y su ausencia debe traducirse en un bloqueo efectivo de tags y almacenamiento, no solo en un aviso.

Como referencia normativa y de criterios en España, puede consultarse la Agencia Española de Protección de Datos (AEPD) (guías y criterios sobre uso de cookies y tecnologías similares), que condicionan decisiones de implementación de CMP y disparo de etiquetas.

¿Cómo están respondiendo los navegadores y la industria?

La respuesta se ha dado en varias capas: cambios en navegadores, cambios en estándares web y cambios en plataformas publicitarias y de analítica.

Navegadores: Safari y Firefox llevan tiempo aplicando políticas estrictas contra tracking (bloqueo, particionamiento, caducidades cortas en ciertos contextos). Chrome ha impulsado un enfoque con alternativas agrupadas bajo Privacy Sandbox, con el objetivo de reducir el tracking basado en identificadores cross-site y, a la vez, habilitar casos de uso de publicidad y medición mediante APIs más acotadas.

Estándares y mecanismos web: además de SameSite, han aparecido APIs para controlar acceso a almacenamiento en iframes (p. ej., Storage Access API), y propuestas de particionamiento/aislamiento de estados entre contextos. Para aplicaciones con contenido embebido, el patrón habitual es pasar de “leer cookie en third-party por defecto” a “solicitar acceso de forma explícita” o rediseñar la integración.

Plataformas de marketing y analítica: han reforzado estrategias de first‑party data, modelado de conversiones, integraciones server-to-server y señales basadas en eventos. Por ejemplo, en analítica se observa una transición hacia instrumentación por eventos (GA4) y hacia el uso de endpoints propios (server-side tagging) para controlar mejor el flujo y el cumplimiento.

El resultado práctico es que ya no es seguro asumir que un píxel de un tercero podrá escribir y leer su cookie en todos los usuarios. La arquitectura de medición debe soportar escenarios con restricciones: sin cookies third party, con consentimiento parcial, con bloqueo por navegador y con cambios de políticas a lo largo del tiempo.

Alternativas técnicas y estrategias para marketing

La adaptación suele combinar cambios de arquitectura y de activación publicitaria. No existe un sustituto “uno a uno” para todos los usos históricos de cookies third party; lo operativo es identificar qué depende de ellas y rediseñar por caso de uso: adquisición, retargeting, atribución, analítica, personalización on-site y medición de campañas.

Las alternativas más comunes se agrupan en: server-side (control del transporte y normalización de eventos), APIs del navegador (Privacy Sandbox u otras), targeting contextual y un mayor peso de señales first-party (identificadores propios, consentimiento, logins, CRM) donde aplique.

Server-side tagging: ventajas y pasos clave

El server-side tagging traslada parte del procesamiento de etiquetas desde el navegador a un entorno controlado (un servidor propio o gestionado). En vez de enviar datos directamente desde el cliente a múltiples vendors, el cliente envía eventos a un endpoint bajo dominio controlado y, desde ahí, se reenvían a los destinos permitidos bajo reglas de consentimiento, calidad de datos y seguridad.

Ventajas habituales:

Mayor control sobre qué datos salen del sitio y bajo qué condiciones de consentimiento; normalización de eventos (nombres, parámetros, deduplicación); posibilidad de reintentos y colas ante fallos de red; y una reducción de exposición directa de claves/tokens del lado cliente.

Limitaciones a considerar:

No “recrea” automáticamente capacidades perdidas por bloqueo de terceros. Si una plataforma necesita una cookie third party para reconocer al usuario cross-site, server-side no puede forzar al navegador a aceptarla. Aun así, puede mejorar consistencia de medición, reducir pérdidas por bloqueadores y habilitar integraciones server-to-server cuando el consentimiento lo permita.

En el ecosistema de Google, una implementación frecuente es GTM Server-side (contenedor server). Documentación oficial: Tag Manager server-side.

// Ejemplo genérico de dataLayer para un evento de compra (sin datos personales)
// Variables como consent_state deben sincronizarse con la CMP.
<script>
window.dataLayer = window.dataLayer || [];
window.dataLayer.push({
  event: 'purchase',
  ecommerce: {
    transaction_id: 'T-ORDER-0001',
    value: 79.90,
    currency: 'EUR',
    items: [
      { item_id: 'SKU-123', item_name: 'Producto A', item_category: 'Categoria', price: 39.95, quantity: 2 }
    ]
  },
  user: {
    user_id: 'uid_anonymous_001',
    email_hash: 'hash_sha256_placeholder'
  },
  consent: {
    ad_storage: 'denied',
    analytics_storage: 'granted'
  }
});
</script>

Pasos clave (a nivel conceptual): definir un esquema de eventos y un diccionario de parámetros; establecer un endpoint first-party (subdominio dedicado) para recibir eventos; configurar clientes/etiquetas en el servidor con reglas de consentimiento; y validar equivalencias de métricas con un plan de QA.

Privacy Sandbox y APIs federadas: impacto y limitaciones

Privacy Sandbox agrupa propuestas y APIs orientadas a mantener casos de uso publicitarios y de medición sin depender de identificadores cross-site tradicionales. A nivel de marketing, el impacto se percibe en dos áreas: segmentación (alcance de audiencias) y medición (atribución, reporting y deduplicación).

Aspectos a tener presentes en planificación:

Disponibilidad y comportamiento por navegador: las APIs aplican sobre todo a Chrome y derivados; otros navegadores pueden no soportarlas o seguir estrategias distintas. Esto obliga a diseñar medición con degradación controlada y sin dependencias rígidas.

Limitaciones por diseño: para reducir riesgos de reidentificación, las APIs suelen introducir ruido, agregación, umbrales y ventanas controladas. Esto afecta la granularidad del reporting, especialmente para anunciantes con poco volumen.

Integración real: muchas capacidades dependen de que plataformas (DSPs, ad servers, redes) las implementen correctamente. La parte operativa consiste en revisar qué partners soportan qué, con qué requisitos y con qué impacto en reporting.

En la práctica, Privacy Sandbox no se aborda solo “activándolo”, sino revisando compatibilidad de partners, contratos de medición y expectativas internas sobre KPIs (por ejemplo, qué informes pasan a ser modelados y cuáles se mantienen determinísticos).

Contextual y cohort targeting: cuándo aplicarlos

El targeting contextual se basa en el contenido (tema de la página, keywords, taxonomías, señales semánticas) y en el contexto de la impresión (dispositivo, hora, ubicación aproximada cuando aplica y se permite), sin depender de identificar al usuario entre sitios. En entornos con pérdida de cookies third party, suele ser una palanca estable para prospecting y para categorías con afinidades claras.

El concepto de “cohort targeting” ha variado según propuestas de industria. En general, alude a agrupar usuarios en segmentos amplios en función de señales agregadas, evitando identificadores persistentes. Su aplicabilidad depende de la disponibilidad real en plataformas y de las restricciones de privacidad. Operativamente, se trata como una táctica complementaria, no como sustituto total del retargeting basado en identificadores.

Cuándo encajan mejor:

Contextual suele encajar en campañas de alcance y adquisición (TOFU/MOFU), en publishers con buena clasificación de contenido y en estrategias con creatividades alineadas con intención. Cohortes (cuando existen en una plataforma concreta) suelen encajar para escalar afinidades sin necesidad de listas de usuarios, aceptando menor control granular.

Enfoque Qué resuelve Dependencia de cookies third party Trade-offs habituales
Server-side tagging Control de flujo de datos, gobernanza, calidad, reenvío a destinos y resiliencia Baja (no requiere third-party para transportar eventos) No restaura por sí solo identificación cross-site; requiere operación y QA continuos
Privacy Sandbox / APIs Casos de uso publicitarios/medición con restricciones de privacidad Media (reduce dependencia directa, pero depende de soporte de navegador/plataforma) Agregación, umbrales, cambios de reporting y diferencias entre navegadores
Targeting contextual Prospección sin identificar usuarios; estabilidad ante bloqueos Muy baja Menor personalización; requiere taxonomías, creatividades y pruebas por contexto
First-party data (login/CRM) Personalización y medición en propiedades propias con consentimiento Muy baja (si se gestiona en first-party) Necesita estrategia de captura, consentimiento, seguridad, minimización de datos y unificación

Implementación práctica: lista de verificación paso a paso para migrar

La migración en un entorno con menos cookies third party suele fallar cuando se trata como un cambio solo de etiquetas. Funciona mejor cuando se convierte en un trabajo de arquitectura de medición: inventario, objetivos, diseño de eventos, consentimiento, despliegue controlado, QA y gobierno.

El siguiente flujo está orientado a equipos con marketing, analítica e ingeniería, y aplica tanto si se migra a server-side tagging como si se refuerzan integraciones cookieless.

  1. Inventario de tags, cookies y destinos. Identificación de qué scripts cargan en el cliente, qué vendors intervienen y qué cookies se crean (nombre, dominio, duración, propósito). El inventario debe incluir entornos (producción, staging), subdominios y variaciones por país/idioma si existen.

  2. Mapa de casos de uso. Por cada tag o vendor: qué habilita (audiencias, conversiones, analítica, antifraude), qué eventos necesita, qué base legal aplica (esencial vs no esencial) y qué se rompe si el tercero no puede escribir cookies. Aquí se detectan dependencias ocultas, como sincronizaciones entre vendors o reglas de atribución basadas en cookies.

  3. Diseño de un esquema de eventos y parámetros. Definición de nombres coherentes, parámetros obligatorios, deduplicación (por ejemplo, IDs de evento), y separación entre parámetros funcionales y parámetros potencialmente sensibles. En esta fase se decide si se emplea user_id (solo si existe autenticación y base legal) o si se trabaja con identificadores anónimos.

  4. Arquitectura de consentimiento y disparo. Integración con CMP y definición de un estado único de consentimiento consumible por tags. Se deben definir comportamientos por estado (granted/denied) y por región, y asegurar que la ausencia de consentimiento implica bloqueo real de almacenamiento y llamadas a terceros no esenciales.

  5. Implementación técnica. En server-side: despliegue de endpoint first-party (subdominio), configuración de contenedor server, clientes, etiquetas y transporte. En cookieless: configuración de integraciones server-to-server donde aplique (por ejemplo, APIs de conversiones) y ajustes en plataformas para signals y modelado.

  6. Plan de QA y validación de métricas. Comparación controlada antes/después, verificación de eventos, deduplicación y latencia. Definición de tolerancias: la transición puede cambiar cifras por motivos reales (menos tracking) y por ajustes de implementación; ambas cosas deben separarse.

  7. Operación y gobierno. Reglas de cambios (quién publica tags), control de versiones, auditorías periódicas y alertas de caída de eventos. La deprecación de cookies third party es un proceso, no un único hito.

Ejemplo mínimo de auditoría de cookies (qué medir)

Una auditoría mínima debe producir un registro utilizable por marketing, legal y tecnología. Para cada cookie observada (y para cada mecanismo equivalente, como localStorage), interesa:

Nombre y dominio (incluyendo subdominios), ruta (Path), duración (Session / Max-Age / Expires), atributos (Secure, HttpOnly, SameSite), origen (qué script o respuesta la establece), y finalidad (esencial, analítica, personalización, publicidad, antifraude). Cuando exista vendor, conviene anotar responsable y documentación del proveedor.

En paralelo, debe auditarse el flujo de red: endpoints a los que se envían eventos, cabeceras relevantes, parámetros persistidos (por ejemplo, click IDs) y comportamiento con consentimiento denegado. Parte del problema con cookies third party es que aunque la cookie no se escriba, el navegador puede seguir enviando requests si el tag se dispara; por eso el control de disparo es tan importante como el control de almacenamiento.

// Ejemplo genérico para inspección en navegador (orientativo)
// En entornos modernos, document.cookie no muestra cookies HttpOnly.
<script>
console.log('Cookies visibles:', document.cookie);
// Revisar también Application/Storage en DevTools para localStorage e IndexedDB.
</script>

Para auditar con precisión, suele ser necesario combinar: herramientas del navegador (DevTools), un proxy/inspector de red, y el propio modo debug de GTM/GA4 cuando aplique. En contextos con iframes, se debe validar qué ocurre cuando el navegador bloquea almacenamiento third-party: si el componente se degrada, si solicita permisos, o si falla silenciosamente.

Pruebas y QA: tests clave y validación

El QA debe cubrir: exactitud de eventos, consistencia entre entornos, respeto del consentimiento, y estabilidad ante restricciones de terceros. También debe contemplar diferentes navegadores y modos (normal, incógnito, con extensiones).

  1. Validación por estado de consentimiento. Ejecutar flujos con “denied” y “granted” para analítica y ads, verificando que no se disparan tags no esenciales cuando procede, que no se escriben cookies innecesarias y que el comportamiento de la web no se rompe.

  2. Paridad de eventos. Comparar el número de eventos críticos (page_view, add_to_cart, purchase, lead) entre la implementación anterior y la nueva durante una ventana controlada. Cuando haya diferencias, identificar si provienen de bloqueo de terceros (esperable) o de pérdida por instrumentación (corregible).

  3. Deduplicación. Si se usan envíos cliente + servidor a un mismo destino, validar que existe un identificador de evento y que el destino lo soporta; si no, pueden aparecer duplicados. La deduplicación debe validarse con trazas reales (logs del endpoint, debug de plataforma) y no solo con métricas agregadas.

  4. Latencia y timeouts. Medir si el reenvío server-side añade latencia relevante o si se producen pérdidas por timeouts, especialmente en móvil. Esto afecta a conversiones y a eventos al cierre de sesión o al abandonar la página.

  5. Cross-domain y pasarelas. Si hay pagos en dominios externos o redirecciones, validar persistencia de parámetros de campaña y continuidad de sesión. Parte de la pérdida atribuida a “fin de third-party cookies” se explica por integraciones cross-domain incompletas.

# Ejemplo hipotético de endpoint first-party para recolección server-side
# El cliente envía a un subdominio controlado (p. ej., s.midominio.es)
POST https://s.midominio.es/collect
Content-Type: application/json

{
  "event_name": "purchase",
  "event_id": "evt_000001",
  "timestamp": 1710000000,
  "client": {
    "user_agent": "ua_placeholder",
    "ip": "0.0.0.0"
  },
  "consent": {
    "ad_storage": "denied",
    "analytics_storage": "granted"
  },
  "params": {
    "currency": "EUR",
    "value": 79.90
  }
}

Integraciones y ejemplos con GA4, GTM Server, CMPs y Looker Studio

Las integraciones deben diseñarse de forma que el estado de consentimiento y el esquema de eventos sea coherente en toda la cadena: CMP → capa de datos → tag manager → destinos. Cuando el consentimiento está fragmentado (por ejemplo, una CMP que solo controla scripts, pero no controla llamadas desde servidor), aparecen incoherencias de cumplimiento y de medición.

GA4: el enfoque recomendado es instrumentar eventos con parámetros consistentes y controlar el envío según consentimiento. GA4 admite distintos patrones: desde cliente puro, hasta setups híbridos con recolección hacia un endpoint server-side y reenvío. En cualquier caso, conviene revisar qué identificadores se usan (por ejemplo, user_id si aplica) y qué señales se pueden perder sin cookies third party. En contextos donde el navegador limita almacenamiento, GA4 puede depender más de modelado y de señales agregadas.

GTM Server: cuando se usa un contenedor server, la implementación típica incluye:

Cliente (Client) en el servidor para recibir hits (GA4, HTTP API propia, etc.), tags server para reenviar a destinos, y transformations para normalizar parámetros. Una decisión crítica es el dominio del endpoint (subdominio dedicado) y el control de CORS y seguridad.

CMPs: la integración debe garantizar que el estado de consentimiento sea accesible por tags y por la lógica server-side. Esto implica sincronizar señales de consentimiento (por ejemplo, estados por categoría) y definir qué datos se recogen antes y después. En el lado técnico, se debe vigilar la condición de “sin consentimiento”: no basta con ocultar un banner o retrasar un script si el flujo server-side sigue recibiendo eventos no permitidos.

Looker Studio: el objetivo aquí no es la captura, sino la validación y la observabilidad. Tras cambios por deprecación de cookies third party, es habitual necesitar paneles que separen: eventos totales vs eventos consentidos, cliente vs servidor, y métricas determinísticas vs modeladas. También resulta útil añadir métricas de salud: tasa de eventos con event_id, porcentaje de eventos sin parámetros críticos, y latencias.

En integraciones con plataformas publicitarias (p. ej., conversion APIs), la regla práctica es evitar introducir datos personales en cliente y, cuando se usen señales avanzadas (hashes), hacerlo de forma explícitamente condicionada por consentimiento y minimización. Además, se debe verificar que el sistema de deduplicación está bien configurado cuando se envían conversiones desde navegador y servidor.

// Ejemplo genérico (orientativo) de Storage Access API en un iframe
// Puede ser relevante para componentes embebidos que necesitan acceso a almacenamiento.
<script>
async function requestStorageAccessIfNeeded() {
  if (document.hasStorageAccess && document.requestStorageAccess) {
    const hasAccess = await document.hasStorageAccess();
    if (!hasAccess) {
      // En muchos navegadores, esto requiere un gesto de usuario.
      await document.requestStorageAccess();
    }
  }
}
</script>

Errores habituales y cómo evitarlos

Confundir server-side con “volver a tener third-party cookies”. Server-side mejora control y resiliencia, pero no obliga al navegador a aceptar cookies de terceros. La expectativa debe centrarse en gobernanza y calidad de medición, no en recuperar tracking cross-site por la fuerza.

Implementar sin inventario previo. Si no se conoce qué tags crean cookies third party, es imposible priorizar. El inventario debe incluir scripts cargados indirectamente (por ejemplo, mediante un vendor que carga a otros).

Consentimiento solo en cliente. Bloquear scripts en el navegador y luego reenviar eventos desde servidor sin respetar el mismo estado crea incoherencias serias. La lógica de consentimiento debe ser consistente en toda la cadena.

Duplicados por falta de event_id. En setups híbridos (cliente + servidor), enviar el mismo evento por dos rutas sin un identificador compartido causa inflación de conversiones o eventos. Debe definirse un event_id y usarlo en destinos que soporten deduplicación.

Parámetros de campaña perdidos en saltos de dominio. Checkout en otro dominio, redirecciones por SSO o pasarelas de pago suelen romper atribución. Se deben diseñar estrategias cross-domain (cuando aplica) y validar en navegadores con restricciones.

No revisar SameSite/Secure. Cookies sin atributos correctos pueden dejar de enviarse en contextos necesarios. Además, para escenarios third-party, SameSite=None exige Secure. La revisión debe hacerse con DevTools y pruebas reales por navegador.

Depender de iframes que requieren third-party storage. Widgets embebidos pueden fallar si esperan leer cookies third party sin permiso. Se debe evaluar alternativa: integración directa, rediseño del flujo, o uso de Storage Access API donde sea viable.

Ausencia de observabilidad. Sin logs y métricas de salud del endpoint (en server-side) es difícil detectar caídas, cambios de vendors o pérdidas por bloqueadores. Deben definirse alertas mínimas (caída de eventos críticos, aumento de errores, latencia).

Exceso de datos. En la transición, a veces se “envía todo por si acaso”. Esto eleva riesgos de cumplimiento y dificulta QA. Se recomienda minimización: enviar solo lo que se usa y está permitido.

Cambios sin control de versiones. Ajustes en GTM o en el contenedor server sin proceso de publicación y rollback generan divergencias entre entornos. Debe existir disciplina de releases y pruebas.

Casos prácticos / ejemplos

Ejemplo hipotético 1 (ecommerce con alto peso de remarketing): una tienda online depende de retargeting en display y social, y observa una caída en el tamaño de audiencias y en conversiones atribuidas post‑view. La auditoría detecta que gran parte del remarketing dependía de cookies third party y de sincronización entre vendors. La adaptación prioriza: fortalecer eventos first-party (view_item, add_to_cart, purchase), consolidar el envío de conversiones con deduplicación, y reequilibrar inversión hacia contextual/prospecting mientras las plataformas ajustan modelado. El resultado esperado no es “recuperar” todo el remarketing, sino estabilizar medición y reasignar tácticas con menor dependencia de terceros.

Ejemplo hipotético 2 (lead gen B2B con formularios y CRM): un site de captación mide leads y calidad en CRM. Con restricciones de cookies third party, la atribución de campañas se degrada en algunos navegadores, especialmente cuando hay múltiples dominios (landings, subdominios, herramientas de calendario). La solución se centra en consistencia de parámetros de campaña, eventos de formulario robustos, envío server-side de conversiones con identificadores de evento y un modelo de reporting en Looker Studio que separa leads totales, leads cualificados y atribución por fuente con reglas claras. La mejora clave es operativa: menos divergencia entre sistemas y menos “huecos” por saltos de dominio.

Ejemplo hipotético 3 (publisher con contenido embebido): un medio integra iframes de vídeo y widgets sociales. Tras endurecimiento de políticas de terceros, algunos widgets fallan o pierden estado (por ejemplo, preferencias o sesiones). Se revisan proveedores y se prioriza: sustituir integraciones que dependen de third-party storage sin degradación, habilitar opciones de privacidad del proveedor cuando existan, y rediseñar experiencias para reducir dependencias del iframe. La medición del engagement se mueve a eventos first-party capturados en la página anfitriona.

Recursos y ejemplos prácticos

Para equipos que necesitan alinear decisión técnica y de negocio, los recursos más útiles suelen ser:

Documentación del navegador y de estándares para entender contexto third-party, SameSite y acceso a almacenamiento. Es especialmente relevante cuando hay iframes o integraciones embebidas que dejan de funcionar.

Guías de plataformas (analítica, tag management y publicidad) sobre medición por eventos, integraciones server-to-server y requisitos de deduplicación.

Herramientas de depuración: DevTools (Storage/Network), modos debug de GTM/GA4, y trazas en el endpoint server-side (cuando exista) para ver qué llega, qué se transforma y qué se reenvía.

Políticas internas: un documento operativo que defina qué parámetros se recogen, cómo se nombran, qué estados de consentimiento existen y quién aprueba cambios. En escenarios sin cookies third party, el control de cambios evita regresiones de medición y de cumplimiento.

Siguientes pasos para tu equipo

  1. Alinear objetivos de medición. Definir qué decisiones deben soportarse (optimización de campañas, reporting ejecutivo, experimentación, atribución) y qué nivel de granularidad es realista sin cookies third party. Esto reduce expectativas poco operativas y fija criterios de aceptación.

  2. Establecer un inventario vivo. Mantener un registro actualizado de tags, vendors, cookies y endpoints, incluyendo quién es responsable y bajo qué base legal se activan. Sin inventario, cualquier cambio de navegador o proveedor vuelve a abrir el mismo problema.

  3. Definir un estándar de eventos. Consolidar nombres, parámetros críticos, event_id para deduplicación y reglas de consentimiento. El estándar debe aplicarse a web, app (si existe) y server-side para evitar divergencias.

  4. Planificar una migración controlada. Desplegar por fases (staging → porcentaje de tráfico → producción completa), con QA por navegadores y comparación de métricas. El criterio no es que “salgan los mismos números”, sino entender y documentar qué cambia por restricciones reales y qué cambia por implementación.

  5. Crear rutinas de QA recurrente. Revisión mensual/trimestral de: caídas de eventos, cambios de vendors, nuevas cookies, regresiones de consentimiento y discrepancias entre sistemas (GA4, plataformas publicitarias, CRM). En un entorno sin cookies third party, la estabilidad depende de disciplina operativa.

¿Qué son las cookies third party?

Las cookies third party son cookies creadas por un dominio distinto al sitio que el usuario visita, empleadas para reconocer navegadores entre varios sitios.

Se usan habitualmente en redes publicitarias, herramientas de analítica de terceros y recursos embebidos como iframes.

Facilitan el seguimiento cross-site y el perfilado, lo que aumenta riesgos de privacidad y suele requerir una base legal, normalmente el consentimiento informado en la UE.

Su gestión debe integrarse en la política de cookies y en la arquitectura de consentimiento para garantizar bloqueo efectivo cuando proceda.

Sí: combinando señales first-party, envío server-side, conversion APIs y modelado estadístico es posible mantener medición de conversiones.

Estas alternativas reducen dependencia de identificadores cross-site, pero pueden implicar menor granularidad y requieren validación y deduplicación.

El server-side tagging traslada parte del procesamiento de etiquetas a un endpoint propio para normalizar eventos, controlar datos y reenviarlos a destinos autorizados.

No restaura por sí mismo la identificación cross-site, pero mejora gobernanza, minimiza exposición de claves y facilita el cumplimiento y QA.

Artículos recientes

Contenido de valor cada viernes en tu correo

Quiero unirme →

Artículos relacionados

¿Quieres recibir contenido de calidad cada semana?

Cada viernes, todas las tendencias en tu bandeja de entrada

Suscríbete ahora

¿Hablamos?

¡Suscríbete para recibirla!