Decir "No" equivale a "Sí": el botón de rechazar cookies resulta ser solo un mero adorno
Una auditoría revela un fraude masivo que involucra a las principales corporaciones.
Los sitios populares en California parecen seguir recopilando datos publicitarios incluso después de una prohibición explícita por parte de los usuarios. Una nueva auditoría de webXray pinta un panorama preocupante: el mecanismo Global Privacy Control (GPC), que debería detener la transmisión de datos para publicidad, en la práctica suele ser ignorado tanto por los propios sitios como por las grandes plataformas tecnológicas.
Según webXray, en marzo de 2026 el equipo examinó 7.634 sitios populares desde una dirección IP de California y comparó su comportamiento con la señal GPC activada y desactivada. Se descubrió que 194 servicios publicitarios seguían instalando cookies publicitarias a pesar de que el usuario había prohibido ese tratamiento. En total, la auditoría registró 125.106 casos de ese tipo, y en el 55% de los sitios las cookies publicitarias aparecían pese a la negativa.
Los autores del informe analizaron por separado las mayores plataformas. En Google la frecuencia de incumplimiento alcanzó el 86%, en Meta el 69% y en Microsoft el 50%. webXray afirma que los servidores de Google y Microsoft recibían la señal estándar Sec-GPC: 1, pero aun así devolvían órdenes para instalar cookies de seguimiento publicitario. En el caso de Meta, según el equipo, el problema está integrado directamente en el código del píxel: el script se ejecuta sin comprobar el estado de la negativa.
La revisión también incluyó los banners de consentimiento. Las 11 plataformas de gestión de consentimiento estudiadas, incluidas las soluciones certificadas por Google, no bloquearon las cookies publicitarias después de activar la GPC al menos en parte de los sitios. En los tres mayores proveedores anonimizados la tasa de fallos osciló entre el 77% y el 91%. webXray considera que tales herramientas crean una falsa sensación de protección, aunque en la práctica no impiden la transmisión de datos.
Los autores del informe vinculan el problema no solo con la privacidad sino con el dinero. Recolectaron seis casos públicos bajo la Ley de Privacidad del Consumidor de California (CCPA) en los que la violación de la negativa a transmitir datos ya dio lugar a sanciones, y calcularon una multa media de 1,39 millones de dólares. Si se aplica esa estimación a 4.170 sitios que continuaron instalando cookies publicitarias tras la negativa, el riesgo agregado alcanza los 5,8 mil millones de dólares.
El informe recuerda que los reguladores de California ya han sancionado a empresas por ignorar la GPC, y que la ley exige cesar la venta o la transferencia de datos personales al recibir dicha señal. webXray subraya que las conclusiones de la auditoría no constituyen una opinión legal, pero, a juicio de la empresa, los datos recopilados indican una escala industrial de incumplimiento.