Rastro (informática)

Un rastro^[1] (tamén chamado frecuentemente polo seu termo en inglés, cookie) é un arquivo de texto que se envía dende os servidores dun sitio web e que se garda nos dispositivos dos usuarios (móbiles, ordenadores, etc). Almacenan información sobre a actividade dos usuarios cada vez que visitan un sitio web e permiten recuperar a información almacenada ata o momento cada vez que estes acceden aos sitios (os rastros envíanse aos servidores para a súa consulta). Deste xeito, o sitio web ou os seus propietarios poden consultar a devandita información e servir determinados contidos, segundo as preferencias do usuario, ou ben conseguir información sobre os hábitos de navegación. O seu tamaño pode ser dende uns poucos quilobytes a varios megabytes. Hai diferentes tipos de rastros, e en función do seu tipo poden ser máis ou menos invasivos en relación coa privacidade. É por isto polo que hai regulacións para limitar e controlar o seu uso e guías para as empresas ou para a comprensión por parte da cidadanía, como a Guía sobre uso de las cookies da Axencia Española de Protección de Datos.^[2]

Historia

Os rastros foron desenvolvidos por Lou Montulli, xunto con John Giannandrea en 1994, mais considérase ao primeiro o seu creador. Foi unha das tecnoloxías máis innovadoras da época. Antes dos rastros, a web era estática e non tiña memoria, polo que facía complicado o comercio electrónico, entre outros. Para solucionar o problema, Netscape Enterprise púxose mans á obra, obtendo unha primeira aproximación aos rastros como encargo para facer unha tenda en liña. Porén, esta solución non funcionaba como se esperaba, e Lou Montulli e John Giannandrea refinárona, conseguindo o concepto de rastro tal e como está descrito neste artigo.

A primeira compañía que usou os rastros foi Netscape, en 1994, para determinar se a xente que visitaba a súa web eran novos usuarios ou repetidos. Esta primeira introdución dos rastros non foi adecuada, pois non se lle preguntaba aos usuarios se aceptaban o consentimento do seu uso, non se indicaba que se ían almacenar nos seus dispositivos, non eran transparentes (non se podía ver o contido que tiñan) e non había ningunha documentación que explicase o que eran os rastros e as súas implicacións á privacidade. Ao longo dos anos foron saíndo normativas en diferentes países que regulaban o seu uso pola Internet, estando en 2024 moi reguladas en Europa.

Debido á pouca información que proporcionaron sobre os rastros, malia seren introducidos en 1994, non foi ata 1996 cando a xente foi consciente de que se estaban utilizando. Os medios de comunicación fixeron énfase na relación entre rastros e invasión á privacidade, e nos seguintes anos foi un dos maiores problemas de privacidade da Internet.^[3]

Categorías de rastros

Os rastros pódense clasificar en función dunha serie de categorías. As categorías non son excluíntes, e cada rastro é dun tipo concreto dentro de cada categoría.^[2]

Segundo a entidade que os xestione

En función da entidade que xestione os datos que se almacenan nos rastros, existen dous tipos:

Rastros propios: envíanse ao dispositivo do usuario dende o equipo ou dominio que presta o servizo que solicitou o usuario. O responsable é o editor dese dominio.
Rastros de terceiro: envíanse ao dispositivo do usuario dende un equipo ou dominio que non o xestiona o editor do sitio que presta o servizo solicitado polo usuario. Polo tanto, o responsable é unha entidade distinta do editor do dominio que presta o servizo.

Destacar que se os rastros son proporcionados polo editor pero quen trata os datos son terceiros para as súas propias finalidades, consideraranse como rastros de terceiro, non como propios.^[2]

Segundo a súa finalidade

En función de para o que se vaian usar os rastros, pódense clasificar en catro tipos:

Rastros técnicos: son os necesarios para que a aplicación, páxina web ou plataforma funcione correctamente debido a que algunhas das súas funcionalidades están implementadas con rastros. É dicir, para que a páxina funcione, é necesario aceptar este tipo de rastros. Algunhas destas funcionalidades poden ser controlar o tráfico e a comunicación de datos, identificar a sesión, acceder a partes de acceso restrinxido, utilizar elementos de seguridade durante a navegación, etc. Tamén están dentro desta categoría os rastros que permiten a xestión dos espazos publicitarios como un elemento de diagramación (sen que estes recompilen información dos usuarios con fins distintos, como pode ser personalizar o contido).
Rastros de preferencias ou personalización: permiten ao usuario acceder ao servizo con algunhas características de carácter xeral que poden diferenciar a súa experiencia da dos outros usuarios, como a lingua, número de resultados a buscar cando realiza unha busca, modo escuro, etc. Estes rastros non requiren información explícita se é o usuario quen accede á personalización a través de elementos da web. Neste caso, a páxina pode funcionar sen necesidade de aceptalas, pero non se podería personalizar.
Rastros de análise ou medición: permiten ao responsable das mesmas o seguimento e análise do comportamento dos usuarios dos sitios web nos que están vencellados. A información recollida serve para introducir melloras en función da análise e das estatísticas obtidas dos datos. Un exemplo deste tipo de rastros é nos xornais dixitais, para saber cales son os artigos que máis se leron. Estes rastros non afectan á privacidade dos usuarios, xa que tratan datos en conxunto con fins estatísticos, sen tratalos persoalmente.
Rastros de publicidade comportamental: almacenan información dos usuarios obtida de diferentes páxinas webs. Adóitanse utilizar crear perfís dixitais ou para coñecer o comportamento dixital dos usuarios e poñer publicidade relacionada co que consome na Internet.^[4] Son dos rastros que están máis presentes nos sitios web e afectan á privacidade, xa que poden influír nas decisións que tome a xente ao ofrecer contido personalizado.^[2] Un exemplo da gravidade no seu uso foi nas eleccións americanas de 2016, onde en Facebook detectaban os usuarios demócratas e mostrábanlle anuncios e vídeos a favor de Donald Trump e en contra de Hillary Clinton.^[5]

Segundo o tempo que permanecen activados

En función do tempo que van permanecer os rastros almacenados nos dispositivos, hai dúas categorías posibles:

Rastros de sesión: serven para almacenar os datos que lle gustaría conservar a un usuario mentres navega por unha páxina web. Desaparecen ao pechar o navegador ou a aplicación móbil.
Rastros persistentes: os datos almacénanse e poden ser accedidos e tratados durante un período definido (indicado mediante unha data de caducidade) que pode ir dende uns minutos a varios anos. Só se eliminan cando se chega á súa data de caducidade ou cando os borra o usuario manualmente. Ten que valorarse se son necesarios, xa que mediante rastros de sesión hai menos riscos para a invasión da privacidade dos usuarios.^[2]

Segundo a súa invasión á privacidade

Pódense distinguir dous tipos de rastros en función de se invaden ou non a privacidade dos usuarios:

Rastros invasivos: almacenan datos privados dos usuarios^[6] e teñen que cumprir o ámbito de aplicación do artigo 22.2 da Lei de Servizos da Sociedade da Información (LSSI).^[7]
Rastros non invasivos: non alteran a privacidade dos usuarios. Dentro destes rastros pódense atopar os de autenticación de sesión do usuario, rastros de sesión para reprodución multimedia, rastros de personalización da interface de usuario... Os rastros non invasivos quedan excluídos do ámbito da aplicación do artigo 22.2 da LSSI, e, polo tanto, non é necesario informar nin obter o consentimento sobre o seu uso.^[7]

Cómpre insistir en que os rastros do resto de categorías mencionadas previamente serán invasivos ou non invasivos. Por exemplo, pode haber rastros técnicos dun reloxo intelixente que sexan invasivos porque para executar a funcionalidade precisan datos privados da saúde do usuario, tales como os latexos do corazón.

Campos dos rastros

Rastros da páxina da Galipedia mostrados co xestor de rastros de Firefox. Nas columnas obsérvanse os distintos campos.

Os rastros, ademais da información que almacenan, poden conter os campos que se mostran a continuación. Os únicos campos obrigatorios son o nome e o valor. Malia que o resto de campos son opcionais, normalmente están especificados.

Nome: os rastros teñen un campo onde se indica o nome do mesmo.
Valor: este campo almacena toda a información que se quere conseguir co rastro. Se é información confidencial, adoitan ir cifradas e en base64.
Dominio: neste campo indícanse os anfitrións a onde se enviará o rastro para que estes o poidan ler. Se non se especifica, o valor é o do anfitrión que se indica na URL, sen incluír subdominios. No caso de que se explicite un dominio, os subdominios si que serán incluídos.
Ruta: tense que indicar unha ruta que exista na URL solicitada para poder mandar o rastro.
Caducidade ou idade máxima: neste caso pódese indicar a data na que expira un rastro, indicando a hora, o minuto, o segundo e o día, mes e ano. Tamén se pode indicar o tempo en segundos que falta para que caduque. No caso de seren rastros de sesión, pódese poñer o valor "Sesión" para indicar que o rastro expira cando remata a sesión.
Tamaño: neste campo móstrase o tamaño do rastro en bytes.
Rastro seguro: os rastros que teñen este campo activado (cun valor true) indican que só poderán ser lidos por servidores que utilicen o protocolo HTTPS. É dicir, só poderán enviarse aos servidores que utilicen un protocolo cifrado para transportar o rastro. Destacar que este campo non ofrece protección real, só é unha condición para enviar un rastro, polo que non se deben incluír datos sensibles ou confidenciais aínda que estea activado.
HttpOnly: os rastros que teñen este campo activado impiden que o código JavaScript acceda ao rastro. Ademais, son máis seguros porque evitan os ataques XSS.
SameSite: este campo permite que os rastros non sexan enviados aos servidores con peticións cruzadas. Para isto pódense indicar os valores Strict ou Lax, onde o primeiro indica que o navegador só lle envía rastros aos servidores se son do sitio web que mandou o rastro ao navegador, e o segundo indica que os rastros enviaranse cando un usuario navegue á URL dende un sitio externo. Se se quere que os rastros sexan enviados aos servidores con peticións cruzadas, hai que indicar o valor None.
Último acceso: indícase a data da última vez que se enviaron os rastros ao servidor.^[8]^[9]

Xestión de rastros

Cando un usuario visita un sitio web, o sitio comproba se ten rastros almacenados. Se hai rastros no seu equipo, pode lelos e analizalos. Se non atopa ningún rastro, envía algúns ao dispositivo do usuario para que se almacene información e poder lelos a próxima vez que o usuario visite ese sitio web. Tal e como se pode observar, o sitio web le a información dos rastros ao comezo de todo, e non a volve ler ata que o usuario entra de novo nese sitio web. Polo tanto, se o usuario borra os rastros antes de pechar o navegador, a seguinte vez que visite a páxina non terá ningunha información almacenada, polo que o sitio web terá que volver a mandarlle os rastros para que se almacenen e poidan recadar información sobre o usuario. Deste xeito, os rastros non afectan á privacidade, pois en ningún momento se está lendo esa información que mostra os hábitos do usuario.^[10]

A maioría dos navegadores ofrecen un xestor de rastros nas opcións de configuración, onde se pode borrar ou cambiar o valor dos rastros manualmente. Algúns navegadores tamén permiten eliminar tódolos rastros automaticamente ao pechar o navegador.^[10] Outro xeito para eliminar os rastros é usar a navegación privada, onde os rastros só se almacenan nos dispositivos durante a sesión.^[11]

Eliminar ou xestionar os rastros manualmente tamén pode ofrecer certas vantaxes de velocidade de carga das páxinas, xa que teñen poucos rastros dos que recadar información.^[10]

Normativas sobre o uso dos rastros

Debido á ameaza á privacidade dos rastros se non se xestionan correctamente ou se non se informa ao usuario da recollida da información, creáronse diferentes normativas para regular o seu uso. A normativa principal atópase, a nivel europeo, no Regulamento Xeral de Protección de Datos, complementado pola directiva 2002/58/CE do Parlamento Europeo e o Consello. A nivel español regúlanse na Lei de Servizos da Sociedade da Información. Todas estas normativas rexen como se deben utilizar os rastros, ademais de indicar que é necesario avisar ao usuario da información que se vai recadar con eles, e este ten que poder aceptar ou rexeitar explicitamente cando accede por primeira vez a unha páxina web que rastros quere que se almacenen no seu dispositivo (salvo os rastros técnicos, que son necesarios para que a páxina funcione correctamente). A elección realízase xeralmente ao entrar na páxina, onde aparece un cadro informando sobre os rastros e as diferentes opcións que o usuario pode seleccionar. Ademais, tense que permitir cambiar as preferencias no caso de que o usuario decida modificalas.

En 2024 houbo unha modificación na normativa, onde se lle esixiu ás páxinas web máis transparencia, que sexa obrigatorio un botón de Rexeitar rastros e algúns tipos de páxinas poidan cobrar cando o usuario rexeita os rastros. A raíz destes cambios, a Axencia Española de Protección de Datos creou ese mesmo ano unha guía sobre o uso dos rastros^[2] para que as empresas puidesen adaptar a súa xestión de rastros á normativa e para que a cidadanía puidese entender as normativas cunha lectura adaptada.^[12]

Tipos de rastros

Rastros HTTP

Os rastros HTTP son rastros que o servidor envía ao navegador do usuario mediante o protocolo HTTP. Son o tipo de rastros máis común, e ao que nos referimos xeralmente cando se fala simplemente de rastros. O navegador garda os datos que vai almacenando do comportamento na Internet, e cando o usuario volve acceder a unha páxina, o navegador envíalle ao servidor os rastros coa información obtida.^[9]

Super rastros

Os super rastros son un tipo de rastro máis invasivo que os rastros normais. Ao activarse, asígnanlle ao usuario un identificador que serve para rastrealo mentres navega pola Internet, sen importar a páxina web na que estea. Algúns datos que recadan son os sitios web que visita o usuario, o tempo que pasa neles ou os contidos que lle resultan de interese. A diferenza dos rastros normais, estes non se almacenan no navegador dos usuarios, senón que son un fragmento de código que se asocia ao usuario, almacenándose noutros lugares como a rede. Se ademais se almacenan en máis sitios, coñécense como rastros zombis, e a súa eliminación completa non é posible.^[13]

Rastros zombis

Son rastros que se volven xerar cando se eliminan, polo que nunca se poden eliminar definitivamente. Isto é viable grazas a que están almacenados en varios lugares do dispositivo do usuario, sendo imposible a súa eliminación completa.

Estes rastros violan os principios de privacidade e control do usuario, pois non se cumpren o consentimento que o usuario permite. Ademais, poden incumprir as regulacións de privacidade dos datos, expoñendo ao sitio web que as utilice a responsabilidade legal.^[9]^[13]

Rastros avanzados: rastros flash

Os obxectos locais compartidos ou rastros flash son un tipo de rastros invasivos que poden almacenar moita máis información que os rastros tradicionais. Son independentes do navegador, polo que poden ser máis difíciles de localizar, visualizar ou borrar. Adoitan ocupar varios megabytes. Poden utilizarse para rexenerar rastros estándar.^[2]

Rastros habituais

A continuación, menciónanse algúns rastros tipicamente usados polos sitios web.

NID: é un rastro de Google que contén un identificador único para lembrar preferencias e personalizacióins da páxina.
_ga: é un rastro de Google que se utiliza para o servizo Google Analytics. Serve para distinguir usuarios entre os diferentes sitios web e poder ver os seus hábitos de navegación. Está na meirande parte das páxinas.
YSC: é un rastro de YouTube que se emprega para dar os servizos correspondentes ao usuario cando hai vídeos embebidos nas páxinas.
language: é o rastro que se utiliza para a configuración da lingua.
cookiehub: úsase para saber se os usuarios aceptaron ou denegaron o uso de rastros.
IDE: é un rastro publicitario de Google que se emprega para mostrar os seus anuncios, baseados no comportamento do usuario, nos sitios web (de terceiros) que teñen activado este rastro.^[14]^[15]

Notas

↑ Definicións no Dicionario da Real Academia Galega e no Portal das Palabras para rastro.
↑ ^2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 Axencia Española de Protección de datos (2024). Guía sobre el uso de las cookies [Guía sobre o uso dos rastros] (PDF) (en castelán).
↑ Kesan, Jay; Shah, Rajiv (29-09-2004). "Deconstructing code" [Destruíndo código]. SSRN (en inglés). SSRN 597543. |data-acceso= require |url= (Axuda)
↑ Fernández, Yúbal (13-01-2023). "Qué es la "supercookie" de TrustPid, cómo funciona y cuándo llega el nuevo método de rastreo online de las operadoras" [Que é o super rastro de TrustPid, como funciona e cando chega o novo método de rastrexo en liña das operadoras]. Xataka (en castelán). Consultado o 15-06-2025.
↑ "Social media in the 2016 United States presidential election" [Redes sociais nas eleccións estadounidenses de 2016]. Wikipedia (en inglés). 13-05-2025. Consultado o 09-06-2025.
↑ Fanego, Mónica (10-11-2021). "Cómo adaptar tu web a las nuevas directrices del uso de las cookies" [Como adaptar a túa web ás novas directrices do uso dos rastros]. Sage Advice España (en castelán). Consultado o 09-06-2025.
↑ ^7,0 ^7,1 BOE (11-07-2002). "Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico." [Lei 34/2002, do 11 de xullo, de servizos da sociedade da información e de comercio electrónico.]. BOE (en castelán). Consultado o 09-06-2025.
↑ "Set-Cookie". developer.mozilla.org (en inglés e castelán). 26-03-2025. Consultado o 13-06-2025.
↑ ^9,0 ^9,1 ^9,2 "HTTP cookies". developer.mozilla.org (en inglés e castelán). 27-03-2025. Consultado o 13-06-2025.
↑ ^10,0 ^10,1 ^10,2 Fernández, Yúbal (21-08-2018). "Cómo borrar el caché y las cookies de Chrome, Firefox y Edge" [Como borrar a caché e os rastros de Chrome, Firefox e Edge.]. Xataka (en castelán). Consultado o 09-06-2025.
↑ "Navegación privada - utiliza Firefox sin guardar el historial de navegación" [Navegación privada - utiliza Firefox sen gardar o historial de navegación]. Support Mozilla (en castelán). 19-11-2024. Consultado o 12-06-2025.
↑ "Ley de Cookies: Cambios clave y cómo adaptar tu web" [Lei de Rastros: Cambios chave e como adaptar a túa web]. Grupo Atico34 (en castelán). 06-11-2024. Consultado o 09-06-2025.
↑ ^13,0 ^13,1 "¿Qué son las supercookies y para qué sirven?" [Que son os super rastros e para que serven?]. Grupo Atico34 (en castelán). 02-07-2024. Consultado o 15-06-2025.
↑ "Cookie Database" [Base de datos de rastros]. www.cookie.is (en inglés). Consultado o 15-06-2025.
↑ "▷ ¿Qué tipos de cookies existen y para qué sirven?" [▷ Que tipos de rastros existen e para que serven?]. Grupo Atico34 (en castelán). 20-10-2020. Consultado o 15-06-2025.

Véxase tamén

Outros artigos

[1] Definicións no Dicionario da Real Academia Galega e no Portal das Palabras para rastro.

[:0-2] 2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 Axencia Española de Protección de datos (2024). Guía sobre el uso de las cookies [Guía sobre o uso dos rastros] (PDF) (en castelán).

[3] Kesan, Jay; Shah, Rajiv (29-09-2004). "Deconstructing code" [Destruíndo código]. SSRN (en inglés). SSRN 597543. |data-acceso= require |url= (Axuda)

[4] Fernández, Yúbal (13-01-2023). "Qué es la "supercookie" de TrustPid, cómo funciona y cuándo llega el nuevo método de rastreo online de las operadoras" [Que é o super rastro de TrustPid, como funciona e cando chega o novo método de rastrexo en liña das operadoras]. Xataka (en castelán). Consultado o 15-06-2025.

[5] "Social media in the 2016 United States presidential election" [Redes sociais nas eleccións estadounidenses de 2016]. Wikipedia (en inglés). 13-05-2025. Consultado o 09-06-2025.

[6] Fanego, Mónica (10-11-2021). "Cómo adaptar tu web a las nuevas directrices del uso de las cookies" [Como adaptar a túa web ás novas directrices do uso dos rastros]. Sage Advice España (en castelán). Consultado o 09-06-2025.

[:1-7] 7,0 ^7,1 BOE (11-07-2002). "Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico." [Lei 34/2002, do 11 de xullo, de servizos da sociedade da información e de comercio electrónico.]. BOE (en castelán). Consultado o 09-06-2025.

[8] "Set-Cookie". developer.mozilla.org (en inglés e castelán). 26-03-2025. Consultado o 13-06-2025.

[:3-9] 9,0 ^9,1 ^9,2 "HTTP cookies". developer.mozilla.org (en inglés e castelán). 27-03-2025. Consultado o 13-06-2025.

[:2-10] 10,0 ^10,1 ^10,2 Fernández, Yúbal (21-08-2018). "Cómo borrar el caché y las cookies de Chrome, Firefox y Edge" [Como borrar a caché e os rastros de Chrome, Firefox e Edge.]. Xataka (en castelán). Consultado o 09-06-2025.

[11] "Navegación privada - utiliza Firefox sin guardar el historial de navegación" [Navegación privada - utiliza Firefox sen gardar o historial de navegación]. Support Mozilla (en castelán). 19-11-2024. Consultado o 12-06-2025.

[12] "Ley de Cookies: Cambios clave y cómo adaptar tu web" [Lei de Rastros: Cambios chave e como adaptar a túa web]. Grupo Atico34 (en castelán). 06-11-2024. Consultado o 09-06-2025.

[:4-13] 13,0 ^13,1 "¿Qué son las supercookies y para qué sirven?" [Que son os super rastros e para que serven?]. Grupo Atico34 (en castelán). 02-07-2024. Consultado o 15-06-2025.

[14] "Cookie Database" [Base de datos de rastros]. www.cookie.is (en inglés). Consultado o 15-06-2025.

[15] "▷ ¿Qué tipos de cookies existen y para qué sirven?" [▷ Que tipos de rastros existen e para que serven?]. Grupo Atico34 (en castelán). 20-10-2020. Consultado o 15-06-2025.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]