Cómo Auditar las Cookies de Tu Sitio Web

Tu Sitio Web Probablemente Tiene Más Cookies de las que Crees

La auditoría de cookies promedio revela entre un 40 y un 60% más cookies de las que las organizaciones esperan encontrar. Un sitio web típico ejecuta entre 50 y 300 cookies, y aproximadamente el 60% de ellas son cookies de terceros instaladas por servicios externos como Google Analytics, Facebook Pixel o redes publicitarias.

Esto importa porque el 59% de los sitios web instalan cookies antes de que los usuarios siquiera vean el banner de consentimiento, según un estudio de noviembre de 2025. Solo el 15% de los 10.000 sitios web principales en 31 países cumplen con los requisitos básicos de cumplimiento de cookies del RGPD. Y los reguladores se están dando cuenta: la CNIL de Francia impuso más de 475 millones de euros en multas por cookies solo en 2025.

Una auditoría de cookies es el primer paso para entender lo que tu sitio web realmente hace en el navegador, no lo que crees que hace.

¿Qué Es una Auditoría de Cookies?

Una auditoría de cookies es una revisión sistemática de cada cookie y tecnología de seguimiento en tu sitio web. Identifica qué datos se están recopilando, quién los recopila, si los usuarios han dado su consentimiento y si tu banner de cookies realmente funciona como debería.

Según el Artículo 5(2) del RGPD, debes poder demostrar el cumplimiento. Según el Artículo 30, debes mantener registros de las actividades de tratamiento. Una auditoría de cookies te proporciona ambas cosas: prueba documentada de lo que hace tu sitio y evidencia de que has tomado medidas para corregir cualquier problema.

Paso 1: Escanea Tu Sitio Web Antes del Consentimiento

La prueba más crítica es también la más sencilla. Abre tu sitio web en una ventana de incógnito nueva y comprueba qué se carga antes de tocar el banner de cookies.

Usando Chrome DevTools:

1. Abre una ventana de incógnito (Ctrl+Shift+N o Cmd+Shift+N)
2. Pulsa F12 para abrir DevTools y ve a la pestaña Application
3. Haz clic en Cookies bajo Storage en la barra lateral izquierda
4. Ahora navega a tu sitio web
5. Antes de hacer clic en nada del banner de cookies, comprueba qué cookies se han instalado

Cualquier cookie no esencial que aparezca antes de que interactúes con el banner es una infracción del Artículo 5(3) de la Directiva ePrivacy, que requiere consentimiento antes de almacenar cookies en el dispositivo del usuario. Esta misma infracción le costó a SHEIN 150 millones de euros en septiembre de 2025, cuando la CNIL descubrió que las cookies publicitarias se depositaban en el momento en que los usuarios llegaban al sitio web.

Usando la pestaña Network:

1. Cambia a la pestaña Network en DevTools
2. Actualiza la página
3. Haz clic en cualquier solicitud y abre la pestaña Headers
4. Busca las cabeceras Set-Cookie en las respuestas, estas muestran las cookies que se instalan
5. Filtra por dominios de terceros (cualquier dominio que no coincida con el tuyo)

Paso 2: Categoriza Cada Cookie

Una vez que tengas la lista completa de cookies, categoriza cada una:

Las cookies estrictamente necesarias están exentas de los requisitos de consentimiento. Incluyen IDs de sesión, tokens CSRF, cookies de autenticación y cookies de balanceo de carga. Son esenciales para que el sitio web funcione.

Las cookies funcionales recuerdan preferencias del usuario como idioma o configuración de visualización. Requieren consentimiento porque el sitio puede funcionar sin ellas.

Las cookies analíticas rastrean el comportamiento del usuario y el rendimiento del sitio. Las cookies de Google Analytics (_ga, _gid, _gat) son las más comunes. Siempre requieren consentimiento.

Las cookies de marketing y publicidad rastrean a los usuarios entre sitios web para crear perfiles de intereses y mostrar anuncios personalizados. Incluyen Google Ads (_gcl_au), Facebook Pixel (_fbp) y DoubleClick (IDE). Conllevan el mayor riesgo regulatorio y siempre requieren consentimiento.

Para cada cookie, documenta: el nombre, el dominio (primera parte o terceros), su propósito, cuánto dura y si está declarada en tu política de cookies.

Paso 3: Prueba Tu Banner de Cookies

Un banner de cookies que parece cumplir no es lo mismo que uno que funciona. Los reguladores prueban el comportamiento real del navegador, no el diseño del banner. Esto es lo que debes comprobar:

Prueba el botón de rechazo. Haz clic en "Rechazar Todo" y luego comprueba en DevTools si las cookies no esenciales siguen presentes. Aproximadamente el 60% de los botones "Rechazar Todo" no bloquean realmente las cookies. El caso SHEIN demostró que los reguladores lo verifican.

Prueba la retirada del consentimiento. Acepta las cookies, luego intenta retirar tu consentimiento usando la configuración de cookies. Comprueba si las cookies dejan de leerse. En el caso Orange (50 millones de euros, noviembre de 2024), las cookies siguieron transmitiendo datos incluso después de retirar el consentimiento.

Busca patrones oscuros. ¿El botón "Aceptar" es más grande, más colorido o más prominente que "Rechazar"? ¿Rechazar requiere más clics que aceptar? ¿Las categorías de cookies no esenciales están premarcadas? La autoridad de privacidad sueca IMY emitió amonestaciones formales a ATG, Aller Media y Warner Music en abril de 2025 específicamente por dimensionamiento engañoso de botones y contrastes de color.

Verifica el acceso igualitario. Según la Propuesta Digital Omnibus de la UE (noviembre de 2025), los usuarios deben poder rechazar cookies con un solo clic. Si tu banner requiere que los usuarios pasen por "Gestionar Preferencias" para rechazar, ya vas por detrás.

Paso 4: Revisa Tu Política de Cookies

Compara lo que dice tu política de cookies con lo que tu auditoría realmente encontró. Las brechas comunes incluyen:

• Cookies que existen en el sitio pero no están listadas en la política
• Descripciones vagas como "mejorar tu experiencia" en lugar de propósitos específicos
• Proveedores de cookies de terceros no mencionados
• Nombres o duraciones de cookies desactualizados
• No se menciona cómo retirar el consentimiento

El Artículo 13 del RGPD requiere que divulgues los destinatarios y terceros que procesan datos a través de tus cookies. El Artículo 12 requiere que esta información sea concisa, transparente y fácilmente accesible.

Paso 5: Corrige lo que Encuentres

Prioriza las correcciones por nivel de riesgo:

Corregir inmediatamente: Carga de cookies antes del consentimiento, opciones de rechazo ausentes o rotas, y mecanismos de consentimiento que no funcionan. Estas son las infracciones que provocan las multas más grandes.

Corregir en una semana: Patrones oscuros, botones asimétricos y categorías de cookies premarcadas. Los reguladores los persiguen cada vez más, especialmente tras la ofensiva de Suecia en abril de 2025.

Corregir en un mes: Cookies no declaradas en tu política, descripciones de cookies ausentes y duraciones excesivas de cookies.

Continuo: Elimina las cookies que no tengan un propósito documentado. Sustituye los servicios de analítica de terceros por alternativas respetuosas con la privacidad cuando sea posible. Minimiza el número total de cookies que instala tu sitio.

Después de corregir los problemas, actualiza tu política de cookies para reflejar el estado actual de tu sitio web. Para cada cookie, indica: nombre, proveedor, propósito, tipo y duración.

¿Con Qué Frecuencia Debes Auditar?

Una auditoría única no es suficiente. Pueden aparecer nuevas cookies cada vez que añades un plugin, actualizas tu CMS, lanzas una campaña de marketing o integras una herramienta de terceros.

Calendario recomendado:

• Escaneos automáticos semanales para detectar nuevas cookies a medida que aparecen
• Revisión manual completa cada trimestre
• Auditoría inmediata después de cualquier cambio en el sitio: nuevas funcionalidades, nuevas integraciones, actualizaciones del CMS o lanzamientos de campañas de marketing
• Puntos de control regulatorios cuando entren en vigor nuevas leyes de privacidad (los estados de EE.UU. añaden nuevas leyes cada enero y julio)

La ICO del Reino Unido demostró el impacto de las auditorías consistentes en 2025. Revisaron los 1.000 principales sitios web del Reino Unido y descubrieron que el 67% no cumplía. Tras la aplicación sistemática, el cumplimiento ascendió al 95% en diciembre de 2025.

La Alternativa Automatizada

Las auditorías manuales con DevTools del navegador funcionan, pero consumen tiempo y son fáciles de hacer mal. Necesitas comprobar cada página, no solo la página principal. Necesitas probar en diferentes dispositivos. Y necesitas repetir el proceso regularmente.

Las herramientas automatizadas de escaneo de cookies hacen esto por ti. Rastrean todo tu sitio, identifican cada cookie y rastreador, los categorizan, señalan las infracciones de pre-consentimiento y generan informes que puedes usar para demostrar el cumplimiento según el Artículo 5(2) del RGPD.

Escanea tu sitio web gratis para ver exactamente lo que encontraría una auditoría de cumplimiento. Tarda 30 segundos y te muestra las cookies pre-consentimiento, los rastreadores que se cargan antes del consentimiento y los problemas del banner, las mismas cosas que comprobaría un regulador.

El Reloj Corre

La Propuesta Digital Omnibus de la UE pronto integrará las reglas de cookies directamente en el RGPD a través de un nuevo Artículo 88a, haciendo obligatorio el rechazo con un solo clic e introduciendo un período de espera de seis meses antes de volver a solicitar el consentimiento. Las señales de consentimiento a nivel de navegador bajo el Artículo 88b podrían eventualmente reemplazar los banners de cookies de cada sitio.

Se espera que estos cambios entren en vigor a mediados o finales de 2026. El momento de auditar tu sitio web es antes de que los reguladores llamen a tu puerta, no después. Empieza con un escaneo de cookies gratuito y descubre dónde estás hoy.