Cualquier usuario de Internet habrá recibido alguna vez un mensaje en Inglés en la pantalla de su terminal que le dice que un determinado servidor de la red desea dejarle una "cookie" que será enviada a cualquier servidor dentro del dominio xyz. abc, con un nombre y un valor, y una fecha de validez, similar a como se muestra en la figura.

Este mensaje lo verá sólo si tiene activada en su navegador la opción de que le avise en tal caso; si no es así, el proceso se llevará a cabo sin que el usuario se perciba de ello y durante su navegación por Internet, varios servidores le irán dejando cookies en la memoria de su terminal, que permanecerán en ella hasta la fecha límite de validez que tienen marcada o hasta que el usuario abandone la sesión.

Pues bien, a lo largo del artículo se irá explicando que es una cookie, para que vale y que misterios se esconden detrás de ella, así como resolviendo algunos interrogantes que los usuarios tienen acerca de la seguridad de la información contenida en su terminal y de la protección de su intimidad.

El World Wide Web está construido sobre una base muy simple, pero muy potente: toda la información en el Web está diseñada en un formato general y uniforme llamado HTML (Hyper Text Markup Language) y todas las peticiones de información y repuestas se hacen conforme a un protocolo similar, el HTTP (Hyper Text Transfer Protocol). Cuando alguien accede a un servidor en el Web, marcando su dirección IP de Internet, su programa navegador lanza una petición al servidor que responde al terminal del usuario enviando la información solicitada, que es visualiza en su pantalla por el programa.

Los usuarios de Internet tienen sus preferencias y suelen visitar los mismos sitios en repetidas ocasiones, bien por razones profesionales o de ocio; en muchos de ellos se solicita la identificación antes de permitir el acceso, por lo que si volvemos a visitar un sitio de Internet, cada vez que lo hagamos tendremos que repetir este tedioso y lento proceso de identificación, que a veces suele ser un largo formulario, a menos que se haga uso de una cookie. El objetivo inicial de las cookies era facilitar el acceso de los usuarios a sus sitios favoritos, pero ahora se utilizan para muchas otras cosas, algunas veces no con tan buenas intenciones, sobre todo por compañías poco escrupulosas que con fines comerciales tratan de conseguir información sobre los movimientos, preferencias y estilo de vida de los navegantes de Internet. Una cookie es una pequeña pieza de información -texto- que envía un servidor web para que sea almacenada por el programa de navegación utilizado (browser) en la memoria del ordenador, de tal manera que pueda ser leída a posteriori por ese servidor, de forma que le sea útil para recordar cualquier información específica, como sucede, por ejemplo, cuando almacena la identidad y password del usuario. También, se emplean para guardar las preferencias por las páginas de inicio y para muchas otras cosas, como veremos a continuación.

Las compañías que se promocionan en Internet utilizan las cookies -las primeras versiones del navegador Netscape ya las soportaban y han sido implementadas en el RFC 2109, dada su utilidad- de muy diversas maneras y con fines muy distintos, según sus intereses. Los más comunes son:

Sistemas de pedido en línea

Un sistema de pedidos puede diseñarse usando cookies que recuerdan lo que una persona desea adquirir; de esta manera si por cualquier causa el usuario tiene que abandonar su conexión a la red, el sistema recordará los artículos que anteriormente había seleccionado, con lo que no tiene que volver a introducirlos. La compra en un supermercado constituye un ejemplo muy típico de aplicación de las cookies, en donde el cliente va introduciendo los diversos artículos en un carrito virtual durante su recorrido por la tienda y no necesita hacer la compra de forma continuada, sino que la puede hacer por partes, ya que el sistema siempre recordará el contenido en el momento en que se interrumpa el proceso. Algunos de estos sitios no funcionan apropiadamente si el usuario no acepta las cookies.

Personalización de lugares Web

Este constituye uno de los usos más beneficiosos ya que permite que un usuario defina sus preferencias cuando visita un lugar en Internet, que quedarán establecidas, hasta que expire la cookie, para sus nuevas visitas. Por ejemplo, si a una persona no le gustan los deportes, no se le mostrará ninguna información sobre este tema, pero si, por el contrario, le entusiasman, predominará la información relativa a este aspecto. Es útil, también, para seleccionar las páginas de bienvenida o de inicio.

Seguimiento de las visitas

Con el empleo de las cookies es posible hacer el seguimiento de las visitas de los usuarios por un lugar, viendo su recorrido y cuales son las páginas más visitadas, así como los enlaces a los que salta. Permiten distinguir entre los usuarios, con lo que se diferencia el acceso de varias personas a la vez o el de una persona varias veces, algo muy útil con propósitos estadísticos.

Marketing personalizado

Este es otro de los usos más importantes de las cookies, ya que permite crear un perfil con los lugares que un usuario visita y los anuncios que observa, con lo que en sus visitas a otros sitios se le mostrarán anuncios relacionados con sus preferencias. También, se utilizan para no volver a presentar los mismos anuncios a los usuarios y mostrarle otros nuevos. Los distintos buscadores de Internet (AltaVista, Excite, Yahoo, Olé, etc.) las utilizan a menudo para marcar, por ejemplo, las preferencias de los usuarios por determinados temas; así, cada vez que el usuario vuelve a utilizar uno de estos buscadores, sin que sea consciente del proceso, le puede presentar anuncios relacionados con los temas por los que anteriormente ha mostrado interés. Dos personas accediendo al mismo sitio, al mismo tiempo, pueden recibir anuncios distintos si lo han visitado anteriormente y han mostrado preferencias distintas, como es lógico suponer haya sido; así, el impacto de la publicidad es mayor.

Actualización de información

Las cookies sirven para indicar cuales son las preferencias de los usuarios, algo muy útil para la labor de los programadores de contenidos que así pueden actualizar sus páginas y enlaces con otras, en base al interés mostrado por los usuarios. Los administradores y programadores de los servidores pueden crear una aplicación de base de datos con la información relevante de los usuarios.

Como funciona una Cookie

La cookie se envía por el servidor al que el usuario está conectado para que sea almacenada en la memoria de su terminal (PC, Mac, etc), con objeto de usar la información que contiene en una nueva visita a dicho servidor.

Una línea de comando adicional en la parte HTML de un documento le indica al programa navegador crear una cookie de un determinado nombre o valor, que incluye varios atributos opcionales, como son la fecha de expiración, el path y el dominio. A continuación se muestra un ejemplo de la cadena de comandos utilizados:

Set-Cookie: NAME=VALUE

Expires: DATE

Path=PATH

Domain: DOMAIN_NAME

Secure: TRUE

El nombre/valor de una cookie es obligatorio y sólo es conocido para el servidor que la ha creado y establecido. El contenido máximo de una cookie está limitado a 4 kbits y los servidores de un dominio también tienen un límite del número de ellas que pueden fijar por cada cliente (para Netscape es de 20).

La fecha de validez, en formato GMT, indica cuando la cookie deja de tener valor, y se borra del registro de cookies del navegador. Si no se especifica, la cookie expira cuando el usuario abandona la sesión Internet.

El path, si se especifica, indica a que direcciones URL (Uniform Resource Locator), dentro de un dominio, puede ser enviada la cookie, que serán las que coincidan con él. Las páginas fuera de ese path no pueden leer la cookie. Por defecto no se especifica ("/"), por lo que pueden ser enviadas a cualquier URL.

El dominio indica el nombre parcial o total de un dominio, devolviendo el navegador la cookie a cualquier host que parcial o completamente cumpla con el nombre establecido. El dominio debe contener al menos dos entradas para evitar que se indique el dominio de primer nivel, como es por ejemplo .com, ya que entonces serían compatibles miles de ellos. Si no se especifica dominio alguno entonces el navegador sólo devolverá las cookies a servidores situados en el host donde se ha originado la misma. Esta es una norma elemental de seguridad para evitar el acceso con intenciones maliciosas.

El parámetro secure es un indicador (flag) que indica que la cookie sólo sea mandada en un dominio seguro, es decir un servidor SSL (Secure Sockets Layer). Las sesiones SSL pueden manejar la encriptación de los datos contenidos en las cookies. Dado que la mayor parte de los sitios Web no requieren tal condición, el valor por defecto es FALSO.

Esencialmente, las cookies hacen uso de información específica de un usuario que es transmitida por el servidor Web al terminal cliente del usuario, para poder ser utilizada posteriormente, por él mismo o por otros servidores. En la mayoría de las ocasiones este proceso se hace sin conocimiento ni consentimiento del usuario, que no conoce ni la información que se almacena en la cookie ni cuando o cuantas veces y por quién se accede a la misma, aunque ya existen ciertas aplicaciones que les permiten controlarlo, autorizando o no el depósito de una de tales cookies en su terminal. Otra alternativa que tienen los usuarios, una vez la cookie se ha establecido, es acceder a los ficheros de texto donde se almacenan las y editarlas para ver que contienen; después, pueden dejarla, borrarla o cambiar sus atributos.

Una cookie, parte de la cabecera HTTP, no puede ser utilizada en ningún caso para extraer información del disco duro del usuario, obtener su dirección de correo electrónico o cualquier otra información personal, salvo que el usuario la haya proporcionado al servidor previamente y éste la introduzca en ella.

En versiones antiguas de los navegadores comunes para Internet -Netscape Navigator e Internet Explorer- existían ciertos fallos de seguridad que ya han sido corregidos, y las cookies creadas con Javascript podían acceder a la información del disco duro, razón de la mala fama que han tenido y aún siguen teniendo las cookies, ya que los usuarios piensan que se invade su intimidad y que la información contenida en el disco duro de su terminal puede ser robada o alterada mediante la introducción de algún virus, cosa que no es posible ya que la cookie es un fichero normal de texto que no es ejecutable, aunque existen algunas ejecutables, pero requieren que se ejecuten por el usuario para poder actuar.

Frente a las cookies, el usuario que no desea que las cookies sean depositadas en su terminal tiene varias alternativas para protegerse, siendo la más común y simple de utilizar programar en las opciones del navegador la inhibición total (en Netscape Communicator 4.0, elegir Edit, Options, Advanced, Disable Cookies, y en Internet Explorer 4.0, elegir View, Internet Options, Advanced, Disable All Cookies) o que le advierta mediante un mensaje siempre que un servidor desee depositar una de ellas, opción disponible en las últimas versiones; así, individualmente, puede optar por aceptarla (OK) o rechazarla (Cancel). Otra opción es utilizar un programa que proteja la identidad del usuario haciéndolo anónimo o emplear un servidor proxy que filtre las cookies, designando cuales pueden ser admitidas o han de ser rechazadas, según el lugar de procedencia, con lo cual se está seguro de no proporcionar ninguna información personal.

Por último, si la cookie ya se ha establecido, se puede acceder al directorio donde se encuentra y borrarla (en el directorio donde se encuentra Netscape existe el fichero cookies.txt con todas las cookies almacenadas, mientras que en Internet Explorer cada cookie es un fichero distinto dentro del directorio Windows\cookies, lo que complica el proceso), haciendo lo mismo con el caché de disco y los ficheros de historia para borrar todo rastro de por donde hemos estado navegando. Sin embargo, no conviene borrar completamente el contenido de la carpeta que almacena las cookies ya que ello nos levará a tener que empezar de nuevo en cada visita a un nuevo sitio en Internet, sino que conviene hacer una limpieza selectiva.