Mitigaciones del seguimiento por rebote

Estado de implementación

En este documento, se describen detalles sobre nuestra implementación de las mitigaciones del seguimiento por rebote.

• Las mitigaciones del seguimiento por rebote se lanzaron de forma predeterminada en Chrome para los usuarios que aceptaron bloquear cookies de terceros. Si tienes comentarios, nos encantaría conocerlos.
• Estado de la plataforma Chrome.

El cronograma de Privacy Sandbox proporciona tiempos de implementación para la mitigación del seguimiento por rebote y otras propuestas de Privacy Sandbox.

¿Por qué necesitamos esta propuesta?

Los proveedores de navegadores están quitando activamente las cookies de terceros de la Web. Por consiguiente, algunos rastreadores de plataforma están presentando el seguimiento por rebote.

La propuesta de mitigación del seguimiento por rebote tiene como objetivo lo siguiente:

• Reduce o elimina la capacidad del seguimiento por rebote para reconocer a las personas en diferentes contextos.
• Evita que los rebotes con estado simulen cookies de terceros cuando estas se encuentran inhabilitadas, ya sea debido a la política del navegador o a la configuración del usuario.
• Evita interrumpir los casos de uso admitidos que valora el usuario y que se implementan a través de redireccionamientos con estado.
• Mitiga el impacto de los dominios de corta duración que podrían no ser abordados de forma adecuada por otras intervenciones de privacidad que se basan en listas de entidades bloqueadas.
• No uses listas de entidades permitidas o bloqueadas para decidir qué sitios web se ven afectados.

¿Cómo funcionarán las mitigaciones del seguimiento por rebote?

Nuestra propuesta abordará el seguimiento por rebote en los siguientes casos de uso:

• Simulación de cookies de terceros: Sitios que usan el redireccionamiento a una herramienta de seguimiento de terceros para crear una configuración del navegador que omita las cookies Para mitigar este problema, el navegador puede limpiar el almacenamiento del dominio del dispositivo de seguimiento.
• Redireccionamiento de salida: Sitios que redireccionan todos los vínculos salientes a través de un dominio de seguimiento Para mitigar este problema, el navegador puede limpiar el almacenamiento del dominio del dispositivo de seguimiento.

Para proteger a los usuarios del seguimiento por rebote, Chrome borra el estado de esos sitios de seguimiento de forma periódica. El proceso funcionará de la siguiente manera:

1. Chrome supervisará las navegaciones y marcará internamente los sitios que forman parte de un "rebote con estado". Esto significa que la navegación es redireccionada a través del sitio y que este accedió al almacenamiento durante el redireccionamiento. Esto incluye redireccionamientos iniciados por el servidor y del lado del cliente en los que JavaScript activa una navegación de forma programática. El acceso al almacenamiento incluye tanto cookies como otros tipos de almacenamiento, por ejemplo, localstorage y indexesDB.
2. Chrome examinará la lista de sitios marcados de forma periódica y verificará si el usuario usó activamente el sitio interactuando con él en los últimos 45 días. Esta interacción puede ocurrir antes, durante o después de la detección del rebote.
3. Si el sitio no registró ninguna interacción del usuario en los últimos 45 días y se bloquean las cookies de terceros, el almacenamiento del sitio se borrará poco después de que se active el siguiente flujo de redireccionamiento a través de este sitio.

Estos cambios se lanzaron de forma predeterminada en Chrome en octubre de 2023 para los usuarios que aceptaron bloquear cookies de terceros.

Casos de uso fuera del alcance

Entre los flujos de redireccionamiento que están fuera del alcance, se incluyen los siguientes: autenticación federada, SSO y pagos. Esto se debe a que estos flujos, aunque son similares a las situaciones de seguimiento por rebote, implican la interacción directa del usuario. Puedes encontrar más información en la explicación.

• Autenticación federada: La autenticación federada ocurre cuando un usuario hace clic en el botón Acceder con el proveedor de identidad en la Web, por ejemplo, Facebook, GitHub o Google.
• Inicio de sesión único: Cuando un sitio utiliza el inicio de sesión único (SSO), el usuario espera acceder una vez con el proveedor de identidad y, luego, acceder automáticamente para todas las visitas a otros sitios.
• Pagos: Actualmente, se usa una gran variedad de flujos de pago en la Web, y la propuesta busca que sigan funcionando.

Consideraciones de seguridad

Existen algunas consideraciones de seguridad para esta propuesta que se escribieron en la explicación de las mitigaciones del seguimiento por rebote.

¿Cuándo estarán disponibles las mitigaciones del seguimiento por rebote?

Esta implementación está disponible de forma predeterminada en Chrome para los usuarios que aceptaron bloquear cookies de terceros. En octubre de 2023, se implementaron las mitigaciones de seguimiento por rebote para esos usuarios en Chrome.

Esta propuesta solo agrega valor cuando se inhabilitan las cookies de terceros. Se pueden usar cookies de terceros para obtener casi los mismos resultados que con el seguimiento por rebote. Por lo tanto, no es un objetivo habilitar estas mitigaciones cuando las cookies de terceros están habilitadas.

Interactúa y comparte tus comentarios

Las mitigaciones del seguimiento por rebote ahora están disponibles de forma predeterminada en Chrome. Si tienes comentarios, nos encantaría conocerlos.

• GitHub: Lee la propuesta, genera preguntas y participa en la conversación.
• Asistencia para desarrolladores: Haz preguntas y únete a debates en el repositorio de asistencia para desarrolladores de Privacy Sandbox.
• Seguimiento de errores de Chromium: Puedes proporcionar comentarios en la herramienta de seguimiento de errores de Chromium con el componente "Privacy>NavTracking".