Mitigaciones del seguimiento por rebote

Estado de implementación

En este documento, se describen los detalles de nuestra implementación de las mitigaciones del seguimiento por rebote.

• Las mitigaciones de seguimiento por rebote se lanzaron de forma predeterminada en Chrome para los usuarios que aceptaron bloquear las cookies de terceros. Si tienes comentarios, nos encantaría recibirlos.
• Estado de la plataforma de Chrome.

El cronograma de Privacy Sandbox proporciona los tiempos de implementación para la mitigación del seguimiento de rebote y otras propuestas de Privacy Sandbox.

¿Por qué necesitamos esta propuesta?

Los proveedores de navegadores están quitando activamente las cookies de terceros de la Web. En consecuencia, algunos rastreadores de plataformas están presentando el seguimiento por rebote.

El objetivo de la propuesta de mitigaciones de seguimiento por rebote es lo siguiente:

• Reduce o elimina la capacidad del seguimiento por rebote para reconocer a las personas en diferentes contextos.
• Evita que los rebotes con estado simulen cookies de terceros cuando estén inhabilitadas, ya sea debido a la política del navegador o la configuración del usuario.
• Evita romper los casos de uso admitidos que el usuario valore y que se implementan usando redireccionamientos con estado.
• Mitigar el impacto de los dominios de corta duración que podrían no ser abordados adecuadamente por otras intervenciones de privacidad que dependen de las listas de entidades bloqueadas.
• Evita usar listas de entidades permitidas o bloqueadas para decidir qué sitios web se verán afectados.

¿Cómo funcionarán las mitigaciones del seguimiento por rebote?

Nuestra propuesta abordará el seguimiento por rebote en los siguientes casos de uso:

• Simulación de cookies de terceros: Sitios que usan redireccionamiento a herramientas de seguimiento de terceros para crear una cookie que omite la configuración del navegador. Para mitigar este problema, el navegador podría limpiar el almacenamiento del dominio de la herramienta de seguimiento.
• Redireccionamiento saliente: Sitios que redireccionan todos los vínculos salientes por un dominio de seguimiento. Para mitigar este problema, el navegador podría limpiar el almacenamiento del dominio de la herramienta de seguimiento.

Para proteger a los usuarios del seguimiento por rebote, Chrome borra periódicamente el estado de estos sitios de seguimiento. El proceso funcionará de la siguiente manera:

1. Chrome supervisa las navegaciones y marca internamente los sitios que forman parte de un "rebote con estado". Esto significa que la navegación se redireccionó a través del sitio y que el sitio accedió al almacenamiento durante el redireccionamiento. Esto incluye los redireccionamientos iniciados por el servidor y los del cliente en los que JavaScript activa una navegación de manera programática. El acceso al almacenamiento incluye cookies y otros tipos de almacenamiento, como, por ejemplo, localstorage e indDB.
2. Chrome examinará periódicamente la lista de sitios marcados y verificará si el usuario usó activamente el sitio interactuando con él en los últimos 45 días. Esta interacción puede ocurrir antes, durante o después de que se detectó el rebote.
3. Si el sitio no tiene ninguna interacción del usuario registrada en los últimos 45 días y se bloquean las cookies de terceros, el almacenamiento del sitio se borrará poco después de que se active el siguiente flujo de redireccionamiento a través de este sitio.

Estos cambios se lanzaron de forma predeterminada en Chrome en octubre de 2023 para los usuarios que aceptaron bloquear las cookies de terceros.

Casos de uso fuera del alcance

Los flujos de redireccionamiento que están fuera del alcance incluyen la autenticación federada, el SSO y los pagos. Esto se debe a que estos flujos, si bien son similares a las situaciones de seguimiento por rebote, implican la interacción directa del usuario. Puedes encontrar más información en la explicación.

• Autenticación federada: La autenticación federada se produce cuando un usuario hace clic en el botón Acceder con un proveedor de identidad en la Web, por ejemplo, Facebook, GitHub o Google.
• Inicio de sesión único: Cuando un sitio usa el inicio de sesión único (SSO), el usuario espera acceder con el proveedor de identidad una vez y, luego, acceder automáticamente para todas las visitas de otros sitios.
• Pagos: Actualmente, se usa una amplia variedad de flujos de pago en la Web, y el objetivo de la propuesta es que sigan funcionando.

Consideraciones de seguridad

Existen algunas consideraciones de seguridad para esta propuesta que se describieron en la explicación de la mitigación del seguimiento por rebote.

¿Cuándo estarán disponibles las mitigaciones del seguimiento por rebote?

Esta implementación está disponible de forma predeterminada en Chrome para los usuarios que aceptaron bloquear las cookies de terceros. En octubre de 2023, se implementaron las mitigaciones de seguimiento por rebote para esos usuarios en Chrome.

Esta propuesta solo agrega valor en gran medida cuando las cookies de terceros están inhabilitadas. Las cookies de terceros pueden usarse para lograr casi los mismos resultados que el seguimiento por rebote. Por lo tanto, no es un objetivo habilitar estas mitigaciones cuando se habilitan las cookies de terceros.

Interactúa y comparte comentarios

Las mitigaciones del seguimiento por rebote ahora están disponibles en Chrome de forma predeterminada. Si tienes comentarios, nos encantaría recibirlos.

• GitHub: Lee la propuesta, genera preguntas y participa en debates.
• Asistencia para desarrolladores: Haz preguntas y únete a debates en el repositorio de asistencia para desarrolladores de Privacy Sandbox.
• Seguimiento de errores de Chromium: Puedes enviar comentarios en la herramienta de seguimiento de errores de Chromium mediante el componente "Privacy>NavTracking".