Cookies de terceros en Chrome: la medición sigue rota

Las cookies de terceros Chrome no han desaparecido del todo, pero eso no significa que la medición digital haya vuelto a estar sana. Google reculó en su plan de eliminarlas de forma general en Chrome, mantuvo la gestión desde la configuración de privacidad del navegador y abandonó la idea de lanzar un aviso independiente para que el usuario decidiera sobre ellas. La foto real es menos épica y bastante más incómoda: el mercado no se ha quedado sin cookies de golpe, pero tampoco ha recuperado la vieja certeza de saber quién vio, quién volvió, quién compró y qué canal se puede colgar la medalla.

El problema ya no es solo técnico. Es estructural. Chrome sigue siendo el navegador dominante, de modo que cualquier decisión de Google mueve el suelo bajo agencias, anunciantes, medios, ecommerce y plataformas publicitarias. Pero fuera de Chrome, Safari y Firefox llevan años empujando en otra dirección, con bloqueos, particiones y protecciones contra el seguimiento entre sitios. Así que la medición sigue rota porque el ecosistema no se rompió por una sola cookie; se rompió por consentimiento, navegadores, regulación, ad blockers, tráfico móvil, atribución modelada, walled gardens y una confianza excesiva en informes que siempre parecían más exactos de lo que eran.

Google no ha matado la cookie; ha dejado vivo el lío

Durante años, la industria vivió con una cuenta atrás pegada en la frente: las cookies de terceros en Chrome iban a desaparecer, Privacy Sandbox iba a ocupar el hueco y el marketing digital tendría que aprender a medir con menos identificación individual. La promesa sonaba a cirugía fina. Luego llegaron los retrasos, las pruebas, las dudas regulatorias, las quejas del sector publicitario y un cambio de guion que dejó a muchos con la maleta hecha en la estación equivocada.

Google anunció que mantendría su enfoque actual de elección del usuario en Chrome y que no desplegaría un nuevo aviso independiente para las cookies de terceros. Traducido al castellano de oficina: no habría apagón masivo, no habría pantalla universal de decisión, no habría el gran momento dramático que tantas presentaciones de PowerPoint habían vendido como inevitable. Los usuarios seguirían pudiendo ajustar sus preferencias en la sección de privacidad y seguridad de Chrome.

Ese giro fue interpretado por algunos como una vuelta al pasado. Error de lectura. Las cookies no han vuelto a ser el petróleo dulce de 2018, porque el navegador no es ya el único árbitro del dato. El consentimiento legal manda. Los sistemas operativos pesan. Las plataformas publicitarias modelan. Los usuarios bloquean. Los navegadores alternativos aíslan. Las CMP mal configuradas cortan señales. Y, encima, la cadena de atribución se parece cada vez menos a una autopista y más a una carretera comarcal con niebla, radares y tres desvíos sin señalizar.

Chrome, de hecho, mantiene controles para bloquear cookies de terceros y Google seguía documentando escenarios con restricciones para facilitar pruebas. También existen mecanismos como CHIPS, pensado para cookies particionadas, y FedCM, orientado a flujos de identidad federada con menos exposición transversal. Pero eso no equivale a decir que el mercado haya encontrado una sustitución limpia, universal y cómoda. Equivale a decir que el taller sigue abierto, con piezas en cajas distintas y el motor a medio montar.

Privacy Sandbox se desinfla y el mercado pierde su coartada

La parte más reveladora no fue solo que Google dejara de empujar la desaparición total de las cookies de terceros en Chrome. Fue lo que ocurrió después con Privacy Sandbox, el gran paraguas tecnológico que durante años funcionó como promesa, amenaza, excusa y consultoría facturable. Google comunicó que retiraría varias tecnologías clave del proyecto, entre ellas Attribution Reporting API, Protected Audience, Topics, Private Aggregation, Shared Storage, IP Protection, Related Website Sets y otras piezas vinculadas a Chrome y Android, mientras mantenía otras como CHIPS, FedCM y Private State Tokens.

Ahí se acabó una fantasía bastante cómoda: la idea de que una tecnología de navegador, diseñada por el actor más grande del mercado publicitario, iba a resolver al mismo tiempo privacidad, competencia, atribución, remarketing, fraude, medición y monetización editorial. Demasiado peso para una sola cuerda. Y la cuerda, claro, cedió.

La autoridad británica de competencia, la CMA, había vigilado durante años los compromisos de Google sobre Privacy Sandbox por el riesgo de que la retirada de cookies reforzara todavía más la posición de Google en publicidad digital. Después, decidió liberar esos compromisos al considerar que las preocupaciones originales ya no se mantenían del mismo modo, precisamente porque Google ya no planeaba bloquear de forma general las cookies de terceros en la navegación normal de Chrome ni lanzar un aviso específico para decidir sobre ellas.

Ese dato importa. Mucho. Porque demuestra que la discusión sobre cookies de terceros Chrome nunca fue solo una conversación de analítica web. Fue una pelea de poder sobre quién controla la identidad, quién conserva la capacidad de segmentar, quién mide conversiones y quién puede vender publicidad con menos dependencia de intermediarios. El usuario aparecía en el cartel, sí, con la palabra privacidad bien grande. Pero detrás había servidores, subastas, inventario, audiencias, márgenes y una guerra comercial con traje gris.

Por qué la medición sigue rota aunque Chrome no cambie de golpe

La medición sigue rota porque la cookie de terceros era solo una muleta. Una muleta útil, cómoda, bastante invasiva y durante años absurdamente normalizada, pero muleta al fin. Permitía reconocer usuarios entre dominios, alimentar audiencias, atribuir conversiones, limitar frecuencia, construir secuencias de impacto y perseguir al visitante con una zapatilla vista una vez en una tienda online. Ese viejo teatro funcionaba porque demasiadas capas del ecosistema aceptaban mirar hacia otro lado.

Cuando una parte del tráfico bloquea cookies, otra parte no concede consentimiento, otra navega desde Safari, otra llega desde apps cerradas, otra entra por navegadores con protección reforzada y otra se pierde entre redirecciones, parámetros rotos o sesiones mal cosidas, el informe final deja de ser un espejo. Pasa a ser una acuarela. Reconoces la figura, pero los bordes se han corrido.

Safari, con Intelligent Tracking Prevention, bloquea por defecto las cookies de terceros y limita otros tipos de almacenamiento y seguimiento entre sitios. Firefox, por su parte, aplica Enhanced Tracking Protection y bloquea por defecto cookies de seguimiento entre sitios, rastreadores sociales, criptomineros y fingerprinting en distintos niveles de protección. Chrome conserva más margen para la cookie, pero la web real no se navega solo desde Chrome ni desde un laboratorio limpio con el usuario aceptando todo, sonriendo y comprando en la misma sesión.

La consecuencia práctica se ve en cualquier cuenta de ecommerce con cierto volumen. Google Ads atribuye unas conversiones. GA4 muestra otras. El CRM tiene pedidos que no cuadran con ninguna fuente. Meta reclama valor incremental. El afiliado también. El email, faltaría más, aparece como héroe silencioso. Y el equipo financiero pregunta por qué el ROAS sube mientras la caja no respira igual. La medición digital no falla siempre por ausencia de datos, sino por exceso de versiones interesadas del mismo dato.

A esto se suma un pecado habitual: confundir precisión visual con precisión real. Un dashboard bonito, con gráficas suaves y porcentajes de dos decimales, puede estar construido sobre señales incompletas. La interfaz transmite control. El dato, por debajo, viene con goteras. En marketing digital hay pocas cosas más peligrosas que una tabla limpia cuando el método está sucio.

El error práctico: tratar el dato disponible como dato fiable

El dato disponible no siempre es el dato bueno. Es solo el dato que ha conseguido llegar. Y llega condicionado por el consentimiento, el navegador, el dispositivo, la duración de la cookie, el bloqueo de scripts, la pérdida de identificadores, la atribución modelada y la configuración técnica. En una web con tráfico europeo, por ejemplo, una implementación seria de consentimiento puede reducir la señal observable sin que baje necesariamente el negocio. En una web con tráfico iOS, el problema puede venir más del entorno técnico que de la plataforma publicitaria. En una web con muchas ventas asistidas, el último clic es directamente una novela mal editada.

El viejo sueño de saber exactamente qué anuncio provocó qué compra se ha ido deshilachando. A veces se sabe. A veces se estima. A veces se modela. A veces se infiere con bastante decencia. Y a veces se maquilla con una seguridad estadística que convendría mirar de reojo. No pasa nada por modelar; pasa mucho por vender el modelo como si fuera una cámara de vigilancia.

Por eso, el debate de las cookies de terceros Chrome no debería leerse como una invitación a frenar la adaptación. Al contrario. Que Google no haya apagado la cookie de terceros en Chrome no arregla el tráfico perdido en Safari, no resucita usuarios que niegan consentimiento, no atraviesa bloqueadores, no ordena datos de CRM mal normalizados y no convierte GA4 en una fuente contable. Devuelve algo de oxígeno a determinados casos de uso publicitario, pero no reconstruye el edificio.

Consent Mode, GA4 y el píxel que ya no ve igual

La medición moderna se mueve en una tensión incómoda: necesita señales, pero esas señales dependen de permisos. Google Consent Mode permite ajustar el comportamiento de etiquetas y SDK según el consentimiento del usuario. En su versión básica, las etiquetas se bloquean hasta que el usuario interactúa con el banner; en la avanzada, pueden cargarse con estados denegados y enviar mediciones sin cookies o señales de consentimiento para alimentar modelizaciones. Ahí aparece una palabra que parece inocente y no lo es: modelado.

Consent Mode v2 añadió parámetros como ad_user_data y ad_personalization, además de los ya conocidos ad_storage y analytics_storage. Esto afecta a publicidad personalizada, remarketing, datos de usuario enviados a Google, cookies publicitarias y cookies analíticas. Para un anunciante europeo, no es un detalle de configuración: es una pieza central de cumplimiento, medición y activación. Mal implementada, rompe datos. Bien implementada, tampoco devuelve el pasado. Solo permite trabajar con una pérdida más ordenada.

GA4, por su diseño basado en eventos, está mejor preparado para un mundo menos dependiente de sesiones clásicas que Universal Analytics. Pero eso no significa que sea mágico. Un evento mal nombrado sigue siendo basura con etiqueta nueva. Una conversión duplicada sigue siendo duplicada aunque se llame key event. Un consentimiento que llega tarde puede alterar la lectura. Un ecommerce sin server-side bien planteado puede perder señales críticas. Y un panel de adquisición puede seguir llenándose de “unassigned” como si alguien hubiera abierto una ventana en pleno temporal.

La medición server-side se ha vendido, a veces, como el salvavidas absoluto. No lo es. Ayuda, sobre todo cuando se implementa en un subdominio propio, se depuran eventos, se enriquecen señales legítimas, se controla mejor la calidad del dato y se reducen dependencias del navegador. Pero no debe utilizarse como coartada para saltarse consentimiento ni como túnel opaco. Su valor está en la gobernanza, no en la picaresca. Dicho en limpio: server-side no es una capa para hacer trampas; es una capa para medir mejor lo que se puede medir.

También conviene bajar del altar al último clic. La atribución basada únicamente en el toque final siempre fue cómoda, no necesariamente justa. En un entorno con menos señales individuales, crece el valor de los tests de incrementalidad, los experimentos geográficos, los holdouts, los modelos mixtos de marketing y la lectura combinada de negocio, CRM, analítica y plataformas. Suena menos sexy que un píxel que todo lo ve. Normal. La madurez suele ser menos brillante que la fantasía.

La salida no está en una herramienta milagro

La respuesta sensata para marcas, medios y ecommerce no pasa por esperar otro anuncio de Google como quien espera lluvia en agosto. Pasa por aceptar que la medición será más probabilística, más fragmentada y más exigente. También más honesta, si se trabaja bien. El primer paso es separar tres planos que durante años se mezclaron demasiado: analítica, atribución publicitaria y dato de negocio. No sirven para lo mismo, no cuentan igual y no deberían reconciliarse a martillazos.

La analítica web ayuda a entender comportamiento: páginas vistas, eventos, formularios, embudos, profundidad, errores, rendimiento. La atribución publicitaria intenta repartir mérito entre canales. El dato de negocio confirma ventas, margen, recurrencia, devoluciones, leads válidos, oportunidades reales. Cuando una empresa pretende que GA4 sea a la vez analista, juez, contable y director comercial, el sistema cruje. No porque GA4 sea inútil, sino porque se le está pidiendo que haga de notario en una fiesta con poca luz.

El dato de primera parte vuelve al centro, pero tampoco conviene convertirlo en eslogan vacío. First-party data no es tener una newsletter abandonada ni un CRM lleno de duplicados. Es capturar información con permiso, ordenarla, conectarla con ventas reales, depurar identificadores, respetar preferencias y activar segmentos útiles sin abrasar al usuario. En medios, eso significa relación directa, registro, newsletters con intención y una propuesta editorial reconocible. En ecommerce, significa historial de compra, recurrencia, margen, cohortes, LTV y no solo audiencias de carrito abandonado tratadas como ganado.

Para SEO y contenidos, el golpe es menos evidente pero igual de profundo. Si la atribución publicitaria se vuelve más borrosa, el contenido orgánico gana peso como activo estable, pero también necesita medición más seria. No basta mirar sesiones. Hay que observar calidad de tráfico, leads asistidos, búsquedas de marca, profundidad de lectura, retorno, conversión diferida y relación con otros canales. El SEO deja de ser “tráeme clics” y se acerca más a “construye demanda que no dependa de alquilar atención cada día”. Pequeño matiz. Bastante importante.

En paid media, el cambio obliga a discutir con menos fe y más método. Las plataformas seguirán ofreciendo conversiones modeladas, optimización automática y audiencias predictivas. Algunas funcionarán bien. Otras inflarán méritos como un globo de feria. El anunciante necesita contrastar: ventas reales, tests incrementales, ventanas de atribución razonables, exclusiones limpias, etiquetado consistente, consentimientos auditables y una lectura menos infantil del ROAS. Porque un ROAS bonito sobre una base incompleta puede ser simplemente decoración.

Chrome conserva la cookie, pero pierde el relato

La historia de las cookies de terceros Chrome deja una lección poco cómoda para el marketing digital: el futuro sin cookies no llegó como se anunció, pero el pasado con cookies tampoco volvió. Google ha evitado el apagón general, Privacy Sandbox ha perdido buena parte de sus piezas más ambiciosas y el mercado se queda en una zona intermedia, gris, técnica, imperfecta. La peor para vender titulares. La mejor para trabajar con criterio.

La medición sigue rota porque nunca fue tan exacta como parecía. Las cookies de terceros daban continuidad, sí, pero también crearon una cultura de dependencia, sobreatribución y vigilancia que encajaba mal con la web que viene. Ahora toca medir con menos soberbia: combinar señales, aceptar márgenes de error, documentar hipótesis, cuidar el consentimiento, reforzar el dato propio y mirar el negocio más allá del panel de turno.

Chrome no ha cerrado la puerta a las cookies de terceros. La ha dejado entornada, con un cartel de privacidad, un regulador mirando desde la acera y medio sector publicitario intentando fingir que no ha pasado nada. Pero ha pasado. La medición digital ha perdido inocencia. Y quizá eso, aunque duela en los informes, era exactamente lo que necesitaba.