Tu sitio de compras, tus redes sociales, el sistema de fichaje de tu empresa ── las páginas que usas sin pensarlo te reciben con la sesión iniciada, incluso después de cerrar el navegador y volver al día siguiente. Y sin embargo, el servidor que trabaja detrás no te está recordando de verdad. La realidad es la contraria: los servidores tienden a olvidarte ── más exactamente, reinician su memoria cada vez que responden a una petición. La experiencia cotidiana de «ser recordado» es, mirada de cerca, bastante extraña.
Entonces, ¿por qué seguimos con la sesión iniciada? La respuesta es la cookie ── la misma del aviso «¿Aceptas las cookies?» que te pregunta cada sitio. Si algo de lo siguiente te suena, sigue leyendo.
- Haces clic en el aviso de «¿Aceptas las cookies?» por reflejo, cada vez, sin saber qué significa
- No puedes explicar por qué sigues con la sesión iniciada ── o, al revés, por qué de repente se cierra tu sesión
- No sabes por qué, al abrir el mismo sitio en otro PC o en el móvil, apareces sin sesión
- Alguien te dijo «prueba a borrar las cookies» ── pero no sabes muy bien qué hace eso en realidad
Este artículo hace dos promesas. ① Mantendremos la jerga al mínimo. ② No nos quedaremos en el funcionamiento: llegaremos a las decisiones prácticas ── qué pulsar en el aviso de consentimiento y qué pasa si borras las cookies.
| Pregunta | Dónde se responde |
|---|---|
| ¿Qué significa que «los servidores tienden a olvidarte»? | §1 |
| ¿Qué es exactamente una cookie? | §2 |
| ¿Cómo funciona realmente mantener la sesión iniciada? | §3 |
| ¿Qué pregunta de verdad «¿Aceptas las cookies?»? | §4 |
| ¿Son peligrosas las cookies? | §5 |
| ¿Qué pasa si las borro? | FAQ Q1 |
En el recopilatorio de la serie, ¿Qué ocurre entre que escribes una URL y aparece la página?, seguimos un acceso como «el viaje de ida y vuelta de una sola petición». Este artículo retoma la pregunta que viene después ── si cada petición y cada visita se completa por sí sola, ¿por qué el sitio te recuerda?
1. El servidor te olvida cada vez ── HTTP está diseñado para no recordar
1-1. El viaje de ida y vuelta de una petición se completa por sí solo, cada vez
Cuando abres una página web, una petición viaja por el mundo, llega al servidor y vuelve una respuesta (el viaje completo está en ¿Qué ocurre entre que escribes una URL y aparece la página?). Aquí está la parte importante: ese viaje de ida y vuelta es toda la historia. Cuando haces clic en un enlace más, ese es un viaje completamente nuevo ── y, desde el punto de vista del servidor, una petición de un completo desconocido.
En metáfora: el servidor es un empleado de mostrador cuya memoria se borra en cuanto termina cada atención. Visítalo diez veces en un minuto y diez veces te recibirá con «¡Bienvenido! ¿Primera vez por aquí?». Esta propiedad se llama ser sin estado (stateless) y forma parte del diseño básico de HTTP.
Suena a defecto, pero es deliberado. Un mostrador que no recuerda puede atender a cualquiera con el mismo procedimiento ── simple, rápido y capaz de servir a la vez a multitudes enormes de todo el mundo. Renunciar desde el principio al trabajo de «recordar» es una de las razones por las que la web pudo crecer tanto.
1-2. Entonces, ¿por qué parece que la web te recuerda?
Pero eso crea una contradicción. Seguir con la sesión iniciada, los artículos esperando en tu carrito, tu modo oscuro sobreviviendo entre visitas ── si el empleado te conoce como desconocido cada vez, nada de eso debería pasar.
El mostrador sin memoria vs lo que tú experimentas Cómo funciona la maquinaria (sin estado) Visita 1: Tú ──> Servidor: «Encantado de conocerte» Visita 2: Tú ──> Servidor: «Encantado de conocerte» △ Cero memoria, cada vez Visita 3: Tú ──> Servidor: «Encantado de conocerte» Lo que tú experimentas Visita 1: Inicias sesión Visita 2: Sigues con la sesión iniciada △ De algún modo, te recuerdan Al día siguiente: Sigues con la sesión iniciada
El dispositivo que salva esta brecha es el protagonista de este artículo: la cookie. La respuesta en una línea, por adelantado ── quien recuerda no es el servidor. Es tu navegador.
2. Qué es realmente una cookie ── una tarjeta de socio que te entrega la tienda
2-1. La tienda renuncia a recordar y le da una tarjeta al cliente
Incluso un empleado cuya memoria se borra puede distinguir a los clientes. El truco: que el cliente lleve una tarjeta y la muestre en cada visita.
Eso es exactamente una cookie. La primera vez que visitas un sitio, el servidor adjunta una nota a su respuesta ── «por favor, guarda esto» (Set-Cookie). Tu navegador guarda la tarjeta en su cartera (una zona de almacenamiento de tu PC) y, la próxima vez que envía una petición a ese mismo sitio, presenta la tarjeta automáticamente. El empleado tiene cero memoria, pero un vistazo a la tarjeta le dice «ah, el cliente que tiene esta tarjeta» ── una tienda que emite una tarjeta de socio y un cliente que la muestra en cada visita.
La tarjeta en sí es solo una cadena corta de texto en una nota. No es un programa, así que la tarjeta no puede ejecutar nada por sí sola ── esto volverá a importar en §5.
2-2. Las reglas de la tarjeta ── se muestra solo a la tienda que la emitió, automáticamente
Las tarjetas de socio siguen dos reglas básicas.
Primera: una tarjeta solo se muestra a la tienda que la emitió. La tarjeta que te dio el sitio A se adjunta únicamente a las peticiones que van al sitio A. La tarjeta de fidelidad de tu supermercado no sirve de nada en la librería (── esa es la regla en lo que respecta a §2. En §4 veremos que la «trampa» de esta regla es exactamente de lo que trata el aviso de consentimiento).
Segunda: las tarjetas caducan. Hay dos tipos: tarjetas que se tiran al cerrar el navegador (cookies de sesión) y tarjetas que se quedan en la cartera hasta una fecha fijada (cookies persistentes). La casilla de «mantener la sesión iniciada» es, a grandes rasgos, una elección entre estas dos.
El viaje de ida y vuelta de la tarjeta ── de la emisión a la presentación automática Primera visita Tú ──«Encantado»─────────────────────> Sitio A Tú <──«¡Bienvenido! Guarda esta tarjeta»── Sitio A △ Tarjeta emitida (Set-Cookie) Cada visita posterior Tú ──«Hola de nuevo» + [tarjeta] ──> Sitio A △ El navegador la adjunta solo Tú <──«Bienvenido de nuevo»────────── Sitio A Visitando otra tienda Tú ──«Encantado»────────────────────> Sitio B △ La tarjeta del sitio A no se adjunta
3. Cómo funciona mantener la sesión iniciada ── la tarjeta solo lleva un número
3-1. Una ficha numerada y un libro de registro ── qué es realmente un ID de sesión
Dijimos que «un vistazo a la tarjeta basta» ── pero la tarjeta no lleva escritos ni tu nombre ni tu contraseña. El mecanismo del inicio de sesión es un punto más ingenioso.
Cuando introduces tu contraseña e inicias sesión con éxito, el servidor escribe una línea en su libro de registro ── «Cliente n.º 8472 = tu cuenta, sesión iniciada». Después te entrega una ficha numerada con solo ese número de línea. A partir de ahí, cada vez que tu navegador presenta la ficha, el servidor busca el n.º 8472 en el libro y sabe «es esta persona, con la sesión ya iniciada» ── ese número es el ID de sesión, y el libro es la sesión del lado del servidor.
Este diseño tiene dos ventajas. Tu contraseña nunca está en la ficha, así que aunque alguien vea la ficha, la contraseña no se filtra (FAQ Q5). Y no tienes que reescribir tu contraseña cada vez ── presentar la ficha continúa la verificación de identidad por ti. Por cierto, esta «ficha numerada» es un tipo del mecanismo llamado token ── nuestra guía Contraseña vs UUID vs Hash vs Token aclara en qué se diferencia de contraseñas y hashes.
- 1Inicias sesiónContraseña verificada. El servidor escribe una línea en su libro de registro.
- 2Ficha emitidaUna ficha que lleva solo el número de línea (el ID de sesión) se entrega como cookie.
- 3Cada visita posteriorEl navegador presenta la ficha automáticamente. El servidor la coteja con el libro: «sesión iniciada».
- 4El finalCierre de sesión (la línea del libro se borra) o la ficha caduca ── de vuelta a ser desconocidos.
3-2. Los misterios se resuelven solos: cierres de sesión repentinos y ser un desconocido en otro PC
Con la ficha y el libro de registro, los misterios cotidianos se deshacen de golpe.
Que te cierren la sesión de repente significa que la ficha o el libro caducaron. La ficha pasó de fecha, el servidor limpió líneas viejas del libro, un «cerrar sesión en todos los dispositivos» borró tu línea, o una limpieza del navegador tiró la ficha ── las causas varían, pero el hecho es el mismo: la ficha y el libro ya no coinciden.
Aparecer sin sesión en otro PC o móvil ocurre porque la ficha vive en la cartera de ese navegador. Otra cartera, ninguna ficha ── así que un dispositivo nuevo significa empezar otra vez desde la contraseña. Incluso en el mismo PC, cambiar de navegador te convierte en desconocido, porque cada navegador guarda su propia cartera.
El lado que guarda el libro de registro ── es decir, qué es realmente un servidor ── da para un artículo entero. Planeamos cubrirlo en una entrada futura.
4. Qué pregunta de verdad «¿Aceptas las cookies?» ── la tarjeta de socio de la empresa publicitaria
4-1. Si todas las tarjetas fueran de un solo sitio, el aviso nunca habría existido
Hasta ahora, todas las tarjetas eran «solo para ese sitio». La tarjeta del sitio A se muestra solo al sitio A ── las cookies usadas dentro de este límite se llaman cookies propias (first-party) y son las que hacen funcionar inicios de sesión, carritos y ajustes recordados. Sinceramente, si el mundo solo tuviera estas, el aviso de consentimiento nunca habría nacido.
4-2. Mostrar la misma tarjeta entre sitios ── cookies de terceros y rastreo
El problema es que una página no se construye solo con «ese sitio». Muchas páginas incrustan piezas de otras empresas (normalmente publicitarias) ── espacios de anuncios, fragmentos de analítica. Cuando abres la página, tu navegador también envía peticiones al servidor de la empresa publicitaria para traer esas piezas ── y, según la regla de §2, la tarjeta emitida por la empresa publicitaria se adjunta a las peticiones que van hacia la empresa publicitaria.
Aquí está la trampa. ¿Y si el sitio de noticias, el de recetas y el de compras incrustan piezas de la misma empresa publicitaria? Entonces, abras el sitio que abras, estás mostrando la misma única «tarjeta de socio de la empresa publicitaria» allá donde vayas. El libro de registro de la empresa publicitaria acumula un rastro: «Persona n.º 551: noticias → recetas → la página de zapatos de la tienda» ── ese es el mecanismo real detrás de «el producto que miré ayer me persigue por otros sitios», y las tarjetas que cruzan sitios así son las cookies de terceros (third-party).
Propias vs de terceros ── a quién se muestra qué tarjeta Propias (la tarjeta del propio sitio) Sitio de noticias ──> [tarjeta de noticias] △ Se queda dentro de ese sitio Sitio de compras ──> [tarjeta de compras] De terceros (la tarjeta de la empresa publicitaria) Sitio de noticias ┐ Sitio de recetas ├── en cada página ──> [la misma tarjeta publicitaria] Sitio de compras ┘ △ El rastro conecta los sitios
Esto es principalmente lo que pregunta el aviso de «¿Aceptas las cookies?». Las tarjetas del propio sitio (las que necesitan los inicios de sesión y los ajustes) suelen tratarse como «estrictamente necesarias», y lo que de verdad se te pide elegir es si aceptas las tarjetas de publicidad y analítica. Por eso, pulsar «Rechazar» deja las funciones principales del sitio funcionando con normalidad (FAQ Q3).
Por cierto, el viento sopla en contra de este mecanismo de rastreo: los fabricantes de navegadores están retirando las cookies de terceros paso a paso. Piénsalo como un regreso a la regla original de la tarjeta ── mostrarse solo al sitio que la emitió ── y con eso sabes suficiente.
5. ¿Son peligrosas las cookies? ── la tarjeta en sí es inofensiva; lo que importa es cómo se maneja
5-1. Trazando la línea ── el lado inofensivo y el lado que pide cuidado
La imagen de «cookies = algo peligroso» es mitad malentendido y mitad verdad. Como en nuestro artículo de HTTPS, tracemos la línea con una tabla.
| Puedes relajarte ✅ | Pide cuidado ❌ | |
|---|---|---|
| Qué es la tarjeta | Una nota corta de texto. No es un programa ── no puede ejecutar nada al estilo de un virus | ── |
| Quién la ve | Se muestra solo al sitio que la emitió (propia) | ── |
| Espionaje en el camino | La tarjeta viaja dentro de la caja secreta (HTTPS) y no puede leerse por el camino | ── |
| Robo de la ficha | ── | Si otra persona usa tu ficha numerada, queda con la sesión iniciada como tú, sin contraseña ── el riesgo real de olvidar cerrar sesión en un PC compartido |
| Rastros de comportamiento | ── | Las tarjetas de la empresa publicitaria (de terceros) se convierten en un registro de tu rastro entre sitios (§4) |
| Borrarlas | ── | Tira todas las tarjetas y cada sitio vuelve a tratarte como desconocido (FAQ Q1) |
5-2. Las conclusiones prácticas
Traducir la tabla a comportamiento cotidiano nos da tres reglas.
Primera ── en dispositivos compartidos o prestados, cierra siempre la sesión al terminar. Cerrar sesión borra la línea del libro, así que incluso una ficha olvidada se vuelve inútil. Solo cerrar el navegador puede dejar la ficha en la cartera.
Segunda ── en los avisos de consentimiento, «solo las necesarias» o «Rechazar» está perfectamente bien cuando se ofrece. Las tarjetas del propio sitio se mantienen, así que iniciar sesión y comprar siguen funcionando como siempre.
Tercera ── no hay que temer a las cookies en sí. La tarjeta es una nota, no un programa, y la caja secreta la protege en tránsito. Las dos cosas que merecen tu atención: que otras personas no manejen físicamente tus fichas, y decidir qué libros de registro pueden anotar tu rastro.
Resumen ── la esencia en 4 líneas
- El servidor olvida, cada vez: HTTP es sin estado ── la memoria del empleado se borra tras cada atención. No recordar es lo que lo hace rápido y masivamente escalable
- Una cookie es una tarjeta de socio: quien recuerda es el navegador ── guarda la tarjeta que un sitio emitió y la presenta automáticamente, solo a ese sitio
- El inicio de sesión es una ficha numerada más un libro de registro: la ficha lleva solo un número de línea (el ID de sesión), nunca tu contraseña ── y «sesión cerrada» significa que la ficha y el libro dejaron de coincidir
- La verdadera pregunta del aviso es la tarjeta de la empresa publicitaria: las tarjetas del propio sitio son «necesarias»; lo que eliges es el rastreo entre sitios, y rechazarlo deja las funciones principales funcionando
Para seguir con la serie ── el viaje completo de una petición está en el recopilatorio de la serie, la caja que protege la tarjeta en tránsito está en el artículo de HTTPS, y en qué se diferencia la ficha numerada (token) de contraseñas y hashes está en la guía de cadenas aleatorias.
FAQ
Q1. ¿Qué pasa si borro todas mis cookies?
A. Todos los sitios vuelven a tratarte como desconocido ── en concreto, tu sesión se cierra en todas partes, el contenido del carrito y los ajustes de «no volver a mostrar» desaparecen, y los avisos de consentimiento vuelven a aparecer. No se rompe nada: inicia sesión otra vez y todo funciona como antes. La razón por la que «prueba a borrar las cookies» es un consejo clásico de soporte es que reinicia cualquier desajuste entre fichas viejas y el libro de registro.
Q2. ¿Qué pasa realmente en el modo incógnito (navegación privada)?
A. Estás navegando con una credencial de visitante temporal. Cada tarjeta de socio y cada ficha numerada que recibes dentro de la ventana de incógnito caduca en el momento en que la cierras ── se descartan todas de golpe, y por eso no quedan ni historial ni tarjetas en tu dispositivo. Pero mientras llevas la credencial, te ves exactamente igual que siempre. Si inicias sesión dentro de esa ventana, la credencial lleva en la práctica tu nombre: el libro de registro del sitio sabe que eres tú, como siempre. Lo que ve la red por el camino tampoco cambia. El incógnito no te hace anónimo ── lo único que cambia es que no queda nada en tu dispositivo.
Q3. Si pulso «Rechazar» en el aviso de consentimiento, ¿dejará de funcionar el sitio?
A. En casi todos los casos sigue funcionando con normalidad. El aviso pregunta sobre todo por las tarjetas de publicidad y analítica (de terceros); las tarjetas del propio sitio usadas para sesiones y carritos suelen clasificarse como «estrictamente necesarias» y no entran en el rechazo (§4). Puede que sigas viendo anuncios después de rechazar ── solo que son anuncios no adaptados a tu rastro.
Q4. ¿En qué se diferencian las cookies y la caché? Siempre se borran juntas.
A. Trabajos completamente distintos. La cookie es la tarjeta de socio que dice quién eres; la caché es la reutilización de paquetes (imágenes y similares) que ya recibiste una vez. Borrarlas también difiere: borra las cookies y se cierra tu sesión; borra la caché y las páginas solo cargan más lento un tiempo. Cómo funciona la caché ── la verdadera historia detrás de «lo actualicé pero no cambió nada» ── da para su propio artículo, planeado para una entrada futura.
Q5. ¿Mi contraseña real está guardada dentro de una cookie?
A. No. Como mostró §3, la ficha lleva solo un número de línea del libro (el ID de sesión); tu contraseña se usa para verificar tu identidad en el momento del inicio de sesión y nunca viaja en la ficha. Dicho esto, «no hay contraseña dentro, luego es seguro» tampoco se sostiene ── si te roban la ficha numerada, quien la tenga puede actuar como tú hasta que caduque. Lo básico para proteger tus fichas: cierra sesión en los PC compartidos y no dejes que otras personas manejen tu dispositivo.
Deja una respuesta