La cookie que nunca murió: qué produjeron realmente seis años de promesas de privacidad
El funeral de las cookies de terceros se ha programado y cancelado tantas veces que la industria publicitaria dejó de planificarlo. Google anunció la eliminación de cookies en enero de 2020, con el objetivo de 2022. Luego 2023. Luego 2024. En julio de 2024, Google dio un giro completo: en lugar de eliminar las cookies, Chrome mostraría un aviso de elección. En abril de 2025, incluso ese aviso fue abandonado. Las cookies siguen activas en Chrome con la configuración de privacidad estándar, exactamente donde estaban en 2019.
El 17 de octubre de 2025, Google retiró la iniciativa Privacy Sandbox, el proyecto paraguas que debía construir la infraestructura publicitaria respetuosa con la privacidad que hiciera viable la eliminación de cookies. Las APIs Topics, Protected Audience, Attribution Reporting y otras ocho tecnologías fueron cerradas. Seis años de preparación industrial, cientos de millones de dólares en desarrollo y múltiples rondas de escrutinio regulatorio concluyeron con el statu quo intacto.
Por qué fracasó el Privacy Sandbox
Las razones técnicas fueron secundarias frente a las económicas. El IAB Tech Lab, tras un análisis de seis meses, concluyó que el Privacy Sandbox «introduce obstáculos significativos para la economía publicitaria digital». Los modelos de Criteo hallaron que los editores podrían perder hasta el 60% de los ingresos publicitarios de Chrome en un mundo donde el Privacy Sandbox fuera el único mecanismo de segmentación. Index Exchange encontró que las tasas de CPM cayeron un 33% en las pruebas de implementación. La adopción de la API Topics por parte de los editores, que debía reemplazar la segmentación basada en intereses, nunca superó los umbrales necesarios para la neutralidad de ingresos.
La Autoridad de Competencia y Mercados del Reino Unido (CMA), que había impuesto a Google compromisos legalmente vinculantes sobre el Privacy Sandbox en 2022, liberó simultáneamente a Google de esas obligaciones en octubre de 2025, a pesar de que los 15 encuestados en la consulta pública se opusieron a la liberación. La razón declarada de la CMA fue que la eliminación de cookies ya no estaba sobre la mesa, por lo que los compromisos diseñados para limitar cómo Google usaba ese poder ya no tenían propósito.
Anunciantes y editores habían pasado años construyendo integraciones con el Privacy Sandbox, formando equipos en las nuevas APIs y explicando la transición a los clientes. La reacción de la industria al cierre osciló entre el alivio, el agotamiento y la preocupación por lo que viene después. Google conserva un control enorme sobre cómo funciona la publicidad en Chrome —más control, probablemente, del que tenía antes de que comenzara la saga del Privacy Sandbox, porque el escrutinio que produjo la orden de consentimiento de la CMA ahora se ha disipado.
La comparación con Apple lo explica todo
Mientras la saga de las cookies de Chrome se desarrollaba en cámara lenta, Apple hizo algo sencillo: preguntó a los usuarios si querían ser rastreados y aplicó la respuesta. App Tracking Transparency, lanzado en abril de 2021, exige que las aplicaciones muestren un aviso antes de acceder al identificador publicitario del dispositivo. En Estados Unidos, la tasa de seguimiento cayó del 72,6% al 17,9%, una disminución de 54,7 puntos porcentuales. La tasa global de aceptación de ATT a mediados de 2025 es de aproximadamente el 35%, lo que significa que cerca de dos tercios de los usuarios de iOS niegan el seguimiento cuando se les pregunta directamente.
Meta estimó pérdidas de 13 000 millones de dólares en ingresos publicitarios para 2022 solo por ATT. Los anuncios optimizados para conversiones registraron una reducción del 37% en las tasas de clics. Las aplicaciones que no logran superar el 30% de aceptación pierden aproximadamente el 58% de los ingresos publicitarios. La industria publicitaria se adaptó —a través de la API de Conversiones de Meta, SKAdNetwork de Apple, conversiones modeladas y estrategias de datos propios— pero la adaptación fue a un entorno realmente cambiado, no a un cambio que seguía posponiéndose.
El contraste es instructivo. Apple implementó la privacidad porque Apple vende dispositivos y software, no publicidad. Sus incentivos se alineaban con la privacidad del usuario. El Privacy Sandbox de Google intentó resolver un conflicto entre la privacidad del usuario y el modelo de negocio publicitario que financia el desarrollo de Chrome, y al final ese conflicto no pudo resolverse de manera que satisficiera a ambas partes.
Qué construyó la industria en su lugar
Los seis años de preparación para la eliminación de cookies no fueron en vano. Aceleraron el desarrollo de alternativas que ahora están desplegadas a gran escala, aunque la crisis que debía forzar su adopción nunca se materializó.
Los data clean rooms —entornos seguros donde anunciantes y editores pueden ejecutar consultas sobre conjuntos de datos combinados sin que ninguna de las partes vea los registros de usuarios en bruto del otro— son ahora infraestructura normalizada. El mercado alcanzó los 3 200 millones de dólares en 2025 y crece a más del 20% anual. Google, AWS, LiveRamp y Snowflake poseen la mayor parte del mercado. En mayo de 2026, Publicis adquirió LiveRamp por 2 167 millones de dólares —la mayor adquisición de una agencia holding en el espacio de infraestructura de datos—, lo que indica que la capacidad de clean room es ahora un activo estratégico a nivel de holding. WPP adquirió InfoSum en 2024.
Las soluciones de identidad universal han avanzado de manera significativa pero desigual. Unified ID 2.0 de The Trade Desk, construido sobre direcciones de correo electrónico hasheadas con consentimiento del usuario, cubre ahora aproximadamente el 75% del ecosistema de datos de terceros en la plataforma de The Trade Desk, según cifras de la propia compañía. RampID de LiveRamp está disponible en una red de más de 1 000 socios que cubren 2 900 millones de dispositivos móviles activos mensuales. Los matices son reales: un gran editor de CTV dedicó tres meses a generar tokens UID2 criptográficamente rotos sin que The Trade Desk detectara los errores, y tras corregirlos no observó cambios medibles en los ingresos publicitarios, lo que sugiere que los compradores aún no confiaban realmente en los UID2 a pesar de las cifras de adopción teóricas.
El server-side tracking se ha convertido en una herramienta estándar para recuperar señal de medición. Al enviar datos de conversión directamente desde el servidor de una marca a las plataformas publicitarias en lugar de depender de píxeles del navegador, los anunciantes recuperan en promedio entre un 34% y un 37% más de conversiones atribuidas. Con el uso de bloqueadores de anuncios ahora en 1 770 millones de usuarios a nivel global, los píxeles del lado del cliente por sí solos miden entre el 60% y el 80% de la actividad real.
Qué se perdió y qué cambió
Las cookies de terceros permitían el seguimiento determinista entre sitios: un mismo usuario que hacía clic en un anuncio social, navegaba por una página de producto y volvía a través de una búsqueda podía tener todo su trayecto registrado y atribuido. Esa cadena ahora está rota fuera de los walled gardens —no por la política de Chrome, sino porque Safari y Firefox eliminaron las cookies de terceros hace años y representan una parte sustancial de la navegación. La retención de cookies por parte de Chrome importa principalmente en el ecosistema programático que se dirige específicamente a los usuarios de Chrome.
El frequency capping entre editores —evitar que un mismo usuario vea el mismo anuncio cuarenta veces en distintos sitios web— es ahora en gran medida una adivinanza fuera de entornos con sesión iniciada. La atribución multitáctil en la web abierta se ha reducido a modelos probabilísticos o se ha abandonado en favor de pruebas de incrementalidad y modelado de mix de marketing. Los anunciantes B2B nicho, que dependían de señales de intención entre sitios para llegar a audiencias profesionales específicas, han sido los más afectados. Los anunciantes de consumo masivo con grandes activos de datos propios se han adaptado con más éxito.
El ecosistema programático de la web abierta absorbió el daño que los walled gardens evitaron por completo. Google Search, YouTube, las plataformas de Meta y el retail media de Amazon operan todos dentro de entornos autenticados con datos propios. Sus capacidades de segmentación nunca dependieron de cookies de terceros y no se han visto afectadas por toda esta saga. La consolidación del gasto publicitario en estas plataformas, visible en las cifras de ingresos desde 2021, es al menos en parte un efecto de la incertidumbre creada por la saga de la eliminación de cookies: las marcas trasladaron la inversión hacia superficies donde las señales eran fiables, y esas superficies resultan ser propiedad de las tres empresas con los mayores activos de datos propios del planeta.
Hacia dónde va esto
Con el Privacy Sandbox retirado, el Private Advertising Technology Working Group del W3C es ahora el foro donde los fabricantes de navegadores, anunciantes y defensores de la privacidad negociarán el próximo intento de medición publicitaria respetuosa con la privacidad. El grupo se basa en principios de privacidad diferencial —ruido matemático añadido a los informes de medición agregados para evitar la identificación individual—, que Apple ya ha desplegado en SKAdNetwork y la medición de ATT.
La suposición de trabajo es que el camino que Apple impuso en la publicidad móvil llegará eventualmente a la web, ya sea mediante regulación o presión competitiva, aunque Google no pudiera diseñarlo voluntariamente. La Ley de Mercados Digitales y el Reglamento ePrivacy de la UE siguen siendo frentes regulatorios activos. La industria publicitaria está construyendo infraestructura de datos propios, capacidades de clean room y medición del lado del servidor no porque la cookie esté muriendo este año, sino porque la trayectoria de su eventual declive no ha cambiado —solo el plazo.