{"id":419,"date":"2026-03-08T18:34:10","date_gmt":"2026-03-08T18:34:10","guid":{"rendered":"https:\/\/hackcuba.net\/?p=419"},"modified":"2026-03-08T18:34:10","modified_gmt":"2026-03-08T18:34:10","slug":"alternativas-a-las-cookies","status":"publish","type":"post","link":"https:\/\/hackcuba.net\/?p=419","title":{"rendered":"Alternativas a las cookies"},"content":{"rendered":"\n

La publicaci\u00f3n de las cookies<\/em> de la semana anterior trajo consigo un debate entre varias amistades m\u00edas; unos asegurando que las cookies<\/em> eran inseguras y poco efectivas y otros defendi\u00e9ndolas. Por esta raz\u00f3n, creo que vendr\u00eda bien analizar las alternativas a las mismas para que ustedes se creen un criterio y decidan el lado que van a apoyar ahora que saben un poco m\u00e1s.<\/p>\n\n\n\n\n\n\n\n

Creo que prima empezar aclarando que algunas de las operaciones que se pueden realizar mediante cookies<\/em> tambi\u00e9n se pueden hacer mediante otros mecanismos. Pero como es de suponer, estos tienen sus propios inconvenientes (de lo contrario habr\u00edan dejado obsoletas a las cookies<\/em>). Por esta raz\u00f3n la privacidad sigue siendo hasta nuestros d\u00edas un problema, utilicemos o no las cookies<\/em>, las defina o no el servidor.<\/p>\n\n\n\n

La primera y que seguro se les ha ocurrido a muchos (otros es probable que la hayan le\u00eddo) es utilizando la direcci\u00f3n IP, que no es m\u00e1s que almacenar esta direcci\u00f3n del ordenador que solicita las p\u00e1ginas. El reconocimiento de IP est\u00e1 disponible desde los inicios de World Wide Web, debido a que es necesario al descargar p\u00e1ginas que el servidor reconozca la direcci\u00f3n IP del ordenador donde corre el navegador. Est\u00e1 opci\u00f3n puede ser guardada en el servidor, est\u00e9 o no usando cookies<\/em>. Pero como ustedes sabr\u00e1n, en algunas redes las direcciones IP son din\u00e1micas (como en Infomed), es decir, se le asignan al ordenador en el momento de conectarse (un mismo ordenador puede tener diferentes direcciones IP en diferentes sesiones). Esto provoca que sea menos fiable que las cookies<\/em> en la identificaci\u00f3n de un usuario. Sin embargo, esta t\u00e9cnica la podemos hacer m\u00e1s confiable si usamos otra caracter\u00edstica del protocolo HTTP: en el momento que un usuario solicita una p\u00e1gina porque ha seguido un link<\/em>, la petici\u00f3n que se env\u00eda al servidor contiene la URL de la p\u00e1gina donde el v\u00ednculo estaba localizado. Si el servidor almacena esas URL, se puede rastrear el camino de p\u00e1ginas visitadas por el usuario de forma m\u00e1s precisa. Pero he aqu\u00ed otro inconveniente: varios usuarios en un mismo ordenador pueden acceder a la misma p\u00e1gina y despu\u00e9s seguir links<\/em> diferentes, lo que hace este \u00abrastreo\u00bb menos fiable; y digo rastreo porque est\u00e1 t\u00e9cnica s\u00f3lo permite eso y no puede reemplazar a las cookies<\/em> en sus otros usos.<\/p>\n\n\n\n

Pese a esto, puede que algunos todav\u00eda piensen que se puede usar la direcci\u00f3n IP. Pues bien, les dir\u00e9 que es imposible en algunos sistemas que se utilizan precisamente para mantener el anonimato en Internet, tales como Tor (una implementaci\u00f3n libre de un sistema de encaminamiento llamado onion routing<\/em>, que permite a sus usuarios comunicarse en Internet de manera an\u00f3nima). Con sistemas como este, el navegador utiliza varias direcciones IP a lo largo de una sesi\u00f3n.<\/p>\n\n\n\n

Otra t\u00e9cnica m\u00e1s precisa es la URL query string<\/em>, que consiste en incrustar informaci\u00f3n en la URL. El mecanismo de sesi\u00f3n de PHP utiliza este m\u00e9todo si las cookies<\/em> no est\u00e1n habilitadas. Consiste en que el servidor web a\u00f1ade query strings<\/em> a los enlaces de la p\u00e1gina web que contiene, a la hora de servirla al navegador. Cuando el usuario sigue un enlace, el navegador devuelve al servidor la query string<\/em> a\u00f1adida a los enlaces. Us\u00e1ndolas de esta forma, si nos damos cuenta son muy parecidas a las cookies, siendo ambas porciones de informaci\u00f3n definidos por el servidor y devueltas por el navegador posteriormente. Pero ahora veamos las diferencias y desventajas de las query strings<\/em>. Si un usuario accede a una p\u00e1gina dos veces, no hay seguridad que utilice la misma query string<\/em>; tal es el ejemplo siguiente: se accede a una p\u00e1gina a trav\u00e9s de otra que se encuentre en el mismo servidor y a trav\u00e9s de un buscador –> las query string<\/em> ser\u00e1n normalmente diferentes, mientras las cookies<\/em> serian iguales. Recordando lo hablado referente a la fijaci\u00f3n de sesi\u00f3n (en el art\u00edculo cookies<\/em> de la semana pasada), se puede decir que una query string<\/em> simplifica dichos ataques, por lo que en esta parte de seguridad las cookies son m\u00e1s seguras (disculpen la redundancia pero la creo necesaria).<\/p>\n\n\n\n

Veamos ahora la Autenticaci\u00f3n HTTP. Para esta autenticaci\u00f3n, el protocolo HTTP incluye mecanismos tales como el Digest Access Authentication<\/em>, que permite acceder a una p\u00e1gina web s\u00f3lo cuando el usuario ha facilitado un nombre de usuario y contrase\u00f1a correctos. Despu\u00e9s de este acceso el navegador guarda esta informaci\u00f3n y la utiliza para acceder a las p\u00e1ginas siguientes sin intervenci\u00f3n de usuario, para nosotros es lo mismo que las cookies<\/em>, pero en cada acceso a una p\u00e1gina el navegador se encarga de enviar nuevamente estos datos, por lo que si alguien estuviese escuchando este tr\u00e1fico podr\u00eda leer esta informaci\u00f3n y almacenarla para su uso posterior, adem\u00e1s de que normalmente tras un tiempo de inactividad estas sesiones expiran.<\/p>\n\n\n\n

Ahora pasemos a una alternativa que pocos conocen, y tal es el caso de Objetos Macromedia Flash almacenados localmente. Si un navegador incluye el plug-in<\/em> de Macromedia Flash Player, se puede utilizar la funci\u00f3n Local Shared Objects<\/em> del mismo, de una forma muy similar a las cookies<\/em>. El tama\u00f1o m\u00e1ximo por defecto de los objetos es de 100 Kb y casi todos los usuarios de Windows tienen Flash Player instalado, de forma que los Local Shared Objects<\/em> pueden estar habilitados cuando las cookies<\/em> no lo est\u00e1n. Aqu\u00ed una alternativa que a mi parecer es de las mejores, aunque existen usuarios novatos en la actualidad que no tienen este plug-in<\/em> en el navegador.<\/p>\n\n\n\n

Otra alternativa -y la \u00faltima que conozco- es Persistencia en el cliente, que no es m\u00e1s que un mecanismo de persistencia que algunos navegadores web soportan, basado en script<\/em> que permite que la p\u00e1gina almacene informaci\u00f3n localmente para su uso posterior. Internet Explorer, por ejemplo, soporta informaci\u00f3n persistente en el historial del navegador, en los favoritos, en un almacenamiento XML, o directamente en una p\u00e1gina web guardada en disco.<\/p>\n\n\n\n

Para saber m\u00e1s…<\/h2>\n\n\n\n