¿Qué es una cookie en términos sencillos?

Una cookie es un pequeño archivo de texto —normalmente unos pocos cientos de bytes— que un sitio web guarda en tu navegador. El navegador devuelve la cookie a ese mismo sitio web en cada petición posterior, lo que permite al sitio recordar cosas como tu estado de inicio de sesión, tu preferencia de idioma o tu carrito de la compra entre cargas de página y visitas.

¿Las cookies son peligrosas o virus?

No. Una cookie es un registro de texto pasivo, no un ejecutable. No puede instalar software, leer archivos fuera del almacén de cookies del navegador ni ejecutar código por sí misma. El riesgo de privacidad de las cookies tiene que ver con el seguimiento y el robo de sesión, no con el malware. Las cookies de terceros permiten el seguimiento entre sitios; las cookies de sesión robadas pueden permitir a un atacante suplantarte en un sitio donde hayas iniciado sesión.

¿Cuál es la diferencia entre cookies de origen y cookies de terceros?

Una cookie de origen la establece el sitio web cuya dirección está en tu barra de URL (el sitio que visitas). Una cookie de terceros la establece un dominio distinto cuyo script o imagen está incrustado en esa página —normalmente una red publicitaria, un servicio de analítica o un widget social. Los navegadores están restringiendo progresivamente las cookies de terceros porque son el principal mecanismo de seguimiento entre sitios.

¿Qué es una cookie de sesión frente a una cookie persistente?

Una cookie de sesión no tiene atributo Expires ni Max-Age y se elimina cuando termina la sesión del navegador —normalmente al cerrar el navegador. Una cookie persistente tiene una fecha Expires explícita en el futuro y sobrevive entre sesiones del navegador hasta esa fecha, hasta que la eliminas manualmente o hasta que una herramienta de limpieza automática la quita.

¿Qué hace el atributo SameSite?

SameSite controla si el navegador envía una cookie en peticiones entre sitios. SameSite=Strict significa que la cookie solo se envía en peticiones del mismo sitio. SameSite=Lax (el valor por defecto moderno en Chrome desde 2020) envía la cookie en peticiones del mismo sitio más en navegaciones GET de nivel superior entre sitios. SameSite=None envía la cookie en cualquier petición entre sitios y requiere Secure. SameSite es la defensa principal del navegador contra el CSRF y el seguimiento de cookies entre sitios.

¿Qué es HttpOnly y por qué importa?

HttpOnly es una bandera de cookie que oculta la cookie al JavaScript que se ejecuta en la página. document.cookie no puede leer ni modificar una cookie HttpOnly. La bandera es la defensa principal del navegador contra el robo de cookies de sesión mediante XSS —incluso si un atacante inyecta un script en tu página, no puede leer una cookie de sesión HttpOnly.

¿Se están eliminando las cookies de terceros?

Sí, gradualmente. Safari y Firefox ya bloquean las cookies de terceros por defecto. Chrome anunció varios calendarios de eliminación y, a partir de 2024, optó por un modelo basado en la elección del usuario con las APIs de Privacy Sandbox como reemplazo propuesto para la segmentación publicitaria y la medición. CHIPS (Cookies Having Independent Partitioned State) permite a un sitio incluir explícitamente las cookies de terceros en una partición por sitio de nivel superior para que sobrevivan sin habilitar el seguimiento entre sitios.

¿Cómo veo, edito o elimino cookies en mi navegador?

En Chrome, abre las DevTools (F12) → Application → Storage → Cookies para verlas y editarlas; abre Configuración → Privacidad y seguridad → Cookies para eliminarlas de forma masiva. Para flujos repetibles instala una extensión Manifest V3 como CookieVault Editor. Consulta nuestras guías paso a paso para tareas de eliminar, editar y exportar cookies.

¿Cuál es el tamaño o número máximo de cookies?

El RFC 6265 recomienda que los navegadores admitan al menos 4.096 bytes por cookie (nombre más valor combinados) y al menos 50 cookies por dominio. Chrome y Firefox aplican en la práctica unos 4 KB por cookie y alrededor de 180 cookies por dominio. Intenta mantener los datos de las cookies pequeños —las cookies grandes se envían en cada petición al dominio que coincida, lo que añade latencia.

¿Qué es una cookie? Las cookies del navegador explicadas (guía 2026)

TL;DR: Una cookie es un pequeño dato —normalmente unos pocos cientos de bytes— que un sitio web guarda en tu navegador para recordar información entre peticiones. Las cookies hacen funcionar los inicios de sesión, los carritos de la compra y la analítica; también habilitaron la era del seguimiento entre sitios que los navegadores están ahora desmantelando.

Una cookie es un registro de texto de nombre-valor que un sitio web establece en tu navegador mediante la cabecera de respuesta HTTP Set-Cookie, y que el navegador adjunta automáticamente a las peticiones posteriores al mismo dominio a través de la cabecera de petición Cookie. Las cookies son el mecanismo original para mantener estado en una web HTTP que por lo demás es sin estado —preceden a localStorage, IndexedDB, los service workers y a todas las alternativas modernas de almacenamiento en el cliente. Cada cookie que hayas encontrado alguna vez, desde “mantener la sesión iniciada” hasta el banner de consentimiento de la UE que pregunta por ellas, se rige por este único y pequeño protocolo¹.

Cómo funcionan las cookies

En resumen: Las cookies son una capa fina sobre HTTP. El servidor establece una con una cabecera de respuesta Set-Cookie: name=value; el navegador la guarda en un tarro de cookies por dominio; en cada petición posterior que coincida el navegador devuelve Cookie: name=value. No hay un handshake del lado del cliente —el navegador obedece las directivas del servidor dentro de las restricciones del RFC 6265.

El mecanismo de las cookies se atribuye ampliamente a Lou Montulli, un ingeniero de Netscape, que lo introdujo en 1994 para resolver el problema de “recordar el carrito de la compra entre páginas” para el cliente de comercio electrónico MCI Net². Tres décadas después, el protocolo subyacente es esencialmente el mismo. La especificación formal es el IETF RFC 6265¹, con una revisión activa en los borradores del IETF³ que estrecha los límites de seguridad y privacidad.

Un intercambio mínimo de cookies se ve así:

# Respuesta del servidor
HTTP/1.1 200 OK
Set-Cookie: sid=abc123; Path=/; HttpOnly; Secure; SameSite=Lax

# Petición posterior del cliente al mismo sitio
GET /account HTTP/1.1
Cookie: sid=abc123

El navegador no interpreta el valor abc123 —es opaco para el navegador. El servidor lo interpreta (normalmente como una clave de sesión de base de datos). El trabajo del navegador es decidir qué cookies adjuntar a cada petición según los atributos Domain, Path, Secure, SameSite y de expiración de la cookie.

Clave: Una cookie la establece el servidor, la guarda el navegador y la lee el servidor en cada petición posterior que coincida. El navegador es el mensajero, no el autor.

En resumen: Una cookie tiene una parte obligatoria (name=value) y siete atributos que el servidor puede establecer: Domain, Path, Expires, Max-Age, Secure, HttpOnly y SameSite. Cada atributo acota o restringe cuándo el navegador devuelve la cookie.

El conjunto completo de atributos definido por el RFC 6265¹ y su revisión bis³:

Name y Value —el único par obligatorio. Texto ASCII. Juntos deben caber en aproximadamente 4 KB⁴.
Domain —por defecto, el host que envió el Set-Cookie. Establecer Domain=example.com hace que la cookie se aplique a example.com y a todos los subdominios.
Path —por defecto, el directorio de la ruta de la petición. Establecer Path=/account limita el alcance de la cookie a las URLs bajo /account.
Expires / Max-Age —fecha o duración. Omitir ambos convierte la cookie en una cookie de sesión (eliminada cuando termina la sesión del navegador). Max-Age=0 elimina la cookie de inmediato.
Secure —cuando se establece, el navegador solo envía la cookie por HTTPS. Las peticiones por HTTP plano no la ven.
HttpOnly —cuando se establece, el JavaScript de la página no puede acceder a la cookie mediante document.cookie. La defensa principal contra el robo de cookies de sesión mediante XSS.
SameSite —Strict / Lax / None. Rige el comportamiento de las peticiones entre sitios (se explica abajo).
Priority (extensión específica de Chrome) —Low / Medium / High. Sugiere al navegador qué cookies expulsar primero cuando el tarro de cookies por dominio está lleno.

Tipos de cookies

En resumen: Las cookies se clasifican a lo largo de dos ejes ortogonales —vida útil (sesión frente a persistente) y origen (de origen frente a de terceros). Una sola cookie siempre tiene un valor en cada eje. Las regulaciones de privacidad y los ajustes del navegador añaden además un sistema de categorías basado en el uso (estrictamente necesarias / funcionales / analítica / publicidad) que ves en los banners de consentimiento.

Seis categorías comunes de las que hablan usuarios y reguladores, mapeadas sobre el protocolo subyacente:

Categoría	Vida útil	Origen	Uso típico	Política por defecto del navegador (2026)
Cookie de sesión	Sesión	De origen	Sesión de login, carrito actual	Permitida por defecto
De origen persistente	Persistente	De origen	”Recordarme”, preferencia de idioma	Permitida por defecto
Estrictamente necesaria	Cualquiera	De origen	Autenticación, prevención de fraude	No requiere consentimiento (RGPD)
Funcional / preferencia	Persistente	De origen	Tema de UI, tamaño de fuente	Consentimiento recomendado (RGPD)
Analítica de origen	Persistente	De origen	Analítica de origen	Consentimiento requerido en la UE
Publicidad de terceros	Persistente	De terceros	Segmentación de anuncios, retargeting, IDs entre sitios	Bloqueada en Safari / Firefox; restringida en Chrome⁵

La Information Commissioner’s Office (Reino Unido) resume la distinción de forma concisa⁶:

Las cookies estrictamente necesarias son aquellas esenciales para proporcionar un servicio en línea solicitado por el usuario. La mayoría de las demás cookies requieren consentimiento informado antes de establecerse.

Para qué se usan las cookies

En resumen: A nivel de protocolo, una cookie es un almacenamiento genérico de nombre-valor. En la práctica, la web usa las cookies para seis trabajos distintos, en orden aproximadamente decreciente de su importancia para la experiencia de usuario.

Los seis casos de uso dominantes de las cookies en la web moderna:

Autenticación y gestión de sesión —una cookie de ID de sesión que indica al servidor a qué usuario con sesión iniciada pertenece una petición. Casi siempre HttpOnly, Secure, SameSite=Lax o Strict.
Tokens de protección CSRF —un valor aleatorio anti-falsificación que el servidor comprueba en las peticiones que cambian estado. Normalmente emparejado con un campo de formulario oculto.
Carrito de la compra y trabajo sin terminar —preservar el contenido del carrito y los borradores de formularios entre cargas de página. A menudo un único ID que apunta a estado del lado del servidor.
Preferencias de usuario —idioma, tema, densidad del diseño, ajustes de accesibilidad. Pequeñas cookies persistentes con Max-Age de meses a años.
Analítica de origen —identificación de visitantes y temporización de sesión para productos como Plausible, Fathom o PostHog autoalojado (cuando se configura basado en cookies).
Publicidad y seguimiento entre sitios —cookies de terceros establecidas por redes publicitarias, retargeters y plataformas de analítica que necesitan identificar al mismo usuario en múltiples sitios. Esta es la categoría que los navegadores están desmantelando activamente.

Para los desarrolladores, la implicación práctica es que la mayoría de las cookies que establezcas deberían ser de origen, limitadas al sitio actual, marcadas como HttpOnly y Secure, y con SameSite=Lax, salvo que tengas un flujo entre sitios específico que necesite None.

SameSite, HttpOnly, Secure — los tres atributos de seguridad

En resumen: Tres atributos de cookie —SameSite, HttpOnly y Secure— defienden contra tres clases de ataque diferentes. Establecer los tres correctamente es la mejora de seguridad de cookies con mayor impacto que puede hacer un servidor.

Estos tres atributos forman la base moderna de seguridad de cookies. Cada uno defiende contra una clase de ataque específica:

Secure defiende contra el rastreo pasivo de red. El navegador se niega a enviar la cookie por HTTP plano. Necesario en cualquier cookie que guarde estado de sesión, ya que el robo de sesión en una red Wi-Fi abierta es trivial en caso contrario.
HttpOnly defiende contra el robo de sesión impulsado por XSS. El JavaScript inyectado en la página a través de una vulnerabilidad de cross-site scripting no puede leer una cookie HttpOnly mediante document.cookie. El servidor todavía la ve; el script del atacante no.
SameSite defiende contra el CSRF y el seguimiento entre sitios. Tres valores:
- SameSite=Strict —la cookie solo se envía en peticiones del mismo sitio. Máxima protección; a veces incómoda (un usuario que hace clic desde otro sitio hacia tu dominio aparecerá como desconectado en la primera petición).
- SameSite=Lax —la cookie se envía en peticiones del mismo sitio más en navegaciones GET de nivel superior entre sitios (clics en enlaces). El valor por defecto moderno de Chrome desde 2020⁷.
- SameSite=None —la cookie se envía en cada petición entre sitios. Necesario para cookies de terceros legítimas (inicio de sesión único, widgets de pago incrustados). Debe emparejarse con Secure.

La guía de web.dev de Google es explícita sobre el orden de prioridad⁷: “Si hoy haces una sola cosa, establece SameSite=Lax en cada cookie de sesión.”

Cookies de origen frente a cookies de terceros y la historia de su eliminación

En resumen: Una cookie de origen la establece el sitio de la barra de URL; una cookie de terceros la establece otro dominio cuyo código se ejecuta en ese sitio. Las cookies de terceros construyeron la economía moderna del seguimiento publicitario, y los navegadores modernos las están restringiendo o eliminando de forma sistemática.

El desmantelamiento de las cookies de terceros es el cambio más trascendental del ecosistema de cookies desde que se creó el protocolo. Estado por navegador a mediados de 2026:

Safari —las cookies de terceros están bloqueadas por defecto desde que Intelligent Tracking Prevention (ITP) llegó en Safari 11 (2017), con sucesivos endurecimientos.
Firefox —las cookies de terceros se particionan por defecto bajo Total Cookie Protection (TCP) desde 2022, lo que elimina en la práctica el seguimiento entre sitios.
Chrome —tras múltiples aplazamientos de la eliminación total de las cookies de terceros⁵, optó por un enfoque basado en la elección del usuario con las APIs de Privacy Sandbox como reemplazo propuesto para la segmentación publicitaria, la atribución y la prevención de fraude.

Para los casos de uso legítimos entre sitios (login federado, iframes de checkout incrustados), la alternativa moderna es CHIPS — Cookies Having Independent Partitioned State⁸. Una cookie con el atributo Partitioned se guarda en un tarro separado por cada sitio de nivel superior, así que el mismo iframe cargado bajo dos sitios padre distintos no puede leer la misma cookie. CHIPS preserva el caso de uso legítimo de “recordar ajustes dentro de este widget” a la vez que rompe el flujo de identificadores entre sitios.

Si mantienes un servicio que hoy depende de cookies de terceros, el trabajo inmediato es auditar tus cookies para ver cuáles necesitan visibilidad entre sitios (usa CHIPS) frente a cuáles eran de seguimiento por diseño (reconstrúyelas sobre Privacy Sandbox o datos de origen).

Cómo ver, editar y eliminar cookies

En resumen: Todos los navegadores modernos te permiten ver las cookies a través de Ajustes o de las DevTools. Para flujos repetibles —depurar fallos de sesión, exportar cookies como fixtures de prueba, auditar lo que un sitio guardó— una extensión Manifest V3 como CookieVault Editor es la herramienta estándar. El flujo de inspección de ocho pasos de abajo funciona en todos los navegadores Chromium.

Referencia rápida de ocho pasos para ver y editar cookies en Chrome (Edge, Brave, Opera, Vivaldi, Arc funcionan igual; Firefox es similar con una distribución de menús diferente):

Abre el sitio objetivo en una pestaña.
Pulsa F12 para abrir las DevTools.
Haz clic en la pestaña Application.
En la barra lateral izquierda, bajo Storage, haz clic en Cookies.
Haz clic en el dominio para ver todas las cookies en alcance.
Haz doble clic en una celda (Value, Expires, SameSite, etc.) para editarla in situ.
Pulsa Enter para confirmar la edición; el navegador la aplica de inmediato.
Recarga la página para enviar la cookie modificada en la siguiente petición.

Para eliminar cookies de forma masiva, la guía de eliminación de cookies en Chrome cubre tres métodos. Para mantener los inicios de sesión mientras limpias los rastreadores, consulta borrar cookies pero mantener la sesión iniciada. Para ediciones repetibles en un clic en muchos sitios, CookieVault Editor es la herramienta Manifest V3 de código abierto que mantenemos.

Conceptos erróneos comunes sobre las cookies

Una breve aclaración de afirmaciones que quizá hayas visto en internet y que no son ciertas:

“Las cookies son virus” —falso. Una cookie es un registro de texto pasivo. No puede instalar software, ejecutar código ni acceder a archivos fuera del almacén de cookies del navegador.
“Las cookies guardan tu contraseña” —casi siempre falso. Una cookie de inicio de sesión guarda un ID de sesión, no una contraseña. La contraseña se envía una vez al servidor, se hashea, y el servidor devuelve una cookie de ID de sesión. La contraseña en sí no está en la cookie.
“Desactivar las cookies te vuelve anónimo” —falso. Los navegadores son identificables por huella a través de muchos otros canales (User-Agent, resolución de pantalla, fuentes, hashes de WebGL, dirección IP) que no dependen de las cookies.
“Todas las cookies te rastrean entre sitios” —falso. Las cookies de origen establecidas por el sitio que visitas no te ven en otros sitios. El seguimiento entre sitios es específicamente una preocupación de las cookies de terceros.
“Las cookies son ilegales bajo el RGPD” —falso. Las cookies son legales. Lo que el RGPD (y la Directiva ePrivacy) regulan es el requisito de consentimiento para las cookies no esenciales. Las cookies estrictamente necesarias no requieren consentimiento.
“Borrar las cookies arregla cualquier problema del navegador” —parcialmente cierto. Borrar las cookies restablecerá el estado de sesión y de preferencias. No arreglará los recursos cacheados, los fallos de service worker ni los conflictos de extensiones.

Ver también

Cómo eliminar cookies en Chrome
Borrar cookies pero mantener la sesión iniciada
Cómo editar cookies en Chrome
Cómo exportar cookies a JSON
CookieVault Editor —el gestor de cookies Manifest V3 de código abierto
CookieVault Guardian —borra cookies al cerrar pestaña

La especificación actual del IETF es el RFC 6265 —“HTTP State Management Mechanism”, disponible en https://datatracker.ietf.org/doc/html/rfc6265. Este documento define las cabeceras Set-Cookie y Cookie, la semántica de los atributos de las cookies, el modelo de almacenamiento y las reglas de coincidencia de cookies. ↩ ↩² ↩³
La referencia de cookies HTTP de Mozilla Developer Network en https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies resume el conjunto moderno de atributos de cookie y las reglas de procesamiento del lado del navegador. La historia del origen en 1994 está ampliamente citada en fuentes de historia de la web y se remonta al trabajo de Lou Montulli en Netscape sobre una función de “cesta de la compra”. ↩
La revisión activa de la especificación de cookies es “RFC 6265bis” —formalmente draft-ietf-httpbis-rfc6265bis— publicada en el grupo de trabajo HTTP del IETF en https://datatracker.ietf.org/doc/draft-ietf-httpbis-rfc6265bis/. Estrecha las reglas de prefijo (__Host-, __Secure-), formaliza SameSite y refina la semántica de particionamiento. ↩ ↩²
Las cifras de 4 KB por cookie y 50 cookies por dominio son recomendaciones del RFC 6265 §6.1. Los límites reales de los navegadores son aproximadamente el doble del mínimo recomendado, pero varían según el navegador; la referencia de la API chrome.cookies del equipo de Chrome en https://developer.chrome.com/docs/extensions/reference/api/cookies documenta los límites prácticos de Chrome. ↩
La posición de Chrome sobre las cookies de terceros ha cambiado varias veces. El enfoque actual está documentado bajo Privacy Sandbox en https://developer.chrome.com/docs/privacy-sandbox/. Las páginas de estado y la documentación de las APIs individuales bajo esa raíz registran los cambios en curso. ↩ ↩²
La Information Commissioner’s Office (ICO) del Reino Unido publica guía práctica sobre cookies y consentimiento bajo las Privacy and Electronic Communications Regulations (PECR). La ICO ha reestructurado esta página de guía varias veces y la URL es inestable; busca “ICO PECR cookies guidance” o parte de https://ico.org.uk y navega a “For organisations → Online tracking”. La definición de “estrictamente necesaria” parafraseada en el comentario de la tabla de arriba sigue la formulación de la ICO. ↩
El manual de web.dev de Google “SameSite cookies explained” en https://web.dev/articles/samesite-cookies-explained es la referencia canónica orientada al profesional sobre los valores por defecto de SameSite y el historial de su despliegue en Chrome. ↩ ↩²
La especificación de CHIPS —“Cookies Having Independent Partitioned State”— está documentada en https://developer.chrome.com/docs/privacy-sandbox/chips. CHIPS permite a una cookie entre sitios optar por el particionamiento por sitio de nivel superior para que sobreviva al bloqueo de cookies de terceros sin habilitar el seguimiento entre sitios. ↩

¿Qué es una cookie? Las cookies del navegador explicadas