Posts by Izac Cavalheiro
Tu script de analítica es el agujero en tu Content-Security-Policy
Una CSP estricta cierra el XSS. Un tag de analítica de terceros lo vuelve a abrir. Por qué las allowlists de hosts y la falta de SRI debilitan tu política.
Leer más →Privacidad por defecto en la capa HTTP: cabeceras que reducen tu superficie de rastreo
Dos cabeceras de respuesta — Permissions-Policy y Referrer-Policy — deciden cuánto pueden filtrar tus páginas a la ad-tech y a terceros. Configúralas una vez y la superficie de vigilancia se cierra por defecto.
Leer más →El INP Castiga la Analítica Pesada: Por Qué Tu Rastreador Está en el Hilo Principal
Interaction to Next Paint es el Core Web Vital que más sitios suspenden, y los datos de campo muestran que los scripts de seguimiento de comportamiento son una de las causas principales. La solución es enviar menos trabajo al hilo principal.
Leer más →El Digital Omnibus quiere eximir del consentimiento a la analítica first-party
El Digital Omnibus de la UE, de noviembre de 2025, propone eximir del consentimiento la medición de audiencia first-party y de uso interno. Es el modelo que la analítica sin cookies ya ejecuta.
Leer más →¿Cuándo Es un Hash un Dato Personal? La Sentencia SRB del TJUE y la Identidad en Analítica
La sentencia EDPS v SRB del TJUE convirtió la identificabilidad en una prueba relativa y contextual. Esto es lo que significa para la analítica basada en hash, y por qué un hash con salt que rota a diario sobrevive tanto a la lectura del tribunal como a la más estricta del EDPB.
Leer más →Consent Mode v2 y el Fin de Google Signals en Junio de 2026
El 15 de junio de 2026, ad_storage pasa a ser el único control sobre los datos publicitarios en el stack de Google. Esto es lo que cambia el fin de Google Signals para los desarrolladores — y por qué toda esa maquinaria es algo que la analítica sin cookies nunca tuvo que construir.
Leer más →La Limitación del Plazo de Conservación Es la Frontera de Fiscalización de 2026 para la Analítica
Los reguladores dejaron de preguntar si recopilaste datos de forma lícita y empezaron a preguntar cuándo los borraste. Tras la multa de 42 M€ de la CNIL a Free y el barrido de supresión de la EDPB, la retención de la analítica es el objetivo de la auditoría.
Leer más →Soft Navigations: Medir el Rendimiento de las SPA como lo Hace el Navegador
Las heurísticas de soft navigation de Chrome por fin permiten que los Core Web Vitals se asocien a los cambios de ruta en el cliente. Así funciona la API y así se mide sin vigilancia.
Leer más →Global Privacy Control ya es una señal de exclusión vinculante en diez estados
GPC dejó de ser una recomendación. Tras el acuerdo con Disney y una redada de tres estados, el encabezado Sec-GPC es legalmente vinculante en diez estados de EE. UU., y la analítica sin cookies no tiene nada que respetar.
Leer más →La Ley de Cookies Ya No Trata Sobre Cookies: Qué Cubre Ahora el Artículo 5(3)
Las Directrices 2/2023 del EDPB extendieron las reglas de consentimiento de ePrivacy a píxeles, seguimiento por URL e identificación solo por IP. Las decisiones recientes de la CNIL y el Garante confirman la lectura neutra en cuanto a tecnología. Esto es lo que cambia para los desarrolladores.
Leer más →Cómo Agregar Analíticas Respetuosas de la Privacidad a un Sitio Astro
Las View Transitions de Astro rompen los scripts de analíticas estándar en silencio. Aquí está el patrón correcto para rastrear cada cambio de ruta sin cookies ni banners de consentimiento.
Leer más →Cómo Agregar Analytics Centrado en la Privacidad a una App SvelteKit
SvelteKit 2 intercepta la navegación del lado del cliente de manera diferente al resto de los frameworks. Este es el patrón correcto para rastrear cambios de ruta sin cookies ni banners de consentimiento.
Leer más →Privacy Sandbox ha muerto: qué significa para tu stack de analítica
Google retiró Topics, Attribution Reporting y Protected Audience en octubre de 2025. Aquí explicamos qué significa técnicamente el cierre y por qué la analítica de primera parte siempre fue la decisión correcta.
Leer más →Los Banners de Consentimiento Inaccesibles Crean Ahora Dos Responsabilidades Legales, No Una
La Ley Europea de Accesibilidad hizo exigible el WCAG 2.2 en junio de 2025. Un banner que un lector de pantalla no puede navegar invalida el consentimiento GDPR. La analítica sin cookies evita ambos problemas.
Leer más →Google Revirtió su Prohibición del Fingerprinting: Lo Que los Desarrolladores Deben Saber
En febrero de 2025, Google eliminó su propia prohibición sobre el fingerprinting de dispositivos. Aquí está lo que cambió, por qué los reguladores están alarmados y qué significa para tu stack de analytics.
Leer más →Por qué los servicios con rastreo intensivo te cuestan más de lo que crees
La mayoría de las apps recopilan mucho más de lo que necesitan para funcionar. Esto es lo que hacen realmente con esos datos, quién se beneficia y por qué el riesgo no se queda solo en la empresa que los recopila.
Leer más →Qué significa realmente 'privacy-first' en tu stack de analytics
La frase está en todas partes, pero la mayoría de las herramientas que la usan todavía almacenan identificadores, fingerprints o emails hasheados. Así es como se ve un modelo de datos con privacidad técnicamente sólida.
Leer más →Cómo un tracker de analytics de 2 KB mantiene tus Core Web Vitals en verde
Los scripts de analytics tradicionales son suficientemente pesados como para mover tu puntuación de Lighthouse. Esto es lo que hace diferente un tracker ligero — y por qué importa para los usuarios reales.
Leer más →Google Analytics es excesivo para la mayoría de los sitios: el argumento del desarrollador
Google Analytics recopila mucho más de lo que la mayoría de los sitios necesita. Aquí está la razón por la que una alternativa ligera y centrada en la privacidad cambia la experiencia del desarrollador — y la del visitante.
Leer más →Cómo agregar analytics con privacidad a una app Next.js
Una guía paso a paso para integrar Monoid en Next.js sin cookies, banners de consentimiento ni complicaciones de cumplimiento.
Leer más →Por qué los analytics sin cookies no necesitan un banner de consentimiento
La mayoría de las herramientas de análisis requieren un popup de consentimiento de cookies porque almacenan datos personales. Esta es la razón técnica por la que los analytics centrados en privacidad prescindes de todo eso.
Leer más →