Volver al blog
5 min de lecturaprivacytrackinggdprcompliance

Google Revirtió su Prohibición del Fingerprinting: Lo Que los Desarrolladores Deben Saber

En febrero de 2025, Google eliminó su propia prohibición sobre el fingerprinting de dispositivos. Aquí está lo que cambió, por qué los reguladores están alarmados y qué significa para tu stack de analytics.

En febrero de 2025, Google actualizó silenciosamente sus políticas de publicidad para permitir el fingerprinting de dispositivos — la misma técnica que había condenado públicamente como "incorrecta" en 2019. El cambio entró en vigor el 16 de febrero de 2025 y tiene consecuencias significativas para cualquier persona que desarrolle analytics, gestione una propiedad web o dependa de la infraestructura publicitaria de Google.

Qué es realmente el fingerprinting

El fingerprinting de dispositivos consiste en combinar múltiples señales pasivas de un navegador o dispositivo para construir un identificador persistente. No se establece ninguna cookie. No se escribe ninguna entrada en localStorage. El usuario nunca recibe ningún aviso. Las señales utilizadas incluyen:

  • Dirección IP y metadatos de red
  • Sistema operativo y versión del navegador
  • Resolución de pantalla y profundidad de color
  • Fuentes instaladas y códecs disponibles
  • Idioma, zona horaria y estado de la batería

Individualmente, ninguna de estas señales es un identificador único. Combinadas, producen una huella lo suficientemente precisa como para re-identificar el mismo dispositivo entre sesiones, incluso después de borrar las cookies e incluso en el modo de navegación privada. A diferencia de las cookies, no existe ningún mecanismo para que el usuario elimine una huella digital.

Lo que decía la política de Google — y qué cambió

La posición de Google en 2019 era explícita: el fingerprinting "socava la elección del usuario y es incorrecto" porque opera fuera de los controles de privacidad estándar del navegador. La política prohibía a los anunciantes usar el fingerprinting en los productos publicitarios de Google.

La actualización de febrero de 2025 eliminó esa prohibición. El enfoque de Google fue procedimental — la actualización se describió como una revisión de política de rutina — pero la sustancia fue una reversión. Los anunciantes ahora pueden usar identificadores a nivel de dispositivo, incluida la dirección IP, el tamaño de pantalla, la zona horaria, el estado de la batería y las cadenas de user agent para targeting y medición, sin ningún requisito de obtener el consentimiento del usuario o revelar la práctica.

La reacción regulatoria

La Oficina del Comisionado de Información (ICO) del Reino Unido respondió de inmediato. Stephen Almond, director ejecutivo de riesgo regulatorio de la ICO, calificó el movimiento de "irresponsable" y dejó clara la posición regulatoria: el fingerprinting está sujeto a los mismos requisitos de consentimiento que las cookies bajo la PECR (Regulaciones de Privacidad y Comunicaciones Electrónicas).

El razonamiento de la ICO es técnicamente preciso. La PECR define un disparador de consentimiento como "almacenar información, o acceder a información almacenada, en un dispositivo". El fingerprinting accede a información del dispositivo — lee valores del entorno del navegador — lo que significa que el requisito de consentimiento aplica independientemente de si se escribe un archivo de cookie. El mecanismo de acceso es lo que importa, no el formato de persistencia.

Bajo el GDPR, los mismos interesados que pueden solicitar la eliminación de un perfil basado en cookies no tienen un mecanismo comparable para un perfil derivado de fingerprinting. No puedes eliminar una huella digital de un servidor que no controlas. Esto crea una asimetría que los reguladores en la UE y el Reino Unido están examinando activamente.

Por qué esto importa para tu stack de analytics

Si tu sitio carga las etiquetas publicitarias de Google — incluido el gtag.js de GA4 cuando está conectado a Google Ads — tus visitantes ahora están sujetos al fingerprinting bajo una política que no requiere su consentimiento. La propia etiqueta de GA4 pesa aproximadamente 45 KB y realiza múltiples solicitudes salientes; con el cambio de fingerprinting, esas solicitudes ahora pueden llevar identificadores persistentes derivados del dispositivo a la infraestructura de Google.

Para los desarrolladores que operan bajo el GDPR, la consecuencia práctica es que implementar las etiquetas de Google sin un mecanismo de consentimiento es cada vez más difícil de justificar. La ICO ha declarado que el fingerprinting "presenta un listón muy alto de cumplir" bajo los marcos existentes — una señal de que las acciones de cumplimiento contra los publishers que habilitan el tracking basado en fingerprinting son un riesgo realista en el corto plazo.

Hay una segunda consecuencia, más sutil: calidad de datos. El fingerprinting inyecta identificadores no consentidos en los pipelines de analytics. Si estás usando el stack de medición de Google, una fracción de tus datos de atribución ahora se deriva de señales pasivas del dispositivo en lugar de eventos consentidos. Las dos poblaciones — consentida y mediante fingerprinting — no son equivalentes, y mezclarlas sin etiquetarlas degrada la fiabilidad de tus métricas.

El contraste con la recopilación de datos sin fingerprinting

Un enfoque de analytics que no realiza fingerprinting en absoluto evita estos problemas de forma estructural. El tracker de Monoid envía un único POST a /collect sin señales a nivel de dispositivo más allá de una familia de navegador aproximada y el tipo de dispositivo derivados del lado del servidor a partir del User-Agent ordinario de la solicitud. No se almacena ninguna IP. Sin enumeración de fuentes. Sin resolución de pantalla. Sin identificador entre sesiones.

El hash diario de visitantes — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — utiliza la IP y el user agent solo en memoria, los descarta inmediatamente y produce un valor que se reinicia cada 24 horas. Esto es lo opuesto a una huella digital: no puede persistir entre sesiones, no puede correlacionarse entre días y no puede usarse para re-identificar un dispositivo específico.

Según el análisis de la ICO, este enfoque no activa los requisitos de consentimiento de la PECR, porque no accede a información almacenada en el dispositivo y no produce un identificador persistente. El argumento legal y técnico para este enfoque solo se ha fortalecido desde febrero de 2025.

Qué auditar ahora

Si estás ejecutando etiquetas de analytics o publicidad en tu sitio, vale la pena responder tres preguntas de inmediato:

1. ¿Esta etiqueta accede a señales a nivel de dispositivo (fuentes, batería, resolución de pantalla)?
2. ¿Envía esas señales a un servidor de terceros?
3. ¿Tienes una base legal — consentimiento o interés legítimo — documentada para esa transferencia?

El cambio de política de Google no modifica tus obligaciones legales; cambia lo que Google permite hacer a sus anunciantes. El GDPR y la PECR aún requieren una base legal para el procesamiento, transparencia en tu aviso de privacidad y — donde la base es el consentimiento — un mecanismo para que los usuarios lo retengan y lo retiren.

El camino más simple a través de esto es no recopilar datos derivados de fingerprinting en primer lugar. Una herramienta que nunca toca señales a nivel de dispositivo no tiene exposición a la incertidumbre regulatoria que rodea al fingerprinting, independientemente de cómo evolucionen las políticas de Google.