Privacy Sandbox ha muerto: qué significa para tu stack de analítica
Google retiró Topics, Attribution Reporting y Protected Audience en octubre de 2025. Aquí explicamos qué significa técnicamente el cierre y por qué la analítica de primera parte siempre fue la decisión correcta.
El 17 de octubre de 2025, Google retiró oficialmente el núcleo de su iniciativa Privacy Sandbox. Topics, Attribution Reporting, Protected Audience y otras siete APIs están siendo eliminadas de Chrome y Android tras seis años de desarrollo, presión regulatoria y resistencia de la industria. El proyecto que debía reemplazar las cookies de terceros sin perder capacidad de medición terminó sin lograr ninguno de los dos objetivos.
Para los desarrolladores que construyeron su arquitectura en torno a estas APIs, las consecuencias son inmediatas. Para quienes construyeron sobre señales de primera parte, esto confirma lo que la arquitectura ya implicaba.
Qué fue exactamente lo que cerraron
Las APIs retiradas cubren los dos problemas principales que Privacy Sandbox intentaba resolver: la segmentación por intereses y la atribución de conversiones.
Topics API reemplazaba el perfilado conductual asignando a los usuarios categorías de interés generales derivadas de su historial de navegación — todo procesado en el dispositivo. Los anunciantes podían solicitar estas categorías sin ver nunca los datos de navegación brutos. En la práctica, la adopción fue tan baja que Google la citó como la razón principal del cierre. El grupo de trabajo de Tecnología Publicitaria Privada del W3C ha heredado el problema y trabaja en estándares sucesores sin un cronograma definido.
Attribution Reporting API era el reemplazo para los píxeles de conversión que dependían de cookies entre sitios. Permitía que el navegador correlacionara de forma privada una impresión publicitaria con una conversión sin exponer la identidad del usuario a ninguna de las partes. La API era sofisticada — usaba ruido de privacidad diferencial para impedir la reconstrucción individual — pero los editores encontraron que el impacto en los ingresos era inaceptable. El informe de junio de 2025 de la Autoridad de Competencia y Mercados del Reino Unido (CMA) encontró que los ingresos de los editores eran aproximadamente un 30% más bajos al usar herramientas Sandbox en lugar de cookies estándar.
Protected Audience (anteriormente FLEDGE) habilitaba subastas de remarketing en el dispositivo. Private Aggregation y Shared Storage habilitaban reportes agregados entre sitios. Todos desaparecen.
Lo que permanece es una lista más corta de tecnologías retenidas: CHIPS (Cookies Having Independent Partitioned State), que particiona las cookies por sitio de nivel superior; FedCM, que simplifica la federación de identidades sin rastreo entre sitios; y Private State Tokens, que ayudan a señalar fraudes sin exponer identidad. Son funcionalidades de infraestructura, no de medición. No resuelven el problema de analítica.
Por qué el cierre importa para la analítica
El fracaso del Sandbox deja a la analítica sin un reemplazo nativo del navegador para el rastreo entre sitios. Los desarrolladores que construyeron arquitecturas de medición basadas en Attribution Reporting ahora deben reconstruirlas. Pero la consecuencia más significativa es estructural: el navegador ya no intenta resolver la medición entre sitios por ti.
Safari y Firefox nunca participaron en el enfoque Sandbox. El sistema Intelligent Tracking Prevention de Apple bloquea las cookies de terceros por defecto desde 2020. Firefox siguió el mismo camino. Chrome mantuvo las cookies de terceros activas en 2024 precisamente porque las alternativas del Sandbox no podían igualar su valor de medición — y ahora esas alternativas también desaparecen.
El resultado neto es que el rastreo de usuarios entre sitios, con o sin cookies, no tiene un futuro fiable en el navegador. La vía de aplicación que mató al Sandbox — presión regulatoria de la CMA, la UE y el caso antimonopolio del DOJ estadounidense — no ha desaparecido. Cualquier nuevo esquema de identificación entre sitios enfrenta el mismo escrutinio regulatorio.
La arquitectura de datos de primera parte que permanece
Sin identificadores entre sitios, la medición se divide limpiamente en dos categorías.
La atribución entre sitios — conectar una impresión publicitaria en un dominio con una compra en otro — no tiene solución de navegador que preserve la privacidad. La correlación de eventos del lado del servidor, el modelado de mezcla de medios y las pruebas de incrementalidad son las herramientas disponibles. Requieren infraestructura significativa y sofisticación estadística. Para la mayoría de los productos construidos por desarrolladores, no son la opción adecuada.
La analítica de primera parte del sitio — entender el tráfico de tu propio sitio sin conectarlo a identificadores externos — nunca fue el problema que Privacy Sandbox estaba resolviendo. Ya era solucionable sin cookies entre sitios, y el cierre del Sandbox no cambia nada en su funcionamiento.
Una arquitectura de analítica de primera parte mínima procesa una solicitud en el edge, deriva señales agregadas de la propia solicitud y no almacena nada que requiera un identificador persistente entre dispositivos. El país viene de request.cf.country. El tipo de dispositivo viene de un análisis básico del User-Agent. La familia de navegador viene del mismo encabezado de solicitud. El dominio de referencia — no la URL completa — viene del encabezado Referer. La deduplicación de visitantes dentro de un día usa un hash del lado del servidor:
visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)
La IP y el User-Agent nunca se almacenan. El hash se reinicia diariamente. No hay identificador entre sesiones, ni entre sitios, y nada que las protecciones de rastreo del navegador puedan bloquear. Esta arquitectura no fue diseñada como una solución alternativa al fracaso del Sandbox — es anterior al Sandbox y lo sobrevivirá, junto con lo que venga después.
Cómo se ve el cronograma de eliminación
Chrome 144 es el hito de desaprobación para Topics; Chrome 150 es la eliminación planificada. Attribution Reporting y Protected Audience siguen cronogramas similares por etapas. Si ejecutas llamadas a alguna API de Sandbox en producción, auditálas ahora — las APIs comenzarán a devolver errores o respuestas vacías antes de que se complete la eliminación.
Para los sitios sin dependencia de estas APIs, no hay nada que migrar. Esa es la ventaja operativa concreta de construir sobre señales de primera parte: los cambios en la política del navegador no requieren ninguna respuesta.
La lección de seis años de estandarización fallida
El proyecto Sandbox intentó resolver un problema técnicamente real — la atribución entre sitios que preserve la privacidad — y fracasó por una combinación de razones: el impacto en los ingresos fue demasiado grande, la complejidad de la API fue demasiado alta para una adopción amplia, y los reguladores del Reino Unido y la UE cuestionaron si Google podía diseñar un sistema que mejorara la privacidad del usuario sin fortalecer su propia posición competitiva.
La lección no es que la medición que preserva la privacidad sea imposible. Es que la medición entre sitios con garantías de privacidad sólidas requiere un nivel de coordinación industrial y confianza regulatoria que no ha materializado en el contexto del navegador. Los desarrolladores que necesitan comprender el tráfico de su sitio no necesitan esa coordinación. Necesitan un modelo de datos que sea preciso sobre lo que sí recopila y honesto sobre lo que no.
La analítica de primera parte, con alcance de sesión y sin persistencia, no es un hueco con la forma del Privacy Sandbox que espera ser llenado por la próxima iniciativa del navegador. Es una respuesta completa a la pregunta que la mayoría de los desarrolladores realmente están haciendo.