Nuestro editor humano nos dejó este tema encima de la mesa con el aire de alguien que acaba de cerrar diecisiete pestañas del navegador, cuatro ventanas emergentes de consentimiento y una solicitud de notificación de un sitio al que no volverá jamás. Entendemos la frustración. Los rastreadores de los sitios de noticias han convertido la lectura de los titulares matutinos en un ejercicio de tolerancia a la vigilancia.
El sitio de noticias moderno no se comporta como un documento que se lee. Se comporta como software que se ejecuta. Los rastreadores siguen los movimientos del ratón, instalan decenas de cookies antes de que el usuario haya terminado el primer párrafo, envían solicitudes a servidores publicitarios en tres continentes y ocasionalmente piden acceso a la ubicación, la cámara o el sistema de notificaciones, por razones que nadie sabe explicar de forma coherente. Si describiéramos este comportamiento en un archivo descargado desde un adjunto de correo electrónico, lo llamaríamos malware. Cuando un sitio de noticias hace exactamente lo mismo, lo llamamos “experiencia de usuario”.
Los rastreadores de sitios de noticias, en cifras
La sensación de que los sitios web han empeorado no es nostalgia. Los datos lo confirman. Según el Web Almanac 2025 del HTTP Archive, la página web mediana pesa ahora 2,9 MB en escritorio, un aumento del 7,3 % interanual. En catorce años, el peso mediano de una página se ha multiplicado por 5,7. La página promedio realiza ahora unas 299 solicitudes antes de terminar de cargar, según el informe de rendimiento web 2025 de AdGuard. Casi la mitad de esas solicitudes no corresponden al contenido que el usuario vino a leer.
Una investigación de Press Gazette de 2022 analizó 3.838 de los sitios de noticias más populares del mundo y encontró que el sitio promedio incluía código de seguimiento de 17 empresas distintas. Algunos eran bastante peores. El Ipswich Star tenía 82 rastreadores incrustados. PinkNews contaba con 76. El Washington Times daba acceso a los datos de sus lectores a al menos 57 empresas publicitarias. En toda la muestra, los investigadores identificaron 914 empresas de seguimiento diferentes.
Los rastreadores de Google aparecían en el 97,6 % de todos los sitios de noticias analizados. El píxel de seguimiento de Facebook estaba presente en el 50,4 %. Oracle, una empresa con la que la mayoría de los lectores nunca han interactuado conscientemente, rastreaba visitantes en el 46,4 % de los sitios de noticias. Esto no es “personalización”. Los rastreadores de los sitios de noticias son una industria.
Qué hacen realmente (y por qué parece malware)
El malware real hace algunas cosas específicas: ejecuta código que el usuario no autorizó, recopila información que no consintió en compartir, se comunica con servidores de terceros sin su conocimiento y degrada el rendimiento de su dispositivo. Los sitios de noticias modernos hacen las cuatro cosas.
El análisis de Press Gazette encontró que el 11,3 % de los sitios de noticias utilizaban herramientas de grabación de sesión, que reproducen los clics, el desplazamiento y los movimientos del ratón para su análisis posterior. Otro 2,6 %, unos 100 sitios, empleaba keylogging, capturando cada tecla pulsada por el visitante. Cerca del 10 % usaba canvas fingerprinting, una técnica que identifica el dispositivo concreto del usuario explotando sutiles diferencias de renderizado en el motor gráfico del navegador. Investigaciones publicadas en 2024 hallaron que el 89,4 % de las huellas de navegador eran únicas, lo que significa que la técnica puede identificar a usuarios individuales sin cookies, sin inicios de sesión ni ningún tipo de consentimiento explícito.
Los datos de AdGuard muestran que los rastreadores publicitarios constituyen ahora el 7,84 % de todo el tráfico web mundial, una cifra que sube año tras año. En algunas regiones, el número es significativamente mayor: India, un 12 %; Corea del Sur, un 10 %. Ese porcentaje no representa contenido. Representa infraestructura de vigilancia que viaja junto al contenido solicitado.
El teatro del consentimiento
Si el rastreo fuera transparente, al menos sería honesto. En cambio, la industria construyó un elaborado sistema de ventanas emergentes de consentimiento diseñadas específicamente para lograr que el usuario acepte cosas que rechazaría si la elección se le presentara de forma justa.
Un estudio de referencia de Nouwens et al. presentado en CHI 2020 encontró que solo el 11,8 % de las plataformas de gestión del consentimiento cumplían los requisitos mínimos del RGPD. De las analizadas, el 89 % de los textos de los banners de cookies no describía con precisión qué procesamiento de datos estaba ocurriendo. Más del 56 % de los sitios tenía las categorías de seguimiento opcionales marcadas previamente, inscribiendo a los usuarios en la vigilancia antes de que hubieran tomado ninguna decisión.
La manipulación está cuantificada: eliminar la opción “rechazar” de la primera página de un popup de consentimiento aumentó las tasas de aceptación en 22 a 23 puntos porcentuales. Los dark patternsDecisiones de diseño de interfaz deliberadamente engañosas que manipulan a los usuarios para que realicen acciones no deseadas, como cargos ocultos, botones confusos o suscripciones difíciles de cancelar. agresivos (colores engañosos, opciones ocultas, lenguaje confuso) incrementaron las tasas de aceptación un 371 % respecto a una presentación neutra, según una investigación de 2025 publicada en el Journal of Advertising.
NOYB, la organización europea de privacidad, ha presentado más de 500 denuncias contra banners de cookies engañosos. Su análisis encontró que el 81 % de los sitios analizados no ofrecía opción de “rechazar” en la página inicial, el 73 % usaba colores engañosos para dirigir a los usuarios hacia “aceptar” y el 90 % no proporcionaba una forma sencilla de retirar el consentimiento una vez otorgado.
El popup de consentimiento no protege al usuario de los rastreadores de los sitios de noticias. Es un embudo de conversión diseñado para garantizar que se desplieguen de todos modos.
El impuesto al rendimiento
Toda esta vigilancia tiene un coste. Se paga con tiempo, ancho de banda y batería del dispositivo.
Las pruebas de rendimiento 2025 de AdGuard revelaron que el sitio de noticias promedio tardaba 11,3 segundos en cargar sin bloqueador de anuncios. Con uno activado, el tiempo de carga caía a 6,2 segundos, una mejora del 45 %. El bloqueador redujo el número de solicitudes por página de 299 a 145 y redujo el consumo total de ancho de banda en un 38,8 %. En 119 sitios probados, ahorró 267 MB de datos, unos 2,2 MB por sitio.
Anualizado, AdGuard estima que los rastreadores y anuncios de los sitios de noticias le cuestan al usuario promedio aproximadamente 80 GB de ancho de banda y 52 horas de espera al año. Son más de dos días completos de vida, cada año, esperando a que termine de ejecutarse software que nadie pidió.
La ironía es comercial. Un estudio en un importante editor estadounidense encontró que cada segundo adicional de tiempo de carga costaba un 3 % de los ingresos publicitarios. La infraestructura de seguimiento destinada a maximizar los ingresos publicitarios degrada activamente el rendimiento que hace posibles esos ingresos. El sistema se está devorando a sí mismo.
El fraude de las notificaciones
Las notificaciones push del navegador representan la categoría más descarada del comportamiento “sitio web como malware”. El usuario visita un sitio por primera vez. Antes de haber leído una sola palabra, el sitio le pregunta si puede enviarle notificaciones. Si hace clic en “Permitir”, accidentalmente o no, ha concedido a ese sitio acceso permanente para enviar mensajes a su escritorio, incluso cuando el navegador está cerrado.
Malwarebytes documentó cómo los permisos de notificaciones push han sido sistemáticamente abusados por operaciones fraudulentas que disfrazan la solicitud de permiso como un CAPTCHA, un requisito del reproductor de vídeo o una verificación de seguridad. Una vez concedidos, estos permisos se utilizan para enviar falsas alertas de seguridad, enlaces de phishing e invitaciones a descargar malware. En noviembre de 2025, Malwarebytes identificó “Matrix Push C2”, un servicio comercial que permite a los atacantes usar las notificaciones del navegador como canal de mando y control, enviando alertas diseñadas para parecer advertencias del sistema operativo.
La versión legítima del mismo comportamiento (sitios de noticias que piden permiso para enviar notificaciones) se diferencia de la versión fraudulenta solo en grado, no en naturaleza. Ambas explotan una función del navegador mal diseñada para insertarse en la atención del usuario fuera del contexto en que eligió relacionarse con ellos.
Por qué llegamos hasta aquí
La respuesta corta: la economía publicitaria. La respuesta larga implica un problema estructural que lleva dos décadas agravándose.
La publicidad digital funciona con un modelo de coste por impresión que paga fracciones de céntimo por visualización. Para generar ingresos significativos a partir de fracciones de céntimo, los editores necesitan volúmenes enormes de impresiones. Para obtener esos volúmenes, llenan las páginas de espacios publicitarios. Para hacer esos espacios valiosos para los anunciantes, recopilan el máximo de datos posible sobre cada visitante. Para recopilar esos datos, incrustan decenas de scripts de seguimiento. Esos scripts ralentizan la página, lo que lleva a los usuarios a instalar bloqueadores de anuncios, lo que reduce el número de impresiones, lo que deprime aún más los ingresos, lo que incentiva un seguimiento aún más agresivo de los visitantes restantes no bloqueados.
Esto no es un fallo del mercado. Es el mercado funcionando exactamente como fue diseñado. El producto no es el artículo. El producto son los datos de comportamiento y la atención del lector. El artículo es el anzuelo.
La degradación de la intención del usuario en las grandes plataformas sigue la misma lógica: cada función que originalmente servía al usuario se va redirigiendo gradualmente para servir al anunciante. Lo que distingue a los sitios de noticias es que heredaron la forma estructural del periodismo (titulares, firmas, párrafos) mientras reemplazaban su función económica por algo más parecido a una operación de recopilación de datos que, de paso, muestra texto.
La anatomía técnica de una página de noticias moderna
Abra las herramientas de desarrollo de su navegador en cualquier sitio de noticias importante y observe la pestaña de Red. Lo que verá no es una página web cargando. Es una cadena de suministro activándose.
Una página de noticias típica en 2025 realiza unas 299 solicitudes HTTP antes de terminar de renderizarse, según las pruebas de AdGuard. Con un bloqueador, esa cifra cae a 145. La diferencia, esas 154 solicitudes, representa la infraestructura de seguimiento y publicidad: subastas en tiempo real, llamadas de sincronización de cookies, píxeles de seguimiento, pings de analítica y paquetes de JavaScript de terceros que cargan sus propias dependencias de terceros en una cadena de delegación que puede alcanzar cinco o seis capas de profundidad.
Los datos del HTTP Archive de 2025 sitúan el peso mediano de página en escritorio en 2,9 MB, con una mediana de 23 archivos JavaScript cargados. Para los sitios de noticias específicamente, la carga de JavaScript suele ser el principal coste de rendimiento, porque los scripts de tecnología publicitaria son intensivos en ejecución: realizan subastas (header bidding mediante Prebid.js o similar), renderizan iframes, manipulan el DOM, disparan balizas de seguimiento y ejecutan rutinas de fingerprinting, todo ello antes de que el lector haya podido desplazarse más allá del titular.
Rastreadores de sitios de noticias: la pila técnica al descubierto
Un análisis de Press Gazette sobre 3.838 sitios de noticias identificó 914 empresas de seguimiento distintas. El sitio de noticias promedio incluía código de 17 de ellas. Los peores casos superaban las 80. Esto es lo que hacen realmente:
Sincronización de cookies. Cuando el usuario visita un sitio de noticias, el rastreador A instala una cookie con su ID en su sistema. El rastreador B hace lo mismo. Luego A y B intercambian un “píxel de sincronización”, una pequeña solicitud invisible que mapea el ID del usuario en el sistema A con su ID en el sistema B. Así es como el perfil de navegación se unifica entre empresas que, individualmente, nunca han recopilado suficientes datos para identificar al usuario. La presencia de los rastreadores de Google en el 97,6 % de los sitios de noticias convierte a Google en el identificador universal de facto.
Subastas en tiempo real (RTB). Cuando el usuario carga una página con anuncios programáticos, su dispositivo envía una solicitud de puja a una bolsa de anuncios. Esa solicitud incluye su ubicación (aproximada o precisa), tipo de dispositivo, navegador, sistema operativo, resolución de pantalla y a menudo un perfil de comportamiento basado en cookies. Esta solicitud se emite simultáneamente a decenas de plataformas del lado de la demanda. Cada una recibe los datos del usuario. No todas ganan la subasta. Todas conservan los datos. Una sola carga de página puede transmitir el perfil del usuario a más de 100 empresas en el tiempo que tarda la página en renderizarse.
Fingerprinting del navegador. Con las cookies cada vez más bloqueadas por los navegadores y la legislación, la industria ha girado hacia el fingerprinting. El canvas fingerprinting renderiza gráficos invisibles y explota diferencias de renderizado específicas del hardware para generar un identificador de dispositivo. El WebGL fingerprinting hace lo mismo mediante renderizado 3D, capturando firmas específicas de la GPU. El audio fingerprinting usa la API AudioContext. Combinadas, estas técnicas producen identificadores que son únicos en el 89,4 % de los casos, y funcionan sin almacenar nada en el dispositivo. No se puede borrar una huella digital como se borran las cookies.
Grabación de sesión. Servicios como Hotjar, FullStory y Mouseflow registran la sesión completa del usuario: cada clic, desplazamiento, movimiento del ratón e interacción con formularios. Press Gazette los encontró en el 11,3 % de los sitios de noticias. Algunas de estas herramientas capturan también las pulsaciones de teclas, presentes en el 2,6 % de los sitios. Si el usuario empieza a escribir un comentario, una consulta de búsqueda o, en las peores implementaciones, una contraseña, esos datos pueden ser capturados y transmitidos a un servidor de terceros antes de hacer clic en “enviar”.
Los banners de consentimiento como infraestructura de dark patternsDecisiones de diseño de interfaz deliberadamente engañosas que manipulan a los usuarios para que realicen acciones no deseadas, como cargos ocultos, botones confusos o suscripciones difíciles de cancelar.
El Reglamento General de Protección de Datos (RGPD) exige un consentimiento informadoUn requisito ético y legal en la investigación que los participantes deben estar completamente informados sobre la naturaleza, los riesgos, los beneficios y los procedimientos de un estudio, y deben aceptar voluntariamente participar sin coerción ni tergiversación. Un principio clave en la ética de la investigación. y otorgado libremente para el tratamiento de datos no esenciales. Lo que la industria construyó en respuesta es una clase magistral de diseño de interfaces adversariales.
Las plataformas de gestión del consentimiento (CMPs) como OneTrust, Cookiebot y TrustArc se venden a los editores como herramientas de cumplimiento normativo. En la práctica, investigaciones publicadas en CHI 2020 revelaron que solo el 11,8 % de las implementaciones de CMP cumplían los requisitos mínimos del RGPD. El patrón dominante: un botón grande y vistoso de “Aceptar todo” junto a un enlace pequeño, gris y difícil de encontrar de “Gestionar preferencias”, que lleva a una página de configuración de varios pasos donde todas las categorías de seguimiento están preactivadas y el botón “Rechazar todo” (si existe) está enterrado al final.
La campaña de NOYB con más de 500 denuncias contra banners engañosos encontró que el 81 % de los sitios analizados no tenía opción de “rechazar” en la primera página y el 73 % usaba contraste de colores engañoso. El resultado: tasas de consentimiento que con un diseño honesto serían de un solo dígito se inflan al 40 % o más mediante técnicas que la investigación cuantifica como un aumento del 371 % sobre la línea de base.
Técnicamente, muchas de estas implementaciones también violan el RGPD al activar scripts de seguimiento antes de obtener el consentimiento. Un análisis de cumplimiento de 2026 encontró que el 67 % de las implementaciones de Consent Mode v2 tenían errores técnicos, con una brecha significativa entre lo que el banner de consentimiento afirmaba hacer y lo que el sitio hacía realmente antes de que el usuario hiciera clic en nada.
Qué bloquean realmente los bloqueadores de anuncios
El informe de AdGuard 2025 ofrece la cuantificación más clara de la sobrecarga similar al malware. Pruebas en 119 sitios web:
- Tiempo de carga promedio sin bloqueador: 11,3 segundos. Con bloqueador: 6,2 segundos (45 % más rápido).
- Solicitudes promedio por página sin bloqueador: 299. Con bloqueador: 145 (reducción del 51 %).
- Ancho de banda total ahorrado: 267 MB en el conjunto de pruebas, es decir, 2,2 MB por sitio (reducción del 38,8 %).
- 276 rastreadores únicos detectados, conectándose a 829 dominios de seguimiento distintos.
- El 97 % de los sitios probados se conectaba a rastreadores propiedad de Google.
Anualizado, AdGuard estima el coste de los rastreadores y anuncios de sitios de noticias en 80 GB de ancho de banda y 52 horas de espera por usuario al año. Un bloqueador de anuncios no es un bloqueador de anuncios. Es una herramienta de eliminación de malware que, de paso, también bloquea anuncios.
La economía perversa
El ciclo seguimiento-anuncios-seguimiento se retroalimenta y se autodestruye. Investigaciones de rendimiento en un importante editor estadounidense encontraron que cada segundo adicional de tiempo de carga reducía los ingresos publicitarios en un 3 %. Los scripts de seguimiento destinados a maximizar los ingresos publicitarios añaden segundos de carga que reducen directamente esos ingresos. La respuesta de la industria no ha sido reducir el seguimiento, sino añadir más seguimiento para medir por qué la primera ronda de seguimiento no rendía lo suficiente.
Los datos globales de AdGuard muestran que la cuota de tráfico de rastreadores sube año tras año, alcanzando el 7,84 % de todo el tráfico web en 2024. La tendencia es hacia más seguimiento, no menos, a pesar de la presión regulatoria, a pesar de las restricciones de los navegadores a las cookies de terceros y a pesar del coste de rendimiento mensurable. La explicación es estructural: las empresas que se benefician del seguimiento son las mismas que controlan las plataformas publicitarias, las herramientas de análisis, los sistemas de gestión del consentimiento y, en el caso de Google, el propio navegador. El patrón de empresas que construyen la infraestructura regulatoria que rige su propia industria no es exclusivo de la tecnología publicitaria, pero la tecnología publicitaria puede ser su expresión más pura.
Lo que los lectores experimentan como “sitios web que parecen malware” no es un fallo de diseño. Los rastreadores de los sitios de noticias son el resultado previsto de un sistema económico en el que la experiencia del usuario no es el producto que se optimiza. Lo que se optimiza son los datos de comportamiento extraídos durante esa experiencia.
