La analítica web moderna no requiere cookies de rastreo para producir información útil. Esta guía explica cómo funciona en la práctica la analítica nativa de privacidad, por qué importa para las empresas reguladas por el RGPD y qué compromisos esperar al cambiar.
Respuesta rápida
La analítica sin cookies identifica las sesiones en el lado del servidor — usando un hash criptográfico de corta duración de la dirección IP, el user agent y un salt que rota diariamente — sin colocar ningún identificador persistente en el navegador del visitante. Conservas las páginas vistas, los referrers, la atribución UTM y los desgloses por dispositivo. Lo que pierdes es el rastreo individual preciso de usuarios a lo largo de varios días — y ese es el compromiso deliberado. Para la mayoría de las pymes europeas que hacen análisis agregado de tráfico y campañas, la pérdida es pequeña y la simplificación del cumplimiento es significativa.
Puntos clave
- Un tracker de analítica sin cookies no coloca cookies en el navegador, por lo que no activa el requisito de consentimiento de la Directiva ePrivacy para cookies de analítica en la mayoría de las jurisdicciones de la UE.
- La identificación de sesión en el lado del servidor (hash HMAC, salt diario) es seudónima, no anónima — el hash es un identificador de sesión, solo que cambia diariamente y no puede revertirse a una IP.
- Puedes medir con precisión páginas vistas, referrers, campañas UTM, distribución geográfica, tipos de dispositivo, eventos personalizados y visitantes en tiempo real sin cookies.
- No puedes medir recorridos individuales de usuario a lo largo de varios días, cohortes de retención a largo plazo ni embudos de conversión entre sesiones sin identificadores persistentes.
- La analítica sin cookies reduce la fricción del RGPD específica de la analítica. No hace que todo tu sitio sea conforme — tus otros proveedores, embeds y píxeles conllevan cada uno sus propias obligaciones.
Definiciones
Analítica sin cookies: analítica web que no coloca cookies ni identificadores persistentes en el lado del navegador para rastrear visitantes. La identificación de sesión se realiza íntegramente en el lado del servidor, típicamente mediante un hash criptográfico que cambia diariamente.
RGPD-nativo por diseño: una afirmación de posicionamiento de producto (no una certificación de cumplimiento) que significa que la herramienta fue diseñada desde el inicio en torno a los principios europeos de protección de datos, en lugar de añadir mitigaciones sobre una arquitectura basada en consentimiento.
Evento facturable: en el contexto de Atriqo, cualquier evento persistido en la base de datos de analítica — una página vista, un clic saliente, una descarga de archivo, una visita a una página 404 o un evento personalizado. Esta es la unidad de cuota, no las "páginas vistas" por sí solas.
Por qué las cookies se convirtieron en un problema para la analítica
Las plataformas de analítica tradicionales como Google Analytics 4 dependen de identificadores persistentes almacenados en cookies del navegador para rastrear usuarios individuales entre sesiones y páginas. Las cookies _ga y _ga_* que GA4 coloca por defecto (documentación para desarrolladores de Google sobre el uso de cookies) son cookies no esenciales usadas para el rastreo de analítica.
Bajo la Directiva ePrivacy (artículo 5(3), Directiva 2002/58/CE) y el RGPD, colocar cookies no esenciales sin consentimiento previo y otorgado libremente no está permitido para los visitantes de la UE en la mayoría de las jurisdicciones. Esta es la base legal de los banners de consentimiento de cookies que aparecen en prácticamente todos los sitios web orientados a la UE que ejecutan GA4.
Los banners de consentimiento abordan esto parcialmente — pero introducen fricción real. Los visitantes que rechazan las cookies son parcial o totalmente invisibles para las herramientas basadas en cookies, distorsionando los datos que realmente ves. Y la carga operativa de implementar, mantener y documentar una plataforma de gestión del consentimiento (CMP) conforme no es trivial.
La analítica sin cookies elimina por completo la cookie de rastreo de analítica de la ecuación, lo que retira el detonante clásico del consentimiento para esa recogida de datos concreta (si queda alguna cuestión residual del artículo 5(3) para una configuración dada depende de la jurisdicción — ver nuestra guía sobre el banner de cookies). Tu sitio puede seguir necesitando un banner si usas otras herramientas, píxeles, redes publicitarias o embeds de redes sociales — la obligación de consentimiento la determina todo tu stack de proveedores, no solo la herramienta de analítica.
Cómo funciona la analítica sin cookies
Un tracker de analítica sin cookies identifica las sesiones usando un mecanismo criptográfico en el lado del servidor en lugar de un identificador almacenado en el navegador.
El mecanismo de identificación de sesión:
Cuando un visitante carga una página, el servidor de analítica recibe la petición HTTP con la dirección IP y la cadena de user agent. En lugar de emitir una cookie, el servidor calcula:
visitor_hash = HMAC(secret_key, IP + user_agent + daily_salt)
- El salt diario rota cada 24 horas. El mismo visitante el martes produce un hash completamente distinto que el lunes.
- La dirección IP en bruto se descarta inmediatamente después de calcular el hash — nunca se escribe en disco.
- El hash es seudónimo, no anónimo: identifica de forma única a un visitante dentro del día, pero no puede revertirse para recuperar la IP, y no puede vincular al mismo visitante entre días.
Esta arquitectura significa:
- Sin rastreo entre sitios — los datos de cada sitio están en silos separados: los paneles y las consultas están acotados a un único sitio, y los datos de visitantes nunca se combinan ni se reportan entre diferentes sitios web.
- Sin fingerprinting — la herramienta no combina múltiples atributos del navegador para crear un identificador persistente.
- Sin cookies — el script del tracker no escribe ningún identificador en el almacenamiento del navegador.
Atriqo es una herramienta de analítica web privacy-first y sin cookies, alojada en la UE (Alemania), construida como alternativa RGPD-nativa por diseño a Google Analytics.
Qué puedes medir sin cookies
La analítica sin cookies es más capaz de lo que la mayoría de la gente espera antes de probarla. El mecanismo de hash diario te da un recuento fiable de sesiones dentro del mismo día; los datos agregados semanales y mensuales son una estimación razonable.
| Métrica | Disponible | Notas |
|---|---|---|
| Páginas vistas | Sí | Por ruta, con URL completa (query strings configurables) |
| Visitantes únicos | Sí | Precisos dentro del día; estimaciones para períodos más largos |
| Sesiones | Sí | Ventana de inactividad de 30 minutos |
| Tasa de rebote | Sí | Sesiones con exactamente una página vista (los eventos personalizados, clics salientes o descargas en la misma sesión no impiden el rebote) |
| Duración media de sesión | Sí | Último evento menos primer evento de la sesión |
| Páginas principales | Sí | Ordenadas por páginas vistas y visitantes únicos |
| Referrers | Sí | Host y ruta; sin identidad de visitante entre sitios |
| Atribución de campañas UTM | Sí | Source, medium, campaign, term y content desde los parámetros de la URL |
| Distribución geográfica (país) | Sí | Consulta GeoIP; la IP no se almacena |
| Tipo de dispositivo (escritorio / móvil / tablet) | Sí | Extraído del User-Agent |
| Navegador y sistema operativo | Sí | Extraídos del User-Agent |
| Eventos personalizados con propiedades | Sí | Seguimiento de objetivos, clics en botones, reproducciones de vídeo |
| Seguimiento de enlaces salientes | Sí | Clics que salen de tu dominio |
| Seguimiento de descargas de archivos | Sí | PDF, ZIP y otros tipos de archivo configurados |
| Seguimiento de páginas 404 | Sí | Páginas que devuelven un estado de no encontrado |
| Visitantes activos en tiempo real | Sí | Recuento de hashes de visitante distintos en los últimos 5 minutos |
Qué no puedes medir sin cookies
Los recorridos individuales de usuario entre días y la retención a largo plazo no son medibles solo con rastreo sin cookies. La rotación diaria del hash es lo que hace que la arquitectura de privacidad funcione — pero también significa que el mismo usuario físico tiene el miércoles un hash distinto del que tenía el martes.
En concreto, la analítica sin cookies no es la opción adecuada para:
- Recorridos individuales de usuario a lo largo de varios días (p. ej. "este usuario concreto visitó la página de precios el lunes y se registró el viernes")
- Análisis de retención de cohortes a largo plazo (p. ej. "de los usuarios que visitaron por primera vez en enero, ¿qué porcentaje volvió en marzo?")
- Atribución de ingresos entre sesiones que requiera vincular una compra a una visita ocurrida días antes
- Session replay, mapas de calor o cualquier funcionalidad que requiera grabaciones a nivel de usuario individual
Si tu caso de negocio principal requiere rastreo individual preciso a lo largo del tiempo, la analítica sin cookies no es un sustituto completo del rastreo basado en consentimiento. Eso requiere identificadores persistentes — es decir, cookies — y un flujo de consentimiento conforme que los acompañe.
Para la mayoría de las pymes europeas cuya necesidad analítica principal es el análisis agregado de tráfico, la medición del rendimiento de campañas y entender qué páginas y fuentes generan conversiones dentro de una sesión, la analítica sin cookies es suficientemente precisa.
Hechos vs interpretación
Hechos documentados: la Directiva ePrivacy exige consentimiento para las cookies no esenciales en la mayoría de las jurisdicciones de la UE. Las herramientas de analítica sin cookies no colocan cookies de rastreo de analítica. Un mecanismo HMAC con salt diario produce identificadores de sesión seudónimos, no anónimos — el hash no puede revertirse a una IP, pero sigue siendo un identificador de sesión.
Nuestra interpretación: que estos hechos hacen de la analítica sin cookies una opción por defecto más adecuada para las empresas de la UE es la posición comercial de Atriqo. Tu panorama de cumplimiento concreto depende de todo tu stack de proveedores, de las directrices de tu delegado de protección de datos y de las posiciones publicadas de tu APD. Este artículo no constituye asesoramiento jurídico.
La carga del RGPD en la práctica
El coste práctico de la analítica basada en cookies para un sitio de la UE suele subestimarse:
- Plataforma de Gestión del Consentimiento (CMP): necesitas una CMP conforme. Las plataformas reputadas cuestan típicamente entre 50 y 500 € al mes según el tráfico.
- Implementación y mantenimiento del banner: el flujo de consentimiento debe ser conforme con las directrices de tu APD — las casillas premarcadas no son consentimiento válido, "Rechazar todo" debe ser tan fácil de encontrar como "Aceptar todo", etc.
- Brecha de datos: los visitantes que rechazan las cookies son invisibles. Las tasas de rechazo típicas en sitios europeos oscilan entre el 20 % y el 60 % según la audiencia y el diseño del banner.
- Revisión jurídica continua: a medida que las directrices de las APD evolucionan (y lo hacen), las implementaciones de consentimiento requieren actualizaciones.
Una herramienta de analítica sin cookies elimina los puntos 1–4 específicamente para la capa de analítica. La CMP y el banner pueden seguir siendo necesarios si tienes otros proveedores que requieran consentimiento.
Cambiar desde GA4: qué esperar
Si estás migrando de Google Analytics 4 a una herramienta sin cookies:
Los datos se verán diferentes. Las herramientas sin cookies suelen mostrar recuentos de visitantes únicos más altos en sitios con visitantes recurrentes, porque el hash diario trata al mismo usuario físico como un visitante nuevo cada día. Los recuentos de páginas vistas y sesiones son generalmente consistentes.
El panel será más simple. Los paneles de analítica sin cookies se centran intencionadamente en métricas agregadas. No tendrás exploración a nivel de usuario, segmentos de audiencia ni modelado de atribución en el sentido de GA4.
La configuración es más rápida. Añade la etiqueta de script, comprueba que tu primer evento aparece en el panel de tiempo real, y listo. Sin configuración de consent mode, sin actualizaciones de la tabla de la política de cookies, sin integración con una CMP.
Conservas las métricas que importan para la mayoría de las decisiones. Tendencias de tráfico, páginas principales, fuentes de referencia, rendimiento de campañas UTM, desglose por dispositivo, distribución por país — todo disponible, todo preciso para el análisis agregado.
Cómo empezar con Atriqo
Atriqo es una herramienta de analítica web privacy-first y sin cookies alojada en la UE (Alemania — Hetzner, Falkenstein). El plan gratuito — 10.000 eventos facturables al mes (un evento facturable es cualquier evento registrado: página vista, clic saliente, descarga de archivo, error 404 o evento personalizado), sin tarjeta de crédito, sin caducidad — estará disponible en el lanzamiento.
Si quieres acceso anticipado, únete a la lista de espera.
Este artículo explica cómo funciona la analítica sin cookies y describe la arquitectura técnica de Atriqo. No constituye asesoramiento jurídico. Para obtener orientación de cumplimiento específica sobre el stack de proveedores de tu sitio, consulta a un profesional jurídico cualificado familiarizado con el derecho de protección de datos de la UE.