Cómo aplicar límites de dispositivos sin cookies: prevención del account sharing conforme al RGPD

El seguimiento de dispositivos basado en cookies falla bajo el RGPD y falla en la navegación privada.

Jun 29, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Cómo aplicar límites de dispositivos sin cookies: prevención del account sharing conforme al RGPD

Los límites de dispositivos son el mecanismo más común para la aplicación del account sharing en las plataformas de suscripción. Una suscripción es válida para un dispositivo, o dos, o tres. Cuando se supera un umbral de número de dispositivos, se activa la aplicación. En principio, este es un enfoque simple y directo. En la práctica, tiene dos problemas que lo socavan en la mayoría de los despliegues.

El primero es técnico: el seguimiento de dispositivos basado en cookies es trivialmente anulado limpiando las cookies, usando la navegación privada o accediendo a la plataforma desde un navegador diferente. Un usuario que comparte credenciales que borra sus cookies es invisible para el seguimiento de dispositivos basado en cookies. El límite de dispositivos se restablece a cero.

El segundo es legal: el seguimiento de dispositivos basado en cookies requiere consentimiento bajo el RGPD para los suscriptores europeos. Un mecanismo de seguimiento de dispositivos basado en el consentimiento crea una contradicción lógica: el suscriptor que está compartiendo su credencial es también el suscriptor que tiene más incentivos para retirar el consentimiento para el seguimiento de dispositivos, dejando el acuerdo de sharing sin detectar.

El Informe Global de Pagos y Fraude en eCommerce 2026 del Merchant Risk Council encontró que el 64% de los comerciantes notifican un aumento significativo del mal uso de primera parte. Las plataformas que operan en mercados europeos necesitan un enfoque de prevención del account sharing que no dependa de las cookies y que no requiera consentimiento. El device fingerprinting de capa del navegador que no recopila datos personales proporciona esto.

Por qué fallan los límites de dispositivos basados en cookies

Respuesta rápida: El seguimiento de dispositivos basado en cookies asigna un identificador persistente a cada dispositivo a través de una cookie del navegador. Este identificador se borra cuando el usuario limpia sus cookies, cambia de navegador o usa la navegación privada. Un usuario que comparte credenciales y que es consciente de esto puede anular el límite de dispositivos borrando las cookies antes de cada sesión. Los modos de navegación privada, que ahora son el tipo de sesión predeterminado para muchos usuarios en dispositivos compartidos o móviles, descartan las cookies automáticamente. Los límites de dispositivos basados en cookies son fiables solo contra los usuarios que desconocen la gestión de cookies, lo que excluye a los usuarios que comparten de forma más deliberada.

El seguimiento de dispositivos basado en cookies funciona como identificador persistente para el análisis de primera parte y la personalización porque la mayoría de los usuarios no borran sus cookies y la mayoría de las plataformas no necesitan aplicar recuentos estrictos de dispositivos. En esos contextos, la pérdida ocasional del identificador de cookie es un problema aceptable de calidad de datos.

Para la aplicación del account sharing, el modo de fallo es fundamental. Un usuario que comparte y que está motivado para mantener el acceso a un producto por el que no está pagando tiene un fuerte incentivo para anular el límite de dispositivos. Borrar las cookies es una operación de un clic en todos los navegadores principales. El modo de navegación privada, que borra todos los identificadores basados en cookies al final de la sesión, está disponible en todas las plataformas. La población de usuarios más probable de compartir credenciales es también la población más probable de gestionar sus cookies de forma deliberada.

La restricción del RGPD agrava la limitación técnica. Bajo el Artículo 6 del RGPD, almacenar un identificador persistente en el dispositivo de un usuario a través de una cookie requiere una base jurídica válida. Para las cookies no esenciales, esa base es el consentimiento. El consentimiento para el seguimiento del sharing de cuenta es lógicamente problemático: un suscriptor que está compartiendo su credencial tiene un incentivo para retirar el consentimiento, lo que significa que la población que más necesitas rastrear es también la más propensa a optar por no participar. Un sistema de límite de dispositivos basado en cookies conforme al RGPD que requiere consentimiento no puede detectar de forma fiable a los usuarios que comparten de forma deliberada.

Qué dice el RGPD sobre el device fingerprinting de capa del navegador

Respuesta rápida: El device fingerprinting de capa del navegador que deriva un identificador de dispositivo a partir de señales de configuración de hardware y software, sin almacenar ningún dato en el dispositivo del usuario, queda fuera del requisito de consentimiento de cookies de la Directiva ePrivacy porque no se almacenan datos del lado del cliente. Bajo el RGPD, los datos de configuración del dispositivo procesados no son datos personales según el Considerando 26 si el individuo no es identificable a partir de los datos por sí solos. La prevención del fraude, incluida la prevención del mal uso de primera parte, está reconocida como un interés legítimo bajo el Considerando 47 del RGPD y el Artículo 6(1)(f).

El requisito de consentimiento de la Directiva ePrivacy se aplica al almacenamiento o acceso a datos en el dispositivo de un usuario. Una cookie se almacena en el dispositivo. Un fingerprint de capa del navegador se deriva de la lectura de la configuración del dispositivo en el navegador, sin escribir ningún dato persistente en el dispositivo. La Directiva ePrivacy no se aplica a la lectura de datos de configuración del dispositivo que se transmiten necesariamente como parte de la sesión de navegación.

El Considerando 26 del RGPD establece que la información no es datos personales cuando el individuo no es identificable, teniendo en cuenta todos los medios que razonablemente puedan utilizarse. Las señales de configuración del dispositivo utilizadas para el browser fingerprinting, que incluyen la salida del renderizador GPU, la respuesta del contexto de audio, las características de renderizado canvas y la disponibilidad de fuentes, identifican una configuración de navegador y hardware. No identifican, por sí solas, a un individuo. Combinadas con un inicio de sesión en una cuenta, identifican que una configuración de dispositivo específica está asociada con una cuenta específica. Esta combinación está dentro del contexto de la relación con la cuenta, no en un contexto de identidad individual más amplio.

El Artículo 6(1)(f) del RGPD permite el tratamiento basado en intereses legítimos. El Considerando 47 del RGPD identifica explícitamente la prevención del fraude como base de interés legítimo: "El tratamiento de datos personales estrictamente necesario para la prevención del fraude también constituye un interés legítimo." La prevención del account sharing es prevención del mal uso de primera parte, que se sitúa dentro de la categoría de interés legítimo de prevención del fraude.

La combinación de estas disposiciones significa que el fingerprinting de capa del navegador para la prevención del account sharing, implementado sin almacenamiento del lado del cliente y sin combinar los datos de fingerprint con datos personales más amplios más allá de la relación con la cuenta, puede operarse sobre una base de interés legítimo bajo el RGPD sin requerir el consentimiento de cookies.

Cómo el fingerprinting sin cookies aplica los límites de dispositivos

Respuesta rápida: El fingerprinting de capa del navegador de cside deriva un identificador de dispositivo estable a partir de señales de configuración de hardware y software inherentes al dispositivo: renderizador GPU, contexto de audio, renderizado canvas, conjunto de fuentes y atributos relacionados. Este identificador es estable en sesiones de navegación privada, borrados de cookies y reinicios del navegador porque se deriva de la configuración de hardware y software del dispositivo, no de los datos almacenados. Un dispositivo que borra sus cookies genera el mismo fingerprint que antes. Un límite de dispositivos aplicado sobre este fingerprint no puede ser anulado mediante la gestión de cookies.

La estabilidad del fingerprinting de capa del navegador en relación con el seguimiento basado en cookies es la propiedad que lo hace adecuado para la aplicación de límites de dispositivos. El identificador del dispositivo es estable porque se deriva de atributos de hardware y software que no cambian cuando se borran las cookies:

Renderizador GPU: la unidad de procesamiento gráfico del dispositivo produce una salida de renderizado característica que es estable entre sesiones y no se ve afectada por la configuración del navegador ni el estado de las cookies.
Contexto de audio: el hardware de procesamiento de audio del dispositivo produce una respuesta característica a una prueba de procesamiento de audio sintético que varía entre configuraciones de hardware y no se almacena como una cookie.
Renderizado canvas: la combinación del GPU, el sistema operativo y el renderizado de fuentes del dispositivo produce una salida canvas característica que es estable entre sesiones.
Disponibilidad y renderizado de fuentes: el conjunto de fuentes instaladas en el dispositivo y cómo las renderiza el sistema operativo varía entre configuraciones y contribuye a un fingerprint estable.

Estos atributos se combinan para producir un identificador estable para cada configuración única de hardware y software. Un dispositivo que borra sus cookies, cambia a navegación privada o usa un navegador diferente produce el mismo fingerprint a partir de su configuración de hardware y software subyacente.

La implicación práctica para la aplicación del límite de dispositivos es que el límite se aplica sobre una señal que el usuario que comparte no puede manipular fácilmente sin cambiar físicamente de dispositivo, no sobre una señal que puede restablecerse con un clic en un menú.

La arquitectura sin consentimiento

Respuesta rápida: La arquitectura de detección de account sharing de cside recopila datos de configuración del dispositivo del lado del servidor a partir de señales transmitidas como parte de la sesión de navegación, sin almacenar ningún identificador persistente en el dispositivo del usuario. Esto sitúa el tratamiento fuera del requisito de consentimiento de la Directiva ePrivacy. El tratamiento se realiza bajo el interés legítimo del Artículo 6(1)(f) del RGPD (prevención del fraude). No se requiere ningún banner de consentimiento de cookies para el componente de detección de account sharing. El tratamiento se documenta en el aviso de privacidad de la plataforma bajo la base del interés legítimo.

La arquitectura que permite la operación sin consentimiento tiene tres características:

Sin almacenamiento del lado del cliente. El fingerprint se deriva del lado del servidor a partir de señales que se transmiten de forma inherente durante una sesión de navegación. No se crea ninguna cookie, entrada de almacenamiento local, registro de IndexedDB u otro almacenamiento persistente del lado del cliente. Las señales del dispositivo se leen en el navegador y se transmiten al pipeline de análisis del lado del servidor de cside. Nada queda en el dispositivo del usuario.

Documentación del interés legítimo. El tratamiento de los datos de configuración del dispositivo para fines de prevención del fraude se documenta en el aviso de privacidad de la plataforma bajo el Artículo 6(1)(f). Una evaluación de interés legítimo (EIL) documenta el equilibrio entre el interés de la plataforma en prevenir el mal uso de primera parte y el interés del usuario en la privacidad. Para la prevención del account sharing, la EIL es sencilla: la plataforma tiene un interés comercial legítimo en hacer cumplir sus términos del servicio; el tratamiento utiliza datos de configuración del dispositivo que el usuario transmite necesariamente como parte de su sesión de navegación; y no se construye ningún perfil de datos personales más amplio a partir de las señales.

Tratamiento mínimo necesario. Las señales de configuración del dispositivo recopiladas son el mínimo necesario para producir un identificador de dispositivo estable para el propósito de detección de account sharing. Las señales no revelan el historial de navegación, la ubicación o la identidad del usuario más allá del contexto de la sesión del navegador. Esta proporcionalidad apoya la base del interés legítimo.

Bajo esta arquitectura, la detección de account sharing puede operar en bases de suscriptores europeas sin un requisito de consentimiento de cookies, sin un banner de consentimiento y sin la contradicción lógica de requerir el consentimiento de los usuarios cuyo comportamiento necesitas detectar.

Qué significa esto para los equipos de cumplimiento y producto

Respuesta rápida: Los equipos de cumplimiento que evalúan herramientas de prevención del account sharing necesitan hacer dos preguntas: ¿la herramienta almacena identificadores persistentes del lado del cliente (lo que requiere consentimiento de cookies)?; ¿y recopila información de identificación personal más allá del contexto de la sesión de la cuenta (lo que activa obligaciones más amplias del RGPD)? El fingerprinting de capa del navegador de cside responde no a ambas. La arquitectura de tratamiento está diseñada para operar bajo el interés legítimo sin requerir consentimiento, y las señales de configuración del dispositivo recopiladas no constituyen datos personales bajo el Considerando 26 del RGPD de forma aislada.

Para los equipos de cumplimiento, los requisitos de documentación para el fingerprinting de capa del navegador sin cookies bajo el RGPD son:

Actualización del aviso de privacidad: añadir una sección que describa la base del interés legítimo para el tratamiento de la configuración del dispositivo, las categorías de señales recopiladas y el propósito (prevención del account sharing/prevención del fraude).
Evaluación de interés legítimo: documentar la prueba de tres partes: propósito (prevenir el mal uso de primera parte), necesidad (los datos de configuración del dispositivo son el mínimo necesario para un identificador de dispositivo estable) y equilibrio (el interés del usuario en no ser rastreado está superado por el interés de la plataforma en hacer cumplir sus términos de suscripción y la expectativa del usuario de que su suscripción cubre su propio uso).
Acuerdo de tratamiento de datos: ejecutar un ATD con cside como encargado del tratamiento de los datos de configuración del dispositivo que cside procesa en nombre de la plataforma.

Para los equipos de producto, la implicación práctica es que el sistema de detección de account sharing puede implementarse y operarse sin un flujo de consentimiento de cookies y sin ninguna interfaz de usuario de privacidad orientada al usuario específica del componente de detección de sharing. La actualización del aviso de privacidad y la EIL son documentos internos; la experiencia del usuario no cambia.

cside está certificado SOC 2. La documentación completa de la arquitectura de privacidad, incluida la plantilla del acuerdo de tratamiento de datos y el marco de evaluación del interés legítimo, está disponible en trust.cside.com.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

No. El consentimiento de cookies bajo la Directiva ePrivacy se aplica al almacenamiento de datos en el dispositivo de un usuario. El fingerprinting de capa del navegador de cside lee señales de configuración del dispositivo que se transmiten de forma inherente durante una sesión de navegación sin almacenar ningún identificador persistente en el dispositivo del usuario. El tratamiento de esas señales para fines de prevención del fraude se realiza bajo el interés legítimo del Artículo 6(1)(f) del RGPD. No se requiere consentimiento de cookies para el componente de detección de account sharing.

El Considerando 26 del RGPD establece que la información no son datos personales cuando el individuo no es identificable a partir de esa información por sí sola. Las señales de configuración del dispositivo (salida del renderizador GPU, respuesta del contexto de audio, características de renderizado canvas) identifican una configuración de navegador y hardware, no a un individuo. Combinadas con los datos de inicio de sesión de la cuenta, vinculan una configuración de dispositivo a una cuenta de suscripción. Si los datos de fingerprint son datos personales depende de las señales específicas recopiladas y cómo se combinan con otros datos.

El interés legítimo del Artículo 6(1)(f) del RGPD, respaldado por el Considerando 47, que identifica explícitamente la prevención del fraude como base de interés legítimo. El interés de una plataforma en hacer cumplir sus términos del servicio de suscripción y prevenir el mal uso de primera parte es un interés comercial legítimo. El tratamiento de la configuración del dispositivo para este propósito utiliza las señales mínimas necesarias para producir un identificador de dispositivo estable y no construye un perfil de datos personales más amplio.

La documentación consiste en: una actualización del aviso de privacidad que describe la base del interés legítimo, las categorías de señales procesadas y el propósito; una Evaluación de Interés Legítimo que documenta la prueba de tres partes (propósito, necesidad, equilibrio); y un Acuerdo de Tratamiento de Datos con cside como encargado del tratamiento. No se requiere ningún banner de consentimiento orientado al usuario.

Usar un navegador diferente en el mismo dispositivo produce un conjunto de señales de configuración del navegador diferente y puede producir un fingerprint diferente, dependiendo de la extensión de la diferencia de configuración. Una VPN cambia la señal del contexto de red pero no afecta a las señales de configuración del hardware como el renderizador GPU y el contexto de audio. Un límite de dispositivos aplicado sobre señales a nivel de hardware no puede ser anulado solo por el uso de VPN. Usar un dispositivo físico completamente diferente produce un fingerprint diferente.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo aplicar límites de dispositivos sin cookies: prevención del account sharing conforme al RGPD

El seguimiento de dispositivos basado en cookies falla bajo el RGPD y falla en la navegación privada.

Las Mejores Plataformas de Monitorización de Scripts de Terceros en 2026

Seis plataformas comparadas en inventario de scripts de terceros, detección de desviaciones de comportamiento, cobertura de ataques a la cadena de suministro y puntuación de riesgo de proveedores.

Cómo detener el account sharing en plataformas de gaming: detectar servicios de boosting y venta de cuentas sin marcar a los hogares

El account sharing en gaming adopta tres formas distintas: boosting, venta de cuentas y acceso familiar.

Client-Side Security para eCommerce y Fintech: las Mejores Plataformas en 2026

Los sitios de eCommerce y fintech se enfrentan al skimming de Magecart y a PCI DSS 4.0.1. Analizamos seis plataformas de client-side security para proteger los scripts de la página de pago.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre herramientas de muestreo que no detectan ataques en tiempo de ejecución

Por qué las herramientas de seguridad basadas en muestreo no detectan los ataques en runtime en plataformas de juego

Las herramientas que muestrean menos del 10% de las sesiones se crearon para auditorías, no para detectar ataques en vivo. Aquí está la brecha.

Cómo detener el account sharing en plataformas de ecommerce: detectar membresías compartidas sin bloquear compradores del mismo hogar

El account sharing en ecommerce toma tres formas distintas: uso compartido de membresías de suscripción, uso compartido de credenciales en programas…

Cómo Detectar y Bloquear Agentes de IA Desconocidos en Tu Sitio Web

Los agentes de IA desconocidos no tienen user-agent e ignoran robots.txt. Aprende qué señales del navegador delatan a los agentes no declarados y cómo actuar.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre requisitos de seguridad de scripts de la UK Gambling Commission

Condiciones de licencia de la UK Gambling Commission y seguridad de scripts de terceros: lo que los operadores necesitan saber

El LCCP de la UKGC exige un entorno técnico seguro. Los scripts de terceros que redirigen jugadores o exfiltran datos crean exposición directa.

Account sharing en SaaS B2B: cómo aplicar la licencia por puestos sin bloquear a equipos legítimos

El sharing de puestos en SaaS B2B es la forma de abuso de credenciales más poco detectada.

Cómo Bloquear la Automatización con Playwright en Tu Sitio Web

Playwright ejecuta navegadores reales que en la capa de red son idénticos a los humanos. Aquí te explicamos cómo detectarlo y por qué fallan robots.txt y el bloqueo de IP.