En 1994 Lou Montuilli inventó las cookies. Treinta años después, la inmensa mayoría de muggles —y más profesionales del sector informático de lo que podríamos pensar— siguen sin entender qué son o cómo funcionan exactamente.
 
Conocer la historia de cómo fueron creadas no solo es una estupenda oportunidad para evangelizar a nuestros suegros, padres o amigos, sino también para reventar las 400 capas de abstracción bajo las que enterramos nuestras aplicaciones web, redescubrir los fundamentos de cómo funciona Internet y, sobre todo, porqué funciona así.
 
Porque, debajo de Netflix, Amazon y Google —detrás de YouTube, la web de Renfe o WordPress— Internet no deja de ser un montón de ordenadores conectados para intercambiar ficheros con información. El ordenador A pide al ordenador B una cosa y, si B lo tiene, decide si se lo entrega a A o no. Ni más ni menos. Así se concibió y, básicamente, así sigue siendo.
 
Otra cosa es que nos hayamos inventado un lenguaje de marcado (el HTML) para que esos ficheros no solo contengan información sino también cómo debe ser representada, que hayamos desarrollado «navegadores» (programas capaces de entender ese HTML y renderizarlo), que lo hayamos extendido para hacer que esas peticiones no se hagan en texto plano sino cifradas (HTTPS) o para que el «fichero» de respuesta se descomponga en muchos trozos que se van entregando poco a poco (streaming)… y, también, para poder conservar y compartir información entre distintas peticiones, gracias a las cookies, lo que permitió que existiera Internet tal y como hoy lo conocemos.

WWW: Wild Wild West
 
A principios de los 90, la red era el salvaje oeste. Antes de que la WWW —un invento pergeñado en un recóndito rincón de Europa— se impusiera, estaba muy fragmentada. Algunos sitios usaban Gopher, otros que corrían sobre BBS e incluso existían redes cerradas, como CompuServe.
 
En aquella época, Montulli estudiaba en la universidad de Kansas y trabajaba a tiempo parcial, dando soporte técnico en su centro de computación. La institución se embarcó en un proyecto para crear un «sistema de información para el campus», lo que hoy llamaríamos una web. De la noche a la mañana, Lou se encontró en medio del apasionado debate internacional para intentar escribir las especificaciones técnicas —vía USENET— de este nuevo medio de comunicación digital.
 
En 1994, se funda Netscape y Montulli se convierte en uno de sus primeros empleados. Allí realiza aportaciones cruciales para el crecimiento de la Web como los mismísimos formularios, a pesar de la oposición del mismísimo Tim Berners-Lee, que pensaba que toda interacción debía limitarse a elegir un enlace u otro.

De la petición a la sesión
 
Sin embargo, el trabajo por el Lou pasará a la historia será por la invención de las cookies.
 
Recordemos que HTTP fue un protocolo creado para el intercambio de ficheros. No tiene estado, no tiene el concepto de sesión de trabajo, así que, cada vez que una máquina se conecta con otra para solicitar un fichero es como si fuera la primera vez: petición y respuesta, punto.
 
Esto limitaba enormemente los servicios que podían proporcionarse a través de la web. Quizás el más obvio y, desde luego, el que más dinero podía generar era el «carrito de la compra» virtual.
 
La compañía de telecomunicaciones MCI encargó a Netscape que desarrollara una aplicación de e-commerce, y como requisito exigió que el estado de las transacciones de compra no completadas no se almacenara en el servidor sino en el navegador de cada usuario.
 
Montulli y John Giannandrea empezaron a trabajar en posibles soluciones en el verano de 1994. La primera aproximación fue asignar un ID único a cada navegador que permitiera identificarlo inequívocamente a lo largo de varias peticiones, pero eso presentaba evidentes problemas de privacidad.
 
Tras descartar esa propuesta, Lou recordó un viejo truco para pasar un token —un pequeño fragmento de información sin significado por sí misma, pero que podía usarse para diferenciar al programa o usuario que la enviaba— en cada comunicación entre diferentes aplicaciones de un sistema operativo. En la documentación de C, a ese token se le denominaba «magic cookie».
 
Inspirado por esas magic cookies, Lou esbozó una solución en apenas una semana: la posibilidad de acompañar cada petición/respuesta con metadatos escritos como una serie de pares de claves y valores (ej. userID=pepito o sessionID=728) hasta un máximo de 4KB de información, que se almacenaban como un fichero de texto en el navegador del usuario y que solo podía ser leída por el mismo y la web que los creara.
 
Sí, nada más que un simple fichero de texto, no una sofisticadísima tecnología de seguimiento que hackea nuestros ordenadores.
 
Cuando te identificabas en un sitio, este podía mandarte esos metadatos en la respuesta, que se almacenarían en tu ordenador y viajarían de nuevo en tus siguientes peticiones —de forma transparente para ti— para que no tuvieras que volver a hacerlo una y otra vez, pero ninguna otra web podría leerlos. Habían nacido las cookies.
 
La versión 0.9beta de Netscape, lanzada el 13 de octubre de 1994, fue el primer navegador que soportó cookies. El primer uso público de las mismas fue comprobar si los visitantes de la web de Netscape ya habían visitado previamente el sitio. Hasta ese momento, era imposible saberlo.
 
Por motivos obvios, el mercado recibió a las cookies con los brazos abiertos, incluida la competencia de Netscape. La versión 2 de Internet Explorer, lanzada en octubre de 1995, ya incluía soporte para las mismas.

El caso de uso que Montulli nunca imaginó
 
Como otros muchos avances tecnológicos, el uso de las cookies fue mucho más allá que lo que su inventor había previsto y, entre otras cosas, permitió la creación del mayor mercado publicitario del mundo.
 
El diseño de Montulli solo concebía una relación 1-1 entre el usuario y la web que creaba la cookie, pero no había contemplado una casuística que hacía que el mismo saltara por los aires.
 
Cuando haces una petición de una página HTML (por ejemplo, wikipedia.org) esta puede contener rutas a imágenes, que no dejan de ser otros ficheros que también hay que obtener. El navegador identifica todos esos ficheros necesarios para representar la información completa de la página y los solicita de forma transparente para el usuario. En el caso concreto de la Wikipedia, cada vez que se pide el fichero con la portada de la misma, se generan 48 peticiones desde nuestro navegador.
 
El problema es que esos ficheros —cuya ruta no deja de ser un hiperenlace— puede estar en otro servidor… que puede responder a la petición con sus propias cookies.
 
Apenas un año después del lanzamiento de las cookies, la agencia de publicidad online DoubleClick descubrió que podía usar esos ficheros de imágenes para hacer exactamente el tipo de seguimiento de usuarios que Montulli había tratado de evitar.
 
Cuando un usuario visitaba una web, podía recibir cookies de la misma, pero también otra de un tercero que suministrara un banner publicitario o —peor aún— una imagen transparente de 1 pixel de ancho y otro de alto, insertada en la página con el único fin de hacer seguimiento del usuario. Si todas las webs implementaban el mismo servidor de anuncios —que, evidentemente, podía leer sus propias cookies— de repente era posible rastrear a los usuarios mientras navegaban por las mismas.
 
Al principio, lo que se pretendía con esas cookies era que los anunciantes pudieran saber cuántos visitantes únicos tenía una web, pero pronto se dieron cuenta que también podían saber por dónde habían navegado porque, en Internet, cada petición incluye el origen de la misma, si la ha hecho directamente el usuario… o una página en concreto. BOOM.
 
El grupo de trabajo de la IETF —la organización responsable de la definición de estándares en Internet— que estaba diseñando una especificación para las cookies y del que formaba parte el propio Montulli, se dio cuenta del potencial problema y publicó en febrero de 1997 la RFC 2109 en la que recomendaba que las cookies de terceros no se permitieran o, por lo menos, no estuvieran habilitadas por defecto. Para aquel entonces, las compañías publicitarias ya estaban usando las cookies y, para sorpresa de nadie, ni Netscape ni Explorer siguieron estas recomendaciones.
 
Esto es lo más relevante a la hora de entender cómo funcionan las cookies. Su diseño es seguro, otra cosa es el uso que se haga de las mismas. Porque para poder emplearlas para registrar la actividad de los usuarios se requiere la colaboración necesaria de un montón de empresas, no la siniestra intervención de hackers malignos.
 
En 2007, Google compró DoubleClick. El resto es historia.
 
Un mundo post-cookies
 
Las cookies se han visto sujetas a diversas regulaciones internacionales que han intentado proteger la privacidad de los usuarios con mejor o peor fortuna, pero las cookies nunca fueron el problema, sino el uso que se ha hecho de las mismas. Entre otros, por los mismos medios de comunicación que se han encargado de demonizarlas en el imaginario colectivo.
 
Para acabar con esa falsa concepción, lo primero que el público general debería conocer y asumir es que, actualmente, no hace falta ninguna cookie para identificarnos inequívocamente con un altísimo margen de seguridad. Porque cuando hacemos una petición, la misma no solo incluye el fichero que estamos pidiendo o los datos de las cookies que el sitio ya haya guardado en nuestro navegador sino un montón de metadatos más que —en teoría— deberían servir para que el sitio pudiera darnos la mejor respuesta: qué navegador y qué versión del mismo usamos, la resolución de nuestra pantalla, nuestro sistema operativo, las fuentes tipográficas y plugins que tenemos instalados, la zona horaria y el lenguaje que tenemos configurado y muchas, MUCHAS más.
 
El problema es que la combinación de todos esos parámetros puede constituir una «huella» única que nos identifique por mucha cookie que bloqueemos. Podemos comprobar hasta qué punto en esta página, que nos dice si nuestra huella coincide con la de alguien más.
 
En cualquier caso, ante su mala prensa, las empresas tecnológicas que más se han lucrado con el uso de las mismas para registrar la navegación de los usuarios, han anunciado a bombo y platillo que van a dejar de usar cookies.
 
La mismísima Google ha anunciado sus planes para bloquear por defecto las cookies de terceros en Chrome —lo mismo que se recomendaba en la RFC 2109, pero con 27 años de retraso— y la última versión de su herramienta de analítica de usuarios, que cuenta con casi un 80% de cuota de mercado, puede funcionar sin cookies.
 
Eso sí, para hacerlo, el sitio debe asignar un ID único al usuario —justo lo que no quería Montulli— y mandárselo a Google desde su servidor… o enviarle datos registrados en sus propias cookies desde el navegador del usuario. La enésima prueba de que el problema nunca fueron las cookies sino la colaboración necesaria entre las webs y las empresas publicitarias.
 
También que nuestros políticos legislan «a cañonazos», con regulaciones que imponen soluciones tan inútiles como incomodas para los usuarios y costosas para las empresas que desarrollan servicios online que ni siquiera viven de la publicidad.
 
Si de verdad quieren proteger nuestra privacidad, en vez de obligarnos a tragarnos zillones de anuncios sobre el empleo de cookies en los servicios online que usamos, en vez de trasladar ese control a nivel de aplicaciones, las autoridades deberían centrarse en comprobar que las especificaciones y estándares de la web incluyen medidas necesarias para salvaguardar nuestros derechos y que los navegadores las cumplen estrictamente.
 
En eso y en alfabetizar digitalmente a la ciudadanía. Una newsletter de 2.000 palabras no sería más que una charla de 15 minutos en colegios, institutos, universidades y centros cívicos. ¿Qué pasaría si cada uno de los que han llegado a leer hasta aquí diera una?