Legal Cookies
Metodologia

Metodologia de Analisis

Documentacion tecnica completa sobre como Legal Cookies analiza y clasifica cookies, almacenamiento local y requests de terceros.

Esta seccion documenta en detalle los procesos tecnicos que utiliza Legal Cookies para analizar sitios web. El objetivo es proporcionar transparencia total sobre nuestra metodologia, permitiendo a auditores, desarrolladores y profesionales de privacidad comprender exactamente que se detecta y como se clasifica.

Principios fundamentales

Nuestro sistema de analisis se basa en tres principios fundamentales que guian todas las decisiones tecnicas:

1. Simulacion realista

El analisis debe replicar exactamente la experiencia de un usuario nuevo que visita el sitio por primera vez. Esto significa:

  • Sin cookies previas: Cada analisis comienza con un navegador completamente limpio
  • Sin historial: No existe navegacion previa que pueda influir en el comportamiento del sitio
  • Sin consentimiento: El navegador no interactua con ningun banner de cookies
  • Contexto europeo: El analisis simula un usuario desde la Union Europea

2. Deteccion exhaustiva

Capturamos todos los mecanismos de almacenamiento y comunicacion que podrian implicar tratamiento de datos:

TecnologiaMetodo de deteccion
Cookies (JavaScript)page.cookies() de Puppeteer
Cookies (HttpOnly)Interceptacion CDP de headers Set-Cookie
localStorageExtraccion directa via JavaScript
sessionStorageExtraccion directa via JavaScript
Requests a tercerosInterceptor de red de Puppeteer
CMPsDeteccion hibrida (firmas + TCF API + heuristica)

3. Clasificacion objetiva

La clasificacion se basa en criterios normalizados y reproducibles:

  • Primero consultamos una base de datos de +500 cookies conocidas
  • Para elementos desconocidos, utilizamos IA con prompts especializados en normativa GDPR/ePrivacy
  • El resultado siempre incluye una referencia normativa (Art. 5.3 ePrivacy, RGPD, etc.)

Componentes del sistema

Motor de analisis

Puppeteer, CDP, contextos incognito y captura de datos

Sistema de clasificacion

Base de datos local, IA y categorias normativas

Algoritmo de puntuacion

Calculo del score 0-100 y zonas de veredicto

Server-side tagging

Deteccion de analytics proxied y GTM server-side

Flujo de analisis

El proceso completo de analisis sigue estos pasos en orden:

1. getBrowser()              → Obtiene instancia de Chromium
2. createBrowserContext()    → Crea contexto incognito aislado
3. createPage(context)       → Nueva pagina limpia
4. setupCDPSession()         → Activa interceptor de headers HTTP
5. setupRequestInterceptor() → Captura requests a terceros
6. navigateToUrl()           → Visita la URL objetivo
7. wait(10000)               → Espera 10s para scripts diferidos
8. extractAllCookies()       → Combina cookies JS + HttpOnly (ANTES)
9. extractStorage()          → localStorage + sessionStorage
10. getInterceptedRequests() → Requests a dominios externos
11. detectCMP()              → Deteccion hibrida de CMP
12. rejectCMP()              → Intenta rechazar consentimiento (si CMP)
13. extractAllCookies()      → Cookies DESPUES del rechazo
14. calculateBlocked()       → Compara antes/despues
15. screenshot()             → Captura visual del sitio
16. classifyItems()          → Clasificacion DB + IA
17. detectServerSideTagging()→ Heuristica SST
18. closeAnalysisContext()   → Limpia temporales automaticamente
19. createReport()           → Genera informe verificable

Duracion del analisis

El tiempo tipico de un analisis es de 20-40 segundos, distribuido aproximadamente asi:

FaseTiempo
Inicializacion del navegador2-5s
Navegacion y carga de pagina5-15s
Espera para scripts diferidos10s
Extraccion de datos1-2s
Clasificacion con IA2-5s
Generacion del informe1-2s

La espera de 10 segundos tras la carga inicial es intencional. Muchos scripts de analitica y marketing se cargan de forma diferida para no afectar al rendimiento percibido de la pagina. Esta espera nos permite capturar estos elementos que de otra forma pasarian desapercibidos.

Aislamiento entre analisis

Cada analisis se ejecuta en un contexto incognito completamente aislado. Esto garantiza:

  • Sin contaminacion: Las cookies de un analisis no afectan al siguiente
  • Limpieza automatica: Al cerrar el contexto, se eliminan todos los temporales (cache, cookies, storage, perfil de navegador)
  • Reproducibilidad: El mismo sitio analizado dos veces producira resultados consistentes (salvo cambios en el sitio)

Marco normativo aplicado

El sistema aplica las siguientes normas en la clasificacion:

NormativaAplicacion
Directiva ePrivacy 2002/58/CEArt. 5.3 - Requisito de consentimiento para almacenamiento
RGPD 2016/679Art. 6, 7 - Bases legales y condiciones del consentimiento
LOPDGDD 3/2018Art. 22.2 - Excepcion para analitica first-party propia
Jurisprudencia TJUEPlanet49, Orange Romania - Consentimiento activo

Limitaciones conocidas

El analisis automatizado tiene limitaciones inherentes. Conocerlas es esencial para interpretar correctamente los resultados.

LimitacionDescripcion
Una sola paginaSolo analizamos la URL proporcionada, otras paginas pueden comportarse diferente
Momento puntualEl analisis captura el estado en un instante, el sitio puede cambiar
Sin interaccion usuarioNo simulamos scroll, clicks ni formularios (excepto rechazo de CMP)
GeolocalizacionAnalizamos desde Europa, sitios con geo-targeting pueden variar
Cookies dinamicasAlgunas cookies solo aparecen tras interacciones especificas

Siguiente paso

Para profundizar en cada componente del sistema, continua con:

Verificar un informe por hash

Cómo validar la autenticidad de un informe de Legal Cookies mediante su código hash.

Motor de Analisis

Documentacion tecnica del motor de analisis basado en Puppeteer, Chrome DevTools Protocol y contextos incognito.

On this page

Principios fundamentales1. Simulacion realista2. Deteccion exhaustiva3. Clasificacion objetivaComponentes del sistemaFlujo de analisisDuracion del analisisAislamiento entre analisisMarco normativo aplicadoLimitaciones conocidasSiguiente paso