Rastreadores de terceros - Docs de MetricSpot

Q: ¿Las fuentes son rastreadores de verdad?

Sí, cuando las sirve un CDN de terceros. fonts.googleapis.com registra la IP del solicitante. Un tribunal regional de Múnich multó al propietario de un sitio con 100 € en 2022 específicamente por incrustar Google Fonts sin consentimiento (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Autohospeda tus fuentes y el problema desaparece.

Qué comprueba esta verificación

Registra cada petición de red hecha al renderizar la página, las agrupa por dominio registrable e informa del recuento de hosts únicos de terceros que envían JavaScript, píxeles, beacons o iframes de tracking. Los dominios propios (tú y tus subdominios) se excluyen. Los CDNs que sirven tus propios assets (cdn.tudominio.com) se excluyen. Las fuentes y la analítica que coinciden con firmas conocidas de rastreadores sí se incluyen.

Sospechosos habituales que aparecen en la lista:

Tag managers: googletagmanager.com
Analítica: google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
Ad tech: doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
Session replay / heatmaps: hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
Widgets de soporte: intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
Fuentes y SDKs: fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (cuando no es tu propia tienda)

Tres o menos es una base sana. Por encima de siete, eres un sitio de marketing típico — y tienes trabajo de GDPR pendiente de verdad.

Por qué importa

Cada dominio de terceros en tu página son tres problemas a la vez.

Un salto de privacidad que tienes que divulgar. Bajo el Artículo 13 del RGPD y la Directiva ePrivacy, cada destinatario de terceros no esencial de datos personales tiene que estar nombrado en tu política de privacidad y consentido antes de que su script dispare. La CNIL ha multado a sitios específicamente por sub-divulgar la lista de destinatarios.
Un impuesto de rendimiento que no controlas del todo. El informe third-party-web del HTTP Archive muestra consistentemente que ad-tech, tag managers y widgets de chat son los terceros más lentos de la web — empujando habitualmente el Largest Contentful Paint por encima de 4 segundos y el Interaction to Next Paint a la banda de fallo. Cada script que no envías es un impuesto que no pagas.
Una superficie de consentimiento que se rompe fácil. Si aunque sea un solo script de tu tag manager dispara antes del consentimiento — porque está hardcodeado fuera del gate de consentimiento, o porque el listener de consentimiento carga tarde — estás en infracción por muy bueno que sea tu banner de consentimiento de cookies.

Seis rastreadores es aproximadamente la mediana para un sitio de contenido. Doce a veinte es normal para un e-commerce o sitio de marketing SaaS. Cuarenta y pico aparece en sitios de noticias con anuncios programáticos — y es también donde caen la mayoría de las multas de RGPD.

Cómo arreglarlo

Inventaría lo que tienes. Abre la página en Chrome DevTools → pestaña Network → filtra por dominio. Agrupa las peticiones de terceros por dominio registrable y pregúntate, por cada uno: “¿esto sigue mereciendo la pena?”.

# Auditoría rápida por línea de comandos usando curl + un parser
curl -s https://yourdomain.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Lanza una auditoría de Lighthouse (DevTools → Lighthouse → Generar informe) — el diagnóstico “Reduce el impacto del código de terceros” lista cada dominio con su tiempo de bloqueo.

Quita lo que no necesitas. Las victorias más habituales:

Quita Google Tag Manager y mete GA4 directamente. GTM es una costumbre, no un requisito. Si sólo gestionas GA + uno o dos píxeles, mete gtag.js directamente y borra el container de GTM.
Autohospeda las fuentes. fonts.googleapis.com es un rastreador bajo RGPD (un tribunal alemán lo sentenció así en 2022). Descarga los WOFF2, sírvelos desde tu propio origen y elimina la URL de Google Fonts.
Reemplaza el chat de terceros por email. Los widgets de Intercom, Drift y Zendesk pesan 100-300 KB cada uno y hacen requests de heartbeat continuos. Un mailto: no.
Quita los píxeles muertos. Los equipos de marketing añaden píxeles para campañas y se olvidan de quitarlos. Audita la edad de cada píxel y quita lo que sea más viejo que tu ciclo de campañas típico.

Mete tras consentimiento lo que tengas que mantener. Cada rastreador no esencial restante tiene que cargar sólo después de que el usuario otorgue consentimiento en tu banner. Usa Google Consent Mode v2 + IAB TCF v2.2 o el equivalente para tu stack. Mira Banner de consentimiento de cookies.

Carga los widgets de soporte de forma diferida. No envíes Intercom en cada página. Cárgalo sólo cuando el usuario pulse un botón “Chat con nosotros”:

<button id="open-chat">Chat with us</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/YOUR_APP_ID';
    document.head.appendChild(s);
  });
</script>

Mueve la analítica al servidor. Herramientas como Plausible, Fathom o un Matomo autohospedado eliminan el rastreador client-side por completo. GTM server-side mueve el stack de Google a tu propio dominio (sigue siendo GA, sigue siendo trackeable, pero sólo un dominio de terceros en el panel de red).

Audita dependencias, no sólo tu código. Un plugin de WordPress o una app de Shopify pueden meter en silencio tres o cuatro rastreadores sin que te enteres. Después de cada instalación de plugin, vuelve a lanzar la auditoría.

Preguntas frecuentes

¿Cuántos son demasiados?

Depende del tipo de sitio. Un sitio de marketing SaaS puede vivir con 4-6: GA4 + GTM + un píxel publicitario + Stripe + tu CDN. Un sitio de contenido monetizado con anuncios programáticos tendrá 20+ y no hay forma de evitarlo — pero esos sitios también necesitan tubería de banner de consentimiento de cookies impecable. El número en sí no es el problema; las obligaciones de consentimiento y divulgación que vienen con él, sí.

¿Las fuentes son rastreadores de verdad?

Sí, cuando las sirve un CDN de terceros. fonts.googleapis.com registra la IP del solicitante. Un tribunal regional de Múnich multó al propietario de un sitio con 100 € en 2022 específicamente por incrustar Google Fonts sin consentimiento (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Autohospeda tus fuentes y el problema desaparece.

¿Quitar rastreadores perjudica a mi analítica?

Quitar rastreadores duplicados no — la mayoría de los sitios tiene dos herramientas de analítica que difieren un 30 % por pérdida de consentimiento de todas formas. Quitar un rastreador que sí usas obviamente cortará el flujo de datos; en ese caso, reemplázalo por un equivalente respetuoso con la privacidad (Plausible, Fathom, Matomo autohospedado) en vez de simplemente borrarlo.