Introducció

En navegar per qualsevol web actual, especialment a Europa, l'usuari es troba gairebé sempre amb la mateixa escena: una finestra emergent que demana acceptar, rebutjar o configurar cookies. Aquest gest, aparentment trivial, s'ha convertit en una rutina mecànica.

Aquest fenomen rep el nom de cansament de clic: un esgotament cognitiu provocat per haver de prendre, una vegada i una altra, petites decisions que acaben sent automàtiques.

Què són realment les cookies?

Les cookies són petits fitxers de text que un lloc web desa al navegador de l'usuari. Serveixen per a múltiples finalitats:

• Mantenir sessions obertes
• Recordar preferències (idioma, configuració...)
• Analitzar l'ús del web
• Mostrar publicitat personalitzada

No totes les cookies tenen el mateix impacte sobre la privacitat.

Tipus de cookies més habituals

• Cookies tècniques. Necessàries perquè el web funcioni correctament.
• Cookies de preferències. Recorden opcions escollides per l'usuari.
• Cookies analítiques. Recullen dades estadístiques sobre la navegació.
• Cookies de publicitat o màrqueting. Permeten crear perfils de comportament amb finalitats comercials.

Explicació tècnica: què hi ha dins d'una cookie?

Des del punt de vista tècnic, una cookie és simplement un registre de dades que el servidor envia al navegador.

Exemple típic:

text user_id=abc123; expires=Wed, 15 Jan 2026 12:00:00 GMT; path=/; domain=exemple.com; Secure; HttpOnly; SameSite=Lax 

Camps principals

• nom=valor: la dada pròpiament dita
• expires / max-age: data de caducitat
• domain: domini al qual pertany
• path: rutes on s'envia
• Secure: només per HTTPS
• HttpOnly: inaccessible via JavaScript
• SameSite: control del seguiment entre llocs

Una cookie no és un programa ni pot executar codi: només emmagatzema dades.

On s'emmagatzemen les cookies?

Les cookies es desen en una carpeta de cada navegador de l'usuari, no al servidor.

Això implica que:

• Cada navegador gestiona les seves cookies
• Esborrar-les en un navegador no afecta els altres
• Un mateix web pot "no reconèixer" l'usuari segons el dispositiu

El problema real: el cansament de clic

El Reglament General de Protecció de Dades (RGPD) volia donar més control a l'usuari. Però en la pràctica, la repetició constant d'avisos ha produït un efecte contrari.

Quan tot requereix un clic, el clic deixa de ser conscient.

El consentiment es converteix en un acte reflex, no en una decisió informada.

Disseny persuasiu i patrons foscos

Molts avisos de cookies no són neutres:

• Botó "Acceptar" gran i destacat
• Opció "Rebutjar" amagada o amb més clics
• Llenguatge ambigu o excessivament tècnic
• Configuracions deliberadament complexes

Aquestes tècniques es coneixen com a patrons foscos (dark patterns).

Seguretat: una finestra de cookies pot enganyar?

La finestra de cookies no és una cookie, sinó codi HTML i JavaScript.

Això vol dir que:

• Pot semblar un avís legítim però no ser-ho
• Pot executar accions en clicar
• Pot carregar scripts abans del consentiment

Així hauria de ser un finestra de mangament de cookies

Pot instal·lar malware?

No:

• ❌ No pot instal·lar programes
• ❌ No pot accedir al sistema
• ❌ No pot llegir fitxers locals

Sí que pot:

• Activar seguiment avançat
• Executar scripts de tercers
• Explorar empremtes del navegador (fingerprinting)
• Redirigir l'usuari

El perill no és la cookie, sinó l'automatisme del clic.

Com protegir-se millor

Algunes bones pràctiques:

• Navegadors amb bloqueig de seguiment
• Bloquejadors de contingut
• Esborrar cookies periòdicament
• Desconfiar de finestres agressives
• Evitar clicar per inèrcia

Què és l'enverinament de cookies?

L'enverinament de cookies (cookie poisoning) és una tècnica mitjançant la qual un atacant manipula o crea cookies amb valors maliciosos per alterar el comportament d'una aplicació web. Això passa quan el servidor confia excessivament en la informació emmagatzemada a la cookie sense validar-la correctament.

Per exemple, si una aplicació utilitza una cookie per indicar el rol d'un usuari ("role=admin"), un atacant podria modificar manualment aquest valor i obtenir privilegis no autoritzats. Aquest tipus de vulnerabilitat està relacionat amb una mala gestió de sessions i una validació insuficient de dades.

Una explicació tècnica detallada es pot trobar a la documentació de l'OWASP.

Com ens podem defensar de l'enverinament de cookies?

Des del punt de vista de l'usuari, les mesures són limitades però útils:

• Navegar sempre amb HTTPS, que evita la manipulació de cookies en trànsit
• Utilitzar navegadors amb polítiques de seguretat estrictes (p.ex. Brave)
• Esborrar cookies periòdicament, especialment després d'usar serveis sensibles
• Evitar extensions desconegudes amb accés a dades de navegació.

Des del punt de vista del desenvolupament web (responsabilitat del servidor):

• No confiar mai en el contingut d'una cookie sense validar-lo
• No emmagatzemar dades sensibles o rols dins de cookies
• Utilitzar identificadors de sessió aleatoris
• Aplicar les marques "HttpOnly", "Secure" i "SameSite"
• Gestionar permisos i rols exclusivament al servidor

L'enverinament de cookies no explota el cansament de clic, sinó la confiança excessiva en dades que l'usuari pot modificar.

Cookies i memòria cau (caché): no és el mateix

Tot i que sovint es mencionen plegades i s’esborren des del mateix menú del navegador, les cookies i la memòria cau (caché) no són el mateix ni tenen la mateixa funció. Confondre-les és habitual, però és important distingir-les, especialment quan es parla de privacitat i seguretat.

A continuació es mostra una comparativa clara entre ambdós conceptes:

Memòria cau (caché)	Cookies
Emmagatzematge temporal de recursos web com pàgines HTML, imatges, vídeos o àudio	Petita peça de dades enviada per un lloc web i desada al navegador
Serveix per reduir la càrrega del servidor i accelerar la navegació	Serveix per desar informació sobre l’usuari
Conté recursos del web (fitxers estàtics)	Conté dades com preferències, identificadors o sessions
Es manté fins que l’usuari la buida manualment o el navegador la renova	Pot tenir una data de caducitat definida
Millora la velocitat de càrrega de les pàgines	Permet mantenir informació d’estat i recordar l’activitat de navegació
Té un impacte mínim sobre la privacitat	Té un impacte directe sobre la privacitat

Esborrar la memòria cau millora el rendiment o resol errors visuals, però no afecta el seguiment de l’usuari. Esborrar les cookies, en canvi, sí que té implicacions sobre la privacitat.

Com esborrar les cookies:

Per esborrar les cookies, cal anar a la configuració de privacitat de cada navegador i utilitzar l'opció de "Dades de navegació" o similar, marcant "Cookies i altres dades de llocs" i confirmant l'esborrat. A continuació tens els passos bàsics en els principals navegadors d'escriptori (Mac/Windows).

Google Chrome

• Obre Chrome.
• Fes clic als tres punts verticals (dalt a la dreta) → Configuració.
• Ves a Privadesa i seguretat → Esborra les dades de navegació.
• Tria l'interval de temps (per exemple, "Tot el temps").
• Marca Cookies i altres dades de llocs i, si vols, altres opcions.
• Clica Esborra les dades per confirmar.

Mozilla Firefox

• Obre Firefox.
• Fes clic al menú (tres ratlles) → Configuració.
• Ves a Privadesa i seguretat.
• A l'apartat Cookies i dades del lloc, prem Neteja les dades....
• Marca Cookies i dades del lloc i confirma amb Neteja.
• Opcionalment, pots activar Esborra les cookies i les dades del lloc quan es tanqui Firefox.

Microsoft Edge

• Obre Edge.
• Fes clic als tres punts → Configuració.
• Ves a Privadesa, cerca i serveis.
• A Esborra dades de navegació, prem Tria què vols esborrar.
• Tria l'interval de temps i marca Cookies i altres dades del lloc.
• Prem Esborra ara per eliminar les cookies.

Safari (Mac)

• Obre Safari al Mac.
• Al menú superior, selecciona Safari → Preferències/Configuració.
• Ves a la pestanya Privadesa.
• Prem Gestiona les dades dels llocs web....
• Prem Elimina-ho tot (o selecciona llocs concrets i Elimina) i després Fet.[6][7]

Opera

• Obre Opera.
• Fes clic a les tres ratlles (o ves a Configuració).
• Ves a Privadesa i seguretat → Esborra les dades de navegació.
• Marca Cookies i altres dades de llocs i tria l'interval de temps.
• Prem Esborra les dades per eliminar les cookies.

Brave i Chrome: són el mateix per netejar les cookies?

Brave està basat en Chromium, el mateix motor que utilitza Google Chrome, i per això el procediment per netejar les cookies és pràcticament idèntic en tots dos navegadors. El camí és el mateix: configuració, privadesa i esborrat de dades de navegació.

La diferència principal és que Brave incorpora mecanismes de protecció addicionals que bloquegen moltes cookies abans que es desin, especialment les de tercers. Això fa que, en la pràctica, Brave acumuli menys cookies i redueixi el seguiment per defecte, mentre que Chrome tendeix a permetre més rastrejadors si l’usuari no intervé manualment.

Esborrar cookies a Brave funciona igual que a Chrome, però Brave evita que moltes cookies arribin a existir.

Referències:

• Qué son las cookies y cómo mostrarlas en un sitio web (INCIBE)
• Clearing Your Browser Cache
• HTTP cookie
• Qué son las cookies de rastreo
• Com configurar la nostra privacitat als navegadors?

Utilitat:

• See how trackers view your browser

Videos:

• El Navegador más privado que puedes usar en 2025
• Cookie Stealing - Computerphile
• ¿Aceptas siempre las Cookies? Mira esto ANTES de volver a hacerlo

Podcasts:

• Aceptar cookies: qué hacen con tus datos (CARNE CRUDA #1503)