Has instalado un banner de cookies en tu sitio y crees estar en regla. Por desgracia, un banner que muestra un botón “Aceptar” no basta. Debe bloquear realmente los scripts de terceros mientras el usuario no haya dado su consentimiento. Y ahí es donde la mayoría de soluciones gratuitas — e incluso algunas de pago — fallan.
En 2026, un sitio medio carga entre 20 y 40 scripts de terceros: analítica, publicidad, chat, embeds de vídeo, mapas de calor, herramientas de marketing. Si tu banner deja pasar aunque sea unos pocos antes del consentimiento, incumples el artículo 22 de la LSSI y, potencialmente, el RGPD. La AEPD ha sancionado a decenas de empresas por este motivo entre 2020 y 2025, al igual que la CNIL francesa, que ha sancionado a más de 150 empresas por el mismo motivo en el mismo periodo.
Este artículo recopila los 37 rastreadores más comúnmente olvidados por los banners gratuitos, explica cómo verificar tu configuración actual y compara los enfoques técnicos de las principales soluciones del mercado.
Probar tu sitio gratis en 10 segundos →
¿Por qué 37 servicios? La lista de 2026
Hemos auditado los cien sitios más visitados y elaborado la lista de servicios de terceros que plantean problemas sistemáticos de conformidad RGPD. El resultado: 37 servicios que todo banner de cookies serio debe detectar y bloquear por defecto.
Analítica y mapas de calor (14 servicios)
| Servicio | Editor | ¿Cookie sin consentimiento? |
|---|---|---|
| Google Analytics 4 | ❌ Ilegal | |
| Google Tag Manager | ❌ Ilegal (si dispara etiquetas no consentidas) | |
| Hotjar | Contentsquare | ❌ Ilegal |
| Microsoft Clarity | Microsoft | ❌ Ilegal |
| Matomo (autoalojado) | Matomo | ⚠️ Exento si está configurado en modo sin cookies |
| Plausible | Plausible | ✅ Exento (sin cookies) |
| Mixpanel | Mixpanel | ❌ Ilegal |
| Segment | Twilio | ❌ Ilegal (depende de los destinos) |
| Amplitude | Amplitude | ❌ Ilegal |
| Heap | Heap | ❌ Ilegal |
| FullStory | FullStory | ❌ Ilegal |
| LogRocket | LogRocket | ❌ Ilegal |
| Pendo | Pendo | ❌ Ilegal |
| Smartlook | Smartlook | ❌ Ilegal |
A tener en cuenta: solo Plausible y Matomo en modo sin cookies pueden cargarse sin consentimiento. Todos los demás requieren un opt-in activo.
Publicidad y marketing social (12 servicios)
| Servicio | Editor | ¿Cookie sin consentimiento? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Ilegal |
| TikTok Pixel | TikTok | ❌ Ilegal |
| Google Ads | ❌ Ilegal | |
| LinkedIn Insight Tag | Microsoft | ❌ Ilegal |
| Pinterest Tag | ❌ Ilegal | |
| Twitter/X Pixel | X | ❌ Ilegal |
| Snapchat Pixel | Snap | ❌ Ilegal |
| Reddit Pixel | ❌ Ilegal | |
| Quora Pixel | Quora | ❌ Ilegal |
| Outbrain | Outbrain | ❌ Ilegal |
| Taboola | Taboola | ❌ Ilegal |
| Marketo | Adobe | ❌ Ilegal |
Un Meta Pixel cargado sin consentimiento es una de las infracciones más sancionadas por las autoridades europeas. La CNIL francesa ha publicado varias decisiones entre 2023 y 2025 por este motivo y la AEPD ha seguido una línea similar.
Embeds de vídeo y mapas (3 servicios)
| Servicio | Editor | ¿Cookie sin consentimiento? |
|---|---|---|
| YouTube | ❌ Ilegal (salvo modo youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Ilegal |
| Google Maps | ❌ Ilegal |
Muchos sitios incrustan un vídeo de YouTube en su página de inicio sin darse cuenta de que el iframe de YouTube carga una treintena de cookies antes incluso de que el usuario pulse Play. Un banner conforme debe sustituir el iframe por una pantalla de espera (consent wall) hasta el consentimiento.
Chat y atención al cliente (7 servicios)
| Servicio | Editor | ¿Cookie sin consentimiento? |
|---|---|---|
| Intercom | Intercom | ❌ Ilegal |
| Crisp | Crisp | ❌ Ilegal |
| Tawk.to | Tawk | ❌ Ilegal |
| Zendesk Messaging | Zendesk | ❌ Ilegal |
| Drift | Drift | ❌ Ilegal |
| Olark | Olark | ❌ Ilegal |
| HubSpot | HubSpot | ❌ Ilegal |
Los chats de soporte plantean un problema particular: se perciben como “funcionales” por los webmasters, cuando en realidad recogen datos de identificación, localización y navegación — y, por tanto, están sujetos a consentimiento.
Exención estricta (1 servicio)
Un solo servicio escapa al consentimiento: Stripe para las cookies estrictamente necesarias para la seguridad del pago (antifraude). Incluso allí, solo las cookies de sesión de seguridad están exentas, no las cookies de marketing asociadas.
La comparativa de banners de cookies (abril de 2026)
Antes de instalar un banner, comprueba objetivamente qué cubre. He aquí una comparativa de las soluciones más habituales, según criterios técnicos y verificables.
| Criterio | WebLegal CCB | Banner gratuito típico | Solución comercial (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Precio | Gratis, sin límite de sitio ni de páginas | Gratis pero a menudo limitado (1 dominio, < 100 páginas, marca de agua) | De pago desde el primer sitio serio o limitado a 1 dominio |
| Rastreadores detectados por defecto | 37 servicios + regex extensibles | 5 a 15 en general | 20 a 30 |
| Idiomas mantenidos | 14 idiomas UE + 16 fallbacks | 1 a 3 (inglés + 2 más) | 10 a 50 según el plan |
| Consent Mode v2 de Google | 7 señales de 7 (incluida security_storage) | A menudo incompleto (3 a 5 señales) | 7 de 7 en versión de pago |
| Pantalla de sustitución (consent wall) para embeds | 9 embeds localizados (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Rara, a menudo ausente | Parcial, depende del plan |
| Peso del script | 40 KB sin minificar (~12 KB gzip) | 30 a 60 KB | 80 a 300 KB (OneTrust: 300+ KB) |
| Código abierto / auditable | ✅ Código legible, sin minificar por diseño | Variable | Raramente (ofuscado, minificado) |
| Detección automática de CMP existente | ✅ 36 CMP reconocidos (para escáner anticonflicto) | No | Parcial |
| Alojamiento de terceros (RGPD) | Script servido desde weblegal.ai (EEE) | Variable (a menudo CDN de EE. UU.) | A menudo CDN de EE. UU. (transferencia fuera de la UE a declarar) |
Puntos distintivos de WebLegal CCB:
- El más ligero del mercado entre las soluciones completas. Un script de 40 KB (12 KB gzip) frente a 80 a 300 KB de las alternativas. Menos latencia, mejor puntuación Core Web Vitals, impacto SEO positivo.
- Sin minificar de forma deliberada. El código es legible por un desarrollador, un DPD o un experto de la AEPD. Es un argumento de transparencia y de conformidad: puedes justificar exactamente qué hace el banner en tu sitio.
- Localización real de las pantallas de sustitución. Cuando un usuario alemán encuentra un vídeo de YouTube bloqueado, la pantalla de espera está en alemán, no en inglés por defecto. Misma lógica para Vimeo, Spotify, Instagram, TikTok, etc.
- Consent Mode v2 completo desde abril de 2026. Las 7 señales de Google se emiten desde la primera carga y se actualizan tras el consentimiento. Cero pérdida de conversiones de Google Ads por una señal que falte.
Cómo probar tu banner actual
Antes de cambiar de solución, prueba lo que hace realmente tu banner hoy. Dos métodos prácticos:
Método 1 — Escáner automático (30 segundos)
Introduce tu URL en nuestro escáner de conformidad. Analiza tu página en un navegador headless, detecta las cookies puestas antes de pulsar “Aceptar” y lista los servicios cargados sin consentimiento. Resultado en 10 segundos, sin registro.
Método 2 — DevTools de Chrome (5 minutos)
- Abre tu sitio en modo navegación privada
- F12 → pestaña Application → Cookies (antes de cualquier interacción)
- Observa las cookies ya puestas: si ves algo distinto de tus propias cookies de sesión +
wl_cc_consent(o equivalente), tienes un problema - Pestaña Network, filtro
XHR/Fetch→ mira las peticiones agoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: cualquier petición antes de hacer clic es una infracción
Método 3 — Extensión dedicada
La extensión de Chrome CMP Verifier (gratuita) simula un visitante que ha rechazado y luego aceptado, y te dice si se han respetado las reglas de consentimiento. Muy útil para documentar la conformidad ante tu DPD.
Los cuatro errores más frecuentes
Error 1 — El banner se muestra pero no bloquea nada
Es el error más extendido con los plugins gratuitos de WordPress “banner en 1 clic”. El plugin muestra el banner, registra el consentimiento… pero no toca los scripts. Google Analytics sigue cargándose. Resultado: has hecho el esfuerzo del banner sin ningún beneficio jurídico.
Cómo verificarlo: aplica el Método 2 anterior. Si ves cookies _ga o _fbp antes de hacer clic, está confirmado.
Error 2 — Los embeds de YouTube/Vimeo se cargan igualmente
Aunque tu banner bloquee Google Analytics, a menudo deja pasar los iframes <iframe src="https://www.youtube.com/embed/..."> incrustados directamente en tus páginas. Cada uno carga de 20 a 30 cookies de Google.
Solución: el banner debe sustituir dinámicamente el iframe por una pantalla de espera que diga “Este vídeo usa cookies. Acepta para verlo.” Es el consent wall — estándar en WebLegal CCB, opcional o ausente en muchos otros.
Error 3 — El modo “rechazar todo” no es equivalente a “aceptar todo”
Las autoridades europeas, entre ellas la AEPD y la CNIL, exigen desde 2021 que rechazar sea tan sencillo como aceptar. Si tu banner propone un gran botón verde “Aceptar todo” pero oculta “Rechazar” tras un enlace de texto a tres clics, estás fuera de la ley. Multas documentadas entre 2022 y 2025 por este motivo: decenas de decisiones públicas.
Error 4 — El banner bloquea a Googlebot
Algunos banners se muestran también a los robots de indexación, lo que puede interpretarse como un intersticial abusivo por Google y perjudicar tu SEO. Un banner moderno debe detectar los User-Agents conocidos (Googlebot, Bingbot, DuckDuckBot) y no perturbar su rastreo.
Estado en WebLegal CCB: funcionalidad en la hoja de ruta — véase nuestra hoja de ruta pública (issue #174).
Instalar WebLegal CCB en 2 minutos
Si tras leer decides migrar, este es el procedimiento:
- Ve a weblegal.ai/es/cookie-banner/
- Introduce el nombre de tu sitio y las categorías de cookies que utilizas
- Copia el snippet (una línea
<script src="...">) - Pégalo antes de cualquier otro script de terceros en la etiqueta
<head>de tu sitio - Prueba con el Método 1 anterior
Cero registro, cero tarjeta bancaria, cero límite de páginas o de dominios. El snippet es un script único de 40 KB alojado en weblegal.ai — tu sitio no carga nada más mientras el visitante no interactúe con el banner.
FAQ
¿Es suficiente mi banner gratuito de WordPress?
Probablemente no. La mayoría de plugins gratuitos muestran un banner pero no bloquean los scripts. Prueba con el Método 2 (DevTools) para salir de dudas. Si ves _ga, _fbp, _gcl_au o cookies .hotjar.com antes de hacer clic, incumples la normativa.
¿Puedo quedarme con “cookies estrictamente necesarias”?
Sí, siempre que no utilices efectivamente ningún rastreador analítico, publicitario o de chat de terceros. En concreto: nada de Google Analytics, Facebook Pixel, YouTube incrustado, Google Maps o Intercom. Un blog sin ninguna herramienta de marketing puede prescindir. Un e-commerce: jamás.
¿Son mejores los banners de pago?
No automáticamente. Un banner de pago ofrece en general más idiomas e interfaces de administración más pulidas, pero no necesariamente mejor calidad de bloqueo. El peso del script (a veces 200-300 KB con OneTrust) puede además perjudicar tu SEO vía Core Web Vitals.
¿Cómo demostrar la conformidad de mi banner ante la AEPD?
Guarda tres elementos:
- el código del script utilizado (o la URL pública como
https://weblegal.ai/js/wl-cookie-consent.js) - un escaneo periódico de tu propio sitio (captura de pantalla + informe)
- un registro del consentimiento — la prueba de que almacenas la elección del usuario
En WebLegal, el consentimiento se guarda en una cookie wl_cc_consent con fecha y categorías, cuyo formato está documentado públicamente.
¿Hay que mostrar el banner a visitantes fuera de la UE?
Sí por defecto. Es técnicamente posible restringir el banner a visitantes de la UE, pero no se recomienda:
- si un visitante fuera de la UE se autentica con una cuenta UE, debes respetar sus derechos
- existen ya normativas similares en el Reino Unido (UK GDPR), California (CCPA), Brasil (LGPD), y se extienden a otras jurisdicciones
- la coherencia UX es mejor con un banner universal
En resumen
La conformidad de un banner de cookies se resume en tres criterios técnicos:
- Debe detectar y bloquear de forma efectiva los 20 a 40 scripts de terceros habituales — no solo mostrar un banner.
- Debe implementar Consent Mode v2 completo (7 señales de Google) para preservar tus datos de marketing.
- Debe sustituir los embeds (YouTube, Vimeo, Maps, etc.) por pantallas de espera localizadas.
Un test de 10 segundos con nuestro escáner te dice en qué punto estás. Una migración a WebLegal CCB lleva 2 minutos, cuesta cero euros y cubre los 37 servicios listados aquí.