La controversia surge a partir de un post en el The Wall Street Journal, donde se afirmaba que Google Inc. junto a otras empresas de publicidad habían eludido las restricciones de privacidad de millones de personas, que utilizaban el navegador de Apple, Safari, tanto en sus equipos como en dispositivos iPhone, para hacer un seguimiento de sus hábitos de navegación.

El navegador web Safari, por defecto, impide que cookies de terceros sean instaladas en el equipo del usuario. Esto implica que el navegador no acepte cookies que provengan de dominios que difieran del dominio principal, que se está visitando (el indicado en la propia URL). Dicha implementación de privacidad tiene por objetivo impedir que compañías diferentes al dominio principal hagan un seguimiento de los hábitos de navegación del usuario por medio de cookies.

Para evadir este sistema de privacidad, Google utilizó un "exploit" (entendiéndolo en este contexto como cierto truco para saltarse el sistema de privacidad del navegador) publicado en 2010 por el desarrollador web Anant Garg, gracias al cual, el navegador Safari sería capaz de aceptar cookies de dominios provenientes de terceros por medio de Javascript. La idea de este "exploit", es utilizar un iframe invisible dentro del dominio principal visitado por el usuario, a través del cual, conocería si el usuario está utilizando Safari como navegador Web. En ese caso, el navegador enviará una petición POST, automáticamente y de forma transparente al usuario por medio de un formulario (véase en la imagen). De esta forma, el navegador se comportaría como si dicha acción se hubiera llevado a cabo intencionadamente por parte del usuario, permitiendo a Safari almacenar la cookie de Google en el equipo. Para entender en mayor profundidad el proceso de cookie syncing puede consultar el post técnico de Jonathan Mayer , Safari Trackers.

Imagen extraída de http://online.wsj.com/

Tras la publicación en el Wall Street Journal de esta información, Google cesó esta práctica y alegó que el uso de dicha técnica tenía por objetivo proporcionar y facilitar ciertas funcionalidades a usuarios que utilizan los servicios de Google y que en ningún momento, dichas cookies, tenian por objetivo recopilar información personal de los mismos. Dicha técnica, también implementada por empresas como Facebook, permiten que el usuario no tenga que autenticarse de forma constante para acceder a ciertas funcionalidades como el botón +1 en los Ads de Google o el bien conocido botón "Me Gusta" de Facebook.

Por otro lado, y solo unos días despues de la publicación del WSJ, Microsoft afirmaba que Google estaba utilizando técnicas similares para eludir la configuración de privacidad de Internet Explorer y que estaba haciendo un mal uso del estándar WC3's P3P en sus cookies para evitar que fueran bloqueadas. La falta de compatibilidad y usabilidad del P3P con la tecnología web actual fueron los argumentos empleados por Google para justificar tales acciones.

Independientemente de las pretensiones de Google resulta delicado justificar el uso de técnicas que eludan los mecanismos de privacidad del navegador, incluso si tales acciones tienen como objetivo final facilitar los servicios de la compañia al usuario. Puesto que no solo Google, si no gran cantidad de compañias utilizan este tipo de técnicas (las cuales son totalmente transparentes al usuario) bien para conocer los hábitos de navegación del usuario, ofrecerle publicidad personificada, o llevar a cabo cualquier otro tipo de tracking del mismo, es recomendable utilizar herramientas de apoyo que filtren o al menos informen del envio de cookies por parte de terceros a nuestro navegador. Ejemplo de ello son el bien conocido NoScript, el cual nos protege frente a código JavaScript, o el plugin "Do Not Track Plus", disponible para los navegador Chrome, Firefox, Safari e Internet Explorer y gracias al cual podremos conocer y bloquear todos los intentos de rastreo por parte de empresas externas.

Las implicaciones que conlleva este tipo de acciones sobre la privacidad de los usuarios, son precisamente las que ha impulsado la creación de una Consumer Privacy bill of Right o "Ley de los Derechos de Privacidad de los usuarios" por parte del gobierno americano y a la que ya han mostrado su compromiso empresas como Google, Yahoo o Microsoft. La idea de esta ley es establecer un marco estandarizado de buenas intenciones que garantice el control, la seguridad y la transparencia sobre la privacidad y los datos personales de los usuarios.