Eliminamos la cookie __cfduid. A partir del 10 de mayo de 2021, dejaremos de incorporar el encabezado "Set-Cookie" en las respuestas HTTP. Las últimas cookies __cfduid caducarán 30 días después de esa fecha.
Nunca utilizamos la cookie __cfduid con una finalidad distinta de la de ofrecer servicios críticos de rendimiento y seguridad en nombre de nuestros clientes. No obstante, debemos admitir que el uso de "uid" en el nombre de la cookie parecía una especie de identificación de usuario, pero no era así. Cloudflare nunca rastrea a los usuarios finales por los sitios web ni vende sus datos personales. Sin embargo, no queremos que haya dudas sobre el uso de nuestras cookies ni que ningún cliente piense que necesita un banner de cookies por lo que hacemos.
Entonces, ¿por qué usamos la cookie __cfduid y por qué podemos eliminarla ahora?
El uso principal de la cookie es detectar bots en la web. Los bots maliciosos pueden interrumpir un servicio que ha solicitado expresamente un usuario final (mediante ataques DDoS) o comprometer la seguridad de la cuenta de un usuario (por ejemplo, mediante ataques de fuerza bruta, como el descifrado de contraseñas o el relleno de credenciales, entre otros). Utilizamos muchas señales para diseñar modelos de aprendizaje automático que pueden detectar el tráfico automatizado de bots. La existencia y vigencia de la cookie __cfduid era sólo una de ellas. Por lo tanto, para aquellos clientes se benefician de nuestros productos de gestión de bots, la cookie __cfduid es una herramienta que les permite ofrecer un servicio solicitado expresamente por el usuario final.
El valor de la cookie __cfduid se deriva de la función hash unidireccional MD5 de la dirección IP de la cookie, la fecha/hora, el agente de usuario, el nombre de host y el sitio web de referencia, lo que significa que no podemos vincular una cookie a una persona específica. Aún así, como una compañía que prioriza la privacidad, nos hicimos la siguiente pregunta: ¿Podemos encontrar una manera mejor de detectar bots prescindiendo de la recopilación de las direcciones IP de los usuarios finales?
En las últimas semanas hemos estado haciendo pruebas para ver si es posible ejecutar nuestros algoritmos de detección de bots sin usar esta cookie y hemos descubierto que sí, que podremos dejar de usarla para este fin. Queremos avisar a nuestros clientes de la eliminación de la cookie para darles un periodo de transición, mientras que nuestro equipo de gestión de bots trabaja para asegurar que no haya una degradación en la calidad de nuestros algoritmos de detección de bots después de eliminar la cookie. (Hay que destacar que algunos clientes que tengan contratado nuestro servicio Bot Management tendrán que seguir usando una cookie diferente a partir del 1 de abril.)
Aunque es un pequeño cambio, nos entusiasma la posibilidad de facilitar, acelerar y a la vez aumentar la privacidad de la web.