Guía de auditoría de CookieYes para agencias (2026)
Audite su instalación de CookieYes: revise GTM, Consent Mode v2, el flujo de rechazo, el alcance del plugin, el seguimiento posterior al rechazo y los paquetes de evidencia para informes a clientes.
Lukas Kontur · · 19 min de lectura
TL;DR - CookieYes es uno de los CMP más implantados en el ecosistema WordPress, con un banner certificado por Google, una capa gratuita generosa y soporte de IAB TCF en las capas Pro y Ultimate. Un autoescaneo desde cualquier CMP es un inventario operativo útil, pero no es el mismo artefacto que la evidencia independiente generada por un verificador externo. Esta guía explica cómo auditar en la práctica una instalación de CookieYes y cuándo basta con el autoescaneo.
Lo que CookieYes hace bien
CookieYes tiene una huella sólida en WordPress: es un CMP certificado por Google, su plugin de WordPress supera el millón de instalaciones activas y la empresa declara más de 1,5 millones de negocios en la plataforma. Para un sitio WordPress de cualquier tamaño, el plugin queda a unos pocos clics de un banner funcional, y la integración con WordPress es de las más completas de la categoría (tipos de contenido personalizados, plugins multilingües, constructores de páginas).
La capa gratuita es inusualmente generosa. 0 € / 0 $ / 0 £ al mes le aportan 5.000 páginas vistas mensuales y 100 páginas escaneadas en un dominio: suficiente para una instalación funcional en un sitio pequeño sin pagar nunca. La capa de pago más baja (Basic, 10 $/mes en visualización USD) eleva esa cifra a 100.000 páginas vistas mensuales y 600 páginas escaneadas. Google Consent Mode v2 está disponible en todos los niveles, incluido el nivel gratuito. La capa Pro (25 $/mes en visualización USD) añade IAB TCF, soporte de señal GPC, geosegmentación y escaneo programado mensual. La capa Ultimate (55 $/mes) elimina por completo el límite de páginas vistas.
Para un operador cuya necesidad principal es "mostrar un banner claro en un sitio WordPress, registrar el consentimiento y bloquear las etiquetas evidentes", CookieYes cumple su función, y eso es una fortaleza real del producto. Donde la cosa se complica es en la siguiente pregunta: ¿cómo sabe usted que realmente funciona en sesiones reales de usuarios, sobre todo en sitios que no son WordPress?
Problemas habituales de implementación de CookieYes que los autoescaneos pueden pasar por alto
Como cualquier escaneo automatizado, un escaneo de CookieYes sigue una ruta de escaneo y una ventana de observación acotadas. El script que se dispara cuando el rastreador visita su sitio no es necesariamente el mismo que el que se dispara cuando un usuario real entra desde una IP alemana un martes por la tarde. Cuatro patrones que vemos repetidamente en sitios protegidos por CookieYes y que aparecen en auditorías sobre usuarios reales:
1. Condiciones de carrera entre el gestor de etiquetas y Consent Mode. El problema más frecuente, y compartido con cualquier otro CMP del mercado. El fragmento de Google Tag Manager aparece codificado en línea por encima del cargador de CookieYes, de modo que GTM se inicializa (y cualquier etiqueta con consentimiento por defecto en granted se dispara) antes de que el bloqueador automático tenga ocasión de intervenir. O bien Consent Mode v2 está cableado con uno o varios de los cuatro parámetros configurados por defecto en 'granted' en lugar de 'denied', produciendo el mismo resultado sin el problema de orden de carga. La auditoría es sencilla: revise el orden de los scripts, revise los valores por defecto de Consent Mode y verifique luego la traza de red de la primera carga.
2. Límites de alcance del plugin de WordPress. CookieYes puede bloquear scripts y cookies no esenciales en los flujos típicos de plugins de WordPress, pero la propia guía del proveedor señala que los scripts o cookies creados fuera del control de CookieYes pueden requerir todavía un manejo manual. Lo vemos sobre todo en widgets de marketing pegados directamente en footer.php, en widgets de chat instalados con instrucciones del tipo "pegue este fragmento" y en formularios embebidos que cargan su propia analítica. Ahí es donde ayuda una auditoría a nivel de navegador: verifica la red real de la primera carga, no sólo la configuración del plugin.
3. Las instalaciones fuera de WordPress no disponen de las comodidades de integración del plugin de WordPress. CookieYes funciona en cualquier sitio capaz de incrustar una etiqueta de script, y el panel SaaS trata de forma idéntica los sitios Shopify, Wix, de pila personalizada y headless. El autobloqueo de cookies y el bloqueo de iframes están disponibles en todos los planes, pero la integración específica con temas de WordPress, la experiencia de administración nativa y las comodidades exclusivas del plugin son exclusivas de WordPress. En un sitio Shopify o Next.js usted obtiene el banner, el almacenamiento de consentimiento y el autobloqueo, pero las implementaciones de pila personalizada deberían verificarse igualmente script a script, porque las etiquetas pegadas directamente en archivos del tema o inyectadas por otras aplicaciones pueden quedar fuera de la ruta de consentimiento.
4. Scripts de marketing condicionales y disparados por comportamiento. Un grabador disparado por scroll, un widget de chat retardado, una rama de prueba A/B o una etiqueta inyectada dinámicamente pueden no ser ejercitados por una ruta de rastreador fija. Tráte estos como objetivos de verificación manual: reproduzca la acción del usuario, rechace el consentimiento, recargue y compruebe si la etiqueta sigue disparándose.
Lista de verificación paso a paso
Cada paso es algo que usted puede hacer en un navegador; un escáner externo le ahorra el trabajo manual.
- Abra el sitio en un perfil de navegador limpio, con las herramientas de desarrollador y el filtro de red en "third-party". Recargue. Cualquier cosa que se dispare antes de pulsar un botón del banner es candidata.
- Compruebe la posición del fragmento de GTM. Si el cargador de GTM está por encima del cargador de CookieYes en el código fuente de la página, el bloqueador automático está corriendo contra el gestor de etiquetas. En WordPress, verifique que la opción "cargar antes que otros scripts" del plugin esté habilitada.
- Verifique el estado por defecto de Consent Mode v2. Busque en la página renderizada
gtag('consent', 'default'. El argumento debe fijar los cuatro parámetros -analytics_storage,ad_storage,ad_user_data,ad_personalization- a'denied'. Si alguno aparece como'granted', esa es la mala configuración. - Pulse rechazar. Recargue. Revise la misma captura de red. Una instalación de CookieYes correctamente configurada no debería mostrar rastreadores de terceros en la red posterior al rechazo. Si Meta Pixel, LinkedIn Insight o Google Analytics siguen disparándose tras el rechazo, el estado de consentimiento no se está propagando.
- Pruebe la persistencia del consentimiento entre páginas. Pulse rechazar y navegue a una segunda página. El banner no debería reaparecer. Si lo hace - el patrón
consent_respawn-, el ámbito o la vida útil de la cookie son incorrectos, independientemente de lo que muestre el panel. - En WordPress, audite las inyecciones del tema y del constructor de páginas. Busque etiquetas de script codificadas a mano en
header.php,footer.phpy en cualquier bloque "HTML personalizado" del constructor de páginas. Estas eluden el autobloqueo del plugin. - Cambie la página a cada uno de sus idiomas activos. Compruebe que la declaración de cookies se traduce y que los rastreadores listados coinciden con el escaneo actual, no con el del trimestre pasado.
- Pruebe desde una IP no comunitaria. Algunas configuraciones de CookieYes geosegmentan el banner sólo a visitantes de la UE. Si usted atiende a usuarios en Suiza, Reino Unido o Brasil, verifique que el banner aparece como se espera.
- Compare la captura de red con la declaración de CookieYes. Cada servicio no esencial que coloque cookies o cada dominio de seguimiento que se dispare antes del consentimiento debería aparecer, clasificado, en la declaración. La divergencia entre el comportamiento real y los rastreadores declarados es un defecto frecuente.
- Guarde la captura de red como evidencia. Un archivo
.harcon marcas de tiempo es un registro de auditoría duradero: una evidencia más sólida que una captura de pantalla del panel.
Cuándo basta con CookieYes por sí solo
No recomendamos añadir auditoría externa a toda implantación de CookieYes. Para el siguiente perfil, el escáner integrado de CookieYes es suficiente y una segunda herramienta es sobrecarga:
- Un único sitio WordPress, uno o dos idiomas, un dominio.
- El plugin de WordPress de CookieYes (no el embed sólo SaaS) para obtener el autobloqueo y la inyección consciente del tema.
- Sin Google Tag Manager o, como mucho, una instalación sencilla de Google Analytics 4 a través de la inyección con consentimiento del plugin.
- Sin requisito de informes para clientes.
- Sin perfil de mayor escrutinio (poco tráfico, contenido B2C no sensible, sin reclamaciones previas).
Para este perfil, la capa gratuita o Basic de CookieYes cumple y cualquier herramienta adicional es un impuesto. La capa gratuita en particular (5.000 páginas vistas mensuales, 100 páginas escaneadas) es un punto de entrada funcional para muchos sitios pequeños reales.
Cuándo añadir auditoría independiente
El argumento a favor de la verificación externa escala con tres factores, y uno de ellos es más afilado para los usuarios de CookieYes que para la mayoría de CMP:
Cartera multi-CMS. Esta es la palanca más afilada. El plugin de WordPress de CookieYes es especialmente profundo en el lado WordPress; sobre Shopify, Wix, Next.js personalizado o comercio headless el mismo producto se ejecuta sin la integración específica con temas de WordPress ni la experiencia de administración nativa. Las agencias que mantienen una cartera de clientes sobre pilas heterogéneas se benefician de una capa de auditoría uniforme a la que le dé igual qué CMS opera el sitio. Un escáner externo produce el mismo paquete de evidencias para el sitio WordPress, la tienda Shopify y la página de aterrizaje de pila personalizada.
Complejidad de etiquetas de marketing. GTM, Meta Pixel, conversión de Google Ads, LinkedIn Insight, TikTok Pixel, etiquetado del lado del servidor: cada etiqueta adicional multiplica la superficie en la que un descuido de "default-granted" puede disparar rastreadores antes del consentimiento.
Perfil de mayor escrutinio. La implementación del consentimiento de cookies es un tema recurrente de escrutinio por parte de las DPA, de modo que para los operadores que atraerían la atención del regulador si llegara una reclamación - editores de gran tráfico, medios financiados por publicidad, servicios financieros, sanidad - un rastro de evidencias duradero y no proveniente del proveedor es materialmente distinto de una captura de pantalla del panel del proveedor.
Paquetes de evidencia para procurement. Los clientes empresariales en sectores regulados suelen solicitar evidencia técnica independiente como parte de la incorporación de proveedores. Un informe de escaneo externo cubre esa petición de un modo que una captura del panel de CookieYes no logra.
CookieYes frente a auditoría independiente
| Feature | CookieYes Free + paid tiers based on pageviews | GDPR Privacy Monitor Free + paid plans |
|---|---|---|
| Cookie scanner (self-scan) | ✓ | ✕ |
| Banner UI generator | ✓ | ✕ |
| WordPress plugin (1M+ installs) | ✓ | ✕ |
| Google-certified CMP | ✓ | ✕ |
| IAB TCF signaling | Pro tier+ | ✕ |
| Geo-targeting | Pro tier+ | ✕ |
| Free tier with real pageview budget | ✓ | Free + paid plans |
| Independent technical verification | ✕ | ✓ |
| Multi-CMS portfolio reports | ✕ | ✓ |
| Evidence pack for client deck / audit file | ✕ | ✓ |
CookieYes y GDPR Privacy Monitor son productos distintos al servicio de necesidades distintas. CookieYes genera y gestiona su experiencia de consentimiento, especialmente bien en WordPress; GDPR Privacy Monitor verifica que el resultado se comporta correctamente en producción, sea cual sea el CMS subyacente.
Una instalación limpia de CookieYes en un único sitio WordPress debería situarse, por lo general, en la franja de bajo riesgo. Una puntuación en torno a 40 suele significar que hay un problema práctico: por ejemplo, un rastreador que se dispara antes del consentimiento, un problema de persistencia tras el rechazo o una configuración de banner que requiere revisión.
Lance un escaneo independiente sobre el sitio que está auditando
Inicie un escaneo gratuito o vea un informe de muestra para comprobar cómo es una captura externa junto al panel de CookieYes.
Preguntas frecuentes
¿Es suficiente la capa gratuita de CookieYes para mi pequeño sitio WordPress?
Para un único sitio WordPress pequeño con menos de 5.000 páginas vistas mensuales, uno o dos idiomas, sin GTM, sin píxeles de marketing más allá de Google Analytics 4 y sin requisito de informes de agencia: sí, la capa gratuita es genuinamente suficiente. La capa gratuita de CookieYes es de las más generosas del mercado y constituye un punto de entrada funcional con sentido para sitios pequeños. Si se le queda corta, la capa Basic de pago (10 $/mes en visualización USD) eleva el presupuesto de páginas vistas a 100.000.
¿Cómo se compara CookieYes con Cookiebot?
Productos distintos con audiencias por defecto distintas. CookieYes está orientado al plugin y es especialmente sólido en WordPress; Cookiebot está orientado al panel y es igualmente sólido en integraciones CMS. Ambos están alineados con Google y ambos cuentan con escáneres creíbles. Cookiebot soporta IAB TCF en sus capas de pago; CookieYes soporta IAB TCF en Pro y Ultimate. La capa gratuita de CookieYes es más generosa para sitios de bajo tráfico; la capa Premium Lite de Cookiebot cuesta 7 €/mes cuando se selecciona EUR mientras que la Basic de CookieYes cuesta 10 $/mes en visualización USD, pero el precio de Cookiebot depende del número de dominios y subpáginas, de modo que el uso por parte de agencias con varios dominios puede superar rápidamente la capa de entrada. Elija según su pila principal: las agencias centradas en WordPress suelen preferir CookieYes; las consultoras multi-CMS y los equipos con orientación SaaS suelen preferir Cookiebot.
CookieYes está certificado por Google. ¿Eso significa que es conforme por defecto?
No, y la certificación no lo afirma. La certificación de Google significa que la integración de Consent Mode v2 del CMP cumple los requisitos de Google: no certifica que ninguna instalación concreta respete las elecciones de consentimiento del usuario en sesiones reales. La certificación es una señal a nivel de proveedor; su despliegue específico todavía puede disparar rastreadores antes del consentimiento si el gestor de etiquetas está mal configurado o si los scripts evitan el alcance del plugin. La verificación independiente captura la brecha entre "el CMP está certificado" y "esta instalación concreta funciona".
¿Funciona CookieYes fuera de WordPress?
Sí. El panel SaaS genera una etiqueta de script que se incrusta en cualquier página HTML, y el almacenamiento de consentimiento funciona igual en sitios Shopify, Wix, headless o de pila personalizada. La página de precios de CookieYes lista el autobloqueo de cookies y el bloqueo de iframes como funciones disponibles en todos los planes, también fuera de WordPress. Lo que es genuinamente exclusivo de WordPress es la capa del plugin de WordPress: la integración con el tema, la experiencia de administración nativa de WordPress y las comodidades específicas del plugin. En sitios Shopify o de pila personalizada usted sigue obteniendo el banner, el almacenamiento de consentimiento y el autobloqueo, pero los operadores deberían verificar igualmente el bloqueo script a script porque las etiquetas pegadas en archivos del tema o inyectadas por otras aplicaciones pueden quedar fuera de la ruta de consentimiento. Las agencias con carteras multi-CMS suelen emparejar CookieYes con una capa de auditoría independiente para confirmar que el comportamiento real coincide con el panel en todas las pilas.
¿Por qué CookieYes puede parecer limpio mientras una auditoría de agencia sigue encontrando rastreadores antes del consentimiento?
Normalmente porque una etiqueta queda fuera de la ruta controlada por el plugin, GTM no es consciente del consentimiento, o un script se ejecuta antes de que se aplique el estado de consentimiento. Una traza en vivo del navegador captura esa brecha. Un panel de autoescaneo puede no reproducir cada condición de carrera de la primera carga ni cada ruta disparada por el usuario, mientras que una traza de red limpia desde el navegador muestra qué se dispara realmente antes de que el usuario interactúe con el banner.
Lance un escaneo gratuito de verificación de CookieYes
Antes de redactar un plan de remediación, vea qué muestra una captura independiente sobre el sitio que está auditando. El escaneo gratuito de GDPR Privacy Monitor devuelve un desglose a nivel de red de qué se dispara antes del consentimiento, qué sobrevive al rechazo y qué dice la declaración de cookies frente a lo que hace la red. No se requiere cuenta para el primer escaneo.
Inicie un escaneo gratuito o vea un informe de muestra para conocer el formato antes de comprometerse.
Otras guías de auditoría: Cookiebot · OneTrust · Iubenda · Complianz Contexto: Seguimiento previo al consentimiento explicado
Precios y características verificados el 2026-05-06 contra cookieyes.com/pricing. La página de precios de CookieYes es la fuente canónica cuando las cifras cambien. Programe un recordatorio trimestral para volver a verificar.
Última actualización: