Mercado Libre es la plataforma de comercio electrónico líder en Latinoamérica, que opera en 18 países. Tienen una infraestructura digital compleja con más de 100 millones de usuarios activos y una amplia variedad de servicios, como mercado, pagos (Mercado Pago) y logística.
Mercado Libre es propietario de más de 40 dominios, muchos de los cuales históricamente dependieron de cookies de terceros para habilitar funciones como la autenticación de usuarios entre sitios y la detección de fraudes.
Mercado Libre realizó un trabajo exhaustivo para identificar las experiencias y funcionalidades del usuario fundamentales que pueden depender de cookies de terceros. Su investigación y la implementación de alternativas a las cookies de terceros, incluidas las APIs de Privacy Sandbox, ayudan a garantizar que sus propiedades funcionen como se espera y sigan brindando a los usuarios una experiencia positiva, ya sea que las cookies de terceros estén disponibles o no.
Sigue leyendo para conocer el recorrido de Mercado Libre para reducir su dependencia de las cookies de terceros y proteger la privacidad de sus clientes.
Auditoría de cookies y evaluación del impacto
Mercado Libre consideró tres aspectos del uso de cookies de terceros:
- ¿Mercado Libre depende del uso compartido de cookies entre sitios entre sus dominios?
- ¿Los servicios que proporcionan como terceros dependen de cookies de terceros?
- ¿Se verá afectado alguno de los servicios de terceros de los que dependen si no están disponibles las cookies de terceros?
Evaluar el impacto del uso de cookies de terceros para propiedades digitales de esta escala requirió un enfoque coordinado, ya que hay muchas unidades de negocio involucradas.
El equipo de la plataforma de frontend de Mercado Libre lideró una auditoría de impacto y proporcionó comunicación y asistencia centralizadas a otros equipos. Esto incluyó recursos y capacitación para garantizar que toda la empresa comprendiera los cambios necesarios para que todos los equipos pudieran adoptar las prácticas nuevas.
Casos de uso de uso compartido de cookies entre sitios
Cada unidad de negocio de Mercado Libre opera en dominios separados, como mercadolibre.com, mercadopago.com y mercadoshops.com.
Después de realizar una auditoría detallada, descubrieron en qué casos el uso compartido de cookies entre sitios era fundamental para las experiencias de los usuarios en su ecosistema:
- Autenticación de usuarios: Posible interrupción para parte de los 75 millones de compradores activos mensuales en 18 países.
- Análisis internos: Más de 4,000 analistas de negocios dependen de los datos de varios sitios para tomar decisiones. Posibles modificaciones en el seguimiento del recorrido del usuario
- Prevención de fraudes: Es fundamental para los flujos de pago seguros cuando no hay cookies de terceros disponibles (más de 50 compras por segundo para Mercado Libre y 244 transacciones por segundo para Mercado Pago).
Este análisis integral incluyó información como el equipo, el propietario, el impacto comercial, la descripción del caso de uso, el comportamiento actual, las posibles fallas y la solución propuesta de Privacy Sandbox.
Cookies particionadas en Mercado Libre
Las cookies particionadas, también conocidas como CHIPS, permiten que los desarrolladores elijan una cookie en el almacenamiento particionado, con contenedores de cookies separados por sitio de nivel superior.
Cómo usar CHIPS para permitir la detección de fraudes sin cookies de terceros
Desafío
Mercado Libre usa cookies de terceros para brindar una experiencia fluida a los usuarios que acceden a su plataforma de pagos, tanto para los pagos que se realizan directamente en la plataforma como para las integraciones transparentes que usan Mercado Pago como procesador de pagos. Por ejemplo, usan cookies de terceros en mecanismos para ayudar a identificar cuándo se usa una tarjeta de crédito desde un dispositivo que el usuario conoce y, de esta manera, evitar el fraude con tarjeta de crédito.
La información del dispositivo es uno de los indicadores de datos principales que usan los modelos de aprendizaje automático de Mercado Libre para decidir si se aprueba o no un pago. Por lo tanto, no tener esta información para una cantidad significativa de usuarios podría representar una pérdida significativa en su porcentaje de aprobación de pagos.
Solución
Para abordar las limitaciones de las cookies de terceros, Mercado Libre probó CHIPS, una solución que establece una cookie única para cada sitio web integrado en su plataforma de pagos. El objetivo es permitir que Mercado Libre mantenga varios datos para cada tienda individual.
En este caso, CHIPS ayudó a Mercado Libre a ofrecer una experiencia fluida y eficiente para los clientes recurrentes, incluso cuando se bloquean las cookies de terceros.
Análisis técnico detallado
El método de integración más común para usar Mercado Pago como procesador de pagos implica usar JavaScript que incorpora un módulo de tokenización de datos de tarjetas y un módulo de prevención de fraudes. El módulo de prevención de fraudes utiliza cookies de terceros para vincular los pagos a los dispositivos de los usuarios.
En el pasado, con el uso de cookies de terceros, Mercado Pago podía identificar y hacer un seguimiento de los dispositivos de los usuarios en todas las tiendas, como se ilustra en el siguiente diagrama.
Actualmente, las cookies particionadas permiten que Mercado Libre mantenga la identificación del dispositivo configurando una cookie independiente para cada sitio de nivel superior. Como se muestra en la siguiente imagen, este enfoque preserva la privacidad, ya que restringe el uso compartido de la información entre las tiendas. Las cookies particionadas se usan cuando no hay cookies de terceros disponibles. Esto restringe el uso compartido de la información entre las tiendas, lo que mejora la privacidad del usuario.
Desarrollo inicial
En primer lugar, Mercado Libre inhabilitó las cookies de terceros en Chrome y verificó que sus cookies no se configuraran correctamente en los sitios en los que Mercado Libre actuaba como proveedor externo. Luego, Mercado Libre actualizó estas cookies para que se particionaran. Con este cambio, pudieron confirmar que se podían establecer cookies particionadas en Chrome, incluso si un usuario había inhabilitado las cookies de terceros. Luego, Mercado Libre agregó el encabezado Set-Cookie y no encontró errores, siguiendo las instrucciones de diseño de seguridad de CHIPS.
Eficiencia empresarial
Mercado Libre ya comenzó a usar CHIPS para las integraciones de Mercado Pago y Mercado Shops con dominios personalizados. Mercado Libre ahora almacena una cookie particionada adicional, junto con una cookie estándar no particionada, en los dispositivos de sus usuarios.
La implementación de CHIPS para Mercado Libre fue sencilla.
Prueba de la eficacia de CHIPS en modelos de fraude de aprendizaje automático
Mercado Libre planea dejar de enviar el indicador de cookie estándar sin particionar para un grupo de control, para simular una situación en la que se bloquean las cookies de terceros y, en su lugar, usar cookies particionadas (CHIPS). Inicialmente, este grupo de control incluirá una parte de la población de un sitio, y Mercado Libre tiene la intención de aumentar progresivamente la parte y la cantidad de sitios a medida que pruebe la eficacia.
La eficacia se medirá según la aprobación de pagos del grupo de control en comparación con un período comparable anterior.
Experimentos anteriores
Mercado Libre realizó un experimento similar en un grupo de control para verificar si podían identificar los mismos dispositivos con CHIPS en lugar de cookies no particionadas y medir la antigüedad del dispositivo (cookie).
El grupo de control consistió en comercios segmentados para Argentina y Brasil. Ambos grupos se comportaron de la misma manera.
En conclusión, Mercado Libre pudo confirmar la identidad de aproximadamente el 70% de los dispositivos que usan CHIPS, lo que significa que el 30% restante eran usuarios nuevos o casos con un comportamiento inesperado.
Conclusión de la implementación de CHIPS
Mercado Libre se compromete a proteger la privacidad de los usuarios, incluso si se trata de una compensación entre la privacidad y la fricción mínima del usuario. La implementación de CHIPS fue sencilla y ayudó a minimizar el impacto de esta compensación dentro del mismo sitio. Mercado Libre aún está explorando otras soluciones de Privacy Sandbox, como los tokens de estado privado, que podrían cerrar por completo la brecha de experiencia y, de esta manera, tener lo mejor de ambos mundos: privacidad y utilidad.
Conjuntos de sitios web relacionados en Mercado Libre
Los Conjuntos de sitios web relacionados (RWS) son una forma para que una empresa declare relaciones entre sitios, de modo que los navegadores permitan el acceso limitado de cookies de terceros para fines específicos.
Cómo usar Conjuntos de sitios web relacionados para mantener las funciones de estadísticas
Desafío
Cuando un dispositivo nuevo ingresa a uno de los dominios que Mercado Libre posee y opera (O&O), Meli usa una cookie para comprender la actividad de un dispositivo en varios dominios, como mercadolibre.com y mercadopago.com.
Solución
Para abordar las situaciones en las que las cookies de terceros no están disponibles, Mercado Libre implementó RWS para todos sus dominios orientados a los clientes en los que se usaban cookies de terceros, respetando la restricción de un dominio principal y otros cinco dominios asociados en un solo conjunto.
Análisis técnico detallado: cómo encontrar los dominios correctos para incluir
Durante la investigación de qué dominios incluir en el conjunto, Mercado Libre descubrió que muchos de sus dominios tenían cookies desactualizadas que ya no se usaban. Estos dominios se excluyeron del conjunto.
El equipo de la plataforma de frontend web era responsable de la creación y administración de los conjuntos de sitios web relacionados de Mercado Libre. (Puedes encontrar el conjunto completo en el repositorio de GitHub de Related Website Set).
{
"contact": "infraestructura@mercadolibre.com",
"primary": "https://mercadolibre.com",
"associatedSites": [
"https://mercadolivre.com",
...
],
"rationaleBySite": {
"https://mercadolivre.com": "Mercado Libre in Brazil",
...
},
"ccTLDs": {
"https://mercadolibre.com": [
"https://mercadolibre.com.ar",
...
],
"https://mercadolivre.com": [
"https://mercadolivre.com.br"
],
...
}
},
El conjunto solo tardó dos semanas en estar disponible en producción después de la aprobación del envío.
Replicación de cookies de terceros en dominios de O&O con la API de Storage Access
Requisitos
Para que el servidor establezca cookies, debe admitir CORS, y las solicitudes deben ser de origen cruzado y deben incluir credenciales:
res.setHeader('Access-Control-Allow-Credentials', 'true');
res.setHeader('Access-Control-Allow-Origin', `${req.headers.origin}`);
Las cookies deben configurarse con lo siguiente:
SecureSameSite=None
Cuando las cookies de terceros no están disponibles de forma predeterminada, el cliente debe verificar si tiene permiso para acceder a las cookies no particionadas con navigator.permissions.query() y, luego, solicitar permisos de acceso de almacenamiento para cada dominio incorporado con requestStorageAccessFor(). Además, la interacción del usuario con la pantalla (como un clic o una acción del teclado) es necesaria para que el usuario-agente solicite correctamente el permiso la primera vez.
Supera los desafíos de las RWS
Los procesos de propagación de cookies existentes, como los píxeles de imagen, y el uso de la API de Acceso al almacenamiento, tenían limitaciones debido al requisito de interacción del usuario. Este fue el caso del acceso persistente del usuario de Mercado Libre en varios dominios, que se interrumpe cuando los usuarios inhabilitan las cookies de terceros.
Los conjuntos de sitios web relacionados y las tecnologías de Privacy Sandbox no están diseñados para ofrecer reemplazos uno a uno de las cookies de terceros y es posible que no admitan algunos casos de uso:
Píxeles de la imagen
- Mercado Libre podría agregar el atributo
crossorigin="use-credentials". Sin embargo, la dependencia de la interacción del usuario (los usuarios hacen clic en un vínculo) significa que Mercado Libre no puede garantizar que se establezca la cookie. Los píxeles también se cancelan si hay navegación entre pantallas: cuando Chrome detecta una navegación, cancela todas las solicitudes de recursos de la página actual para comenzar a cargar la nueva.
- Mercado Libre podría agregar el atributo
sendBeacon()- No se puede configurar
crossorigin, por lo que las solicitudes fallan y no se envían las cookies.
- No se puede configurar
Redireccionamientos con
sendBeacon()o píxeles de imagen- Dado que dependen de la interacción del usuario, no es posible configurar cookies a través de redireccionamientos a pantallas intermedias entre diferentes dominios que ejecutan JavaScript.
Limitación de WebView
La API de Permissions no está disponible en WebView. Esto obligó a Mercado Libre a implementar una lógica en la que la API de Storage Access se inicia solo donde la API de Permissions está disponible (en todas partes excepto en WebView). Además, Safari o Firefox no admiten requestStorageAccessFor() en este momento.
Mercado Libre sigue usando la detección de atributos según sea necesario, independientemente de la plataforma.
EnSolución para todos
Mercado Libre necesitaba usar fetch() y {keepalive: true, credentials: 'include'}. De esta manera, podrían configurar el CORS, incluir credenciales y asegurarse de que se realice una solicitud en segundo plano sin que el navegador la cancele.
fetch(domain, {
keepalive: true,
credentials: 'include',
});
// or
fetch(domain, {
method: 'POST'
body: data,
keepalive: true,
credentials: 'include',
});
Ejemplo completo:
const TP_DOMAINS = ['https://mercadolibre.com',
'https://www.mercadoshops.com.ar',
'https://www.mercadopago.com',
'https://www.mercadopago.com.ar'];
if ('requestStorageAccessFor' in document) {
// Check the permission to see if storage access is already available.
let storageAccessPermission = await navigator.permissions.query({
name: 'top-level-storage-access',
requestedOrigin: TP_DOMAINS[0]
})
// If the permission has already been granted, request storage access.
if (storageAccessPermission.state === 'granted') {
requestStorageAccessForDomains();
}
// If the state "prompt" is returned, a storage access request must be triggered by user gesture.
else if (storageAccessPermission.state === 'prompt') {
document.addEventListener('click', requestStorageAccessForDomains, { capture: true });
document.addEventListener('keydown', requestStorageAccessForDomains, { capture: true });
}
} else {
console.log('requestStorageAccessFor is not supported');
}
function requestStorageAccessForDomains() {
// Request storage access for each domain.
TP_DOMAINS.forEach(rSAFor)
// Clean up listeners so they are not called again.
document.removeEventListener('click', requestStorageAccessForDomains);
document.removeEventListener('keydown', requestStorageAccessForDomains);
}
function rSAFor(domain) {
document.requestStorageAccessFor(domain).then(
success => { setCookie(domain); },
err => { console.log('requestStorageAccessFor error: ' + err); }
);
}
function setCookie(domain) {
const url = new URL(domain);
const hostname = url.hostname.split('.').slice(1).join('.');
fetch(domain + '/pixel.gif?name=_d2id&value=DONE&max_age=94608000&domain=.' + hostname, {
keepalive: true,
credentials: 'include',
});
}
Cómo realizar pruebas en Chrome
Para probar un conjunto de sitios web relacionados de forma local, establece una marca de Chrome. Por ejemplo, para la demostración en related-website-sets.glitch.me:
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}"
https://related-website-sets.glitch.me/
Conclusión de la implementación de RWS
La implementación de RWS para sitios a gran escala no es trivial. Mercado Libre solo necesitaba los recursos de un solo desarrollador, pero el proceso de lanzamiento en 18 países llevó alrededor de tres meses desde el principio hasta el final.
La recomendación para quienes quieran implementar RWS es comenzar con anticipación. No esperes para implementar RWS. Mercado Libre tuvo que cambiar las cookies del servidor y del cliente, agregar encabezados nuevos, realizar cambios en el backend y actualizar JavaScript.
Observaciones finales y próximos pasos
La implementación exitosa de las APIs de Privacy Sandbox por parte de Mercado Libre demostró su compromiso de adaptarse al panorama cambiante de la privacidad. Gracias a que probó y abordó de forma proactiva el uso de cookies de terceros, Mercado Libre mantuvo funciones comerciales esenciales, como las estadísticas y la prevención de fraudes, a la vez que mejoró la privacidad del usuario y garantizó el cumplimiento de las reglamentaciones en evolución. Este caso de éxito proporciona estadísticas valiosas para las organizaciones que buscan navegar por la transición a un futuro en el que la disponibilidad de cookies de terceros no es una obviedad.