El arte de esquivar bloqueadores de publicidad: Parte 1

Primera parte: Cómo los bloqueadores de anuncios funcionan y la base técnica para superarlos, garantizando la continuidad de CMPs y herramientas analíticas en entornos restringidos.

ene 20, 2025

∙ De pago

En este primer artículo de la serie, exploraremos cómo funcionan los sistemas de bloqueo de publicidad y recopilación de datos, y estableceremos las bases para entender cómo superarlos utilizando proxies y personalizaciones técnicas. Antes de entrar en detalles, es esencial comprender los principios detrás de las herramientas que bloquean estas peticiones, ya sean extensiones como Adblock Plus o navegadores como Brave. Curiosamente, aunque difieren en implementación, todos se basan en principios similares.

¿Cómo funcionan los sistemas de bloqueo de peticiones?

5 Best Performing Ad Blockers — Imagen cortesía de Ghostery

Antes de meternos en harina, vamos a hacer un repaso sobre las principales técnicas utilizadas por extensiones y navegadores para bloquear —con bastante éxito, todo sea dicho— las plataformas de consentimiento, herramientas de analítica y de terceros en general más conocidas del mercado.

1. Bloqueo de requests basado en patrones (Regex)

Uno de los enfoques más comunes que utilizan las herramientas de bloqueo es escuchar todas las solicitudes salientes (requests) realizadas por el navegador. Luego, comparan estas solicitudes contra una lista de patrones definidos con expresiones regulares (regex) o reglas específicas. Si una URL coincide con un proveedor de anuncios o analítica conocido, la request se bloquea antes de que se realice.

Ejemplo práctico:

URL: https://www.google-analytics.com/collect
Regex: .*google-analytics\.com.*

Ejemplo de listado de elementos de Adblock Plus

Esto ocurre directamente desde el navegador, interceptando las solicitudes HTTP/HTTPS antes de que lleguen al servidor. Este mecanismo permite bloquear librerías como las de Google Analytics, OneTrust, o cualquier herramienta de marketing fácilmente identificable.

2. Interacción con objetos JavaScript en el DOM

Otra estrategia clave es monitorizar —o últimamente tan solo interactuar con— los objetos JavaScript que se crean en el Document Object Model (DOM). Estas herramientas pueden identificar y manipular dichos objetos para evitar que envíen datos al servidor, para bloquear el acceso a información sensible o simplemente interactuar con ellos para simular determinados comportamientos.

Ejemplo práctico para Cookiebot:

const CMPFunctions = {
    async detectCmp() {
        return await !!window.Cookiebot;
    },
    async detectPopup() {
        return !window.Cookiebot.hasResponse && window.Cookiebot.dialog?.visible === true;
    },
    async optOut() {
        await this.wait(500);
        let res = await window.Cookiebot.withdraw() || true; // withdraw
        await this.wait(500); // prevent race conditions
        res = res && (await window.Cookiebot.hide() || true); // hide
        return res;
    }
};

Este código que he compartido con vosotros, es una “ligera” adaptación de lo que hace la extensión del fantasma —que no quiero líos— para rechazar cookies en el caso específico de Cookiebot, activándolo previamente desde su interfaz

3. Manipulación del DOM para bloquear interacciones

El tercer enfoque común se centra en interactuar directamente con los elementos del DOM generados por la página. Las herramientas de bloqueo pueden:

Identificar banners o botones del CMP.
Simular clics para seleccionar automáticamente configuraciones restrictivas (ej., "Denegar todo").
Ocultar o eliminar elementos visuales relacionados con anuncios o consentimientos.

Ejemplo práctico también para Cookiebot:

 async optIn() {
        if (this.elementExists('#dtcookie-container')) {
            return this.click('.h-dtcookie-accept');
        }

        this.click('.CybotCookiebotDialogBodyLevelButton:not(:checked):enabled', true);
        this.click('#CybotCookiebotDialogBodyLevelButtonAccept');
        this.click('#CybotCookiebotDialogBodyButtonAccept');
        return true;
    }

En este ejemplo, vemos como se puede simular un clic en “Aceptar” dentro del banner de Cookiebot. También de nuestro amigo el fantasma.

Manifest V3 de Google y su impacto en los ad blockers

Logo de Chrome Extensions

Lo mismo ahora, después de ver lo que una extensión puede llegar a hacer, te preguntas sobre la legalidad de todo esto, y si se están tomando medidas al respecto para controlar todo esto. La respuesta es sí. En el caso específico de Google, con la actualización del manifest de sus extensiones a la versión 3.

Gracias al Manifest V3 (MV3), Google ha dado un paso significativo para reformar el ecosistema de las extensiones en Chrome. Este cambio afecta directamente a los ad blockers y, en consecuencia, a las soluciones que buscan superar sus restricciones. Pero, ¿qué implica realmente el Manifest V3?

Limitaciones técnicas para extensiones:
- Con el MV3, Google ha reemplazado la API webRequest, ampliamente utilizada por bloqueadores de anuncios para interceptar y modificar solicitudes de red, por la API declarativeNetRequest. Esta nueva API tiene restricciones importantes:
  - Un límite de 30.000 reglas por extensión, lo que puede ser insuficiente para bloquear todos los scripts relacionados con analítica y publicidad en sitios web complejos.
  - Menor flexibilidad para aplicar bloqueos dinámicos o personalizados.
Privacidad y rendimiento como justificación:
- Según Google, el MV3 mejora la privacidad y seguridad al limitar el acceso de las extensiones a datos sensibles y, al mismo tiempo, optimiza el rendimiento del navegador al reducir la carga de procesamiento de reglas.
Impacto en ad blockers:
- Los desarrolladores de extensiones de bloqueo han adaptado sus herramientas a las nuevas limitaciones, pero no sin críticas. Herramientas como uBlock Origin han expresado preocupación por la pérdida de funcionalidades avanzadas que permitían un bloqueo más preciso y dinámico.
¿Un cambio estratégico de Google?
- Algunos críticos ven el MV3 como una estrategia de Google para proteger su modelo publicitario. Al limitar la capacidad de los bloqueadores de anuncios, más anuncios (y scripts analíticos) pueden atravesar las barreras y llegar al usuario.