I cookie sono assolutamente legati al sito di provenienza e quindi il tracciamento avviene all'interno di esso. Immagina però il tracciamento all'interno di un network di servizi come quello di Google...

Per quanto riguarda i cookie di terze parti... un sito può includere risorse da siti esterni. Pensa ad una pagina che linka una immagine da un sito esterno X. Nel momento in cui l'immagine viene richiesta, se disponibile, viene inviato anche il cookie relativo ad X. Se il cookie non è presente, assieme all'immagine, il sito X invia il cookie tracciante all'utente.
Il tracciamento ora diventa trasversale ai siti. Se il sito A e il sito B linkano immagini dallo stesso sito X che usa cookie traccianti, allora ogni utente che visiti entrambi i siti potrà essere riconosciuto. La pagina tracciata invece è determinabile tramire il referer.
Se ora pensi ai network di banner pubblicitari che sono presenti su moltissimi siti contemporaneamente capirai la potenza della cosa. In questo modo i gestori di questi network possono sapere quali siti visita un particolare utente e, tramite referrer, determinare il suo percorso di navigazione.

Gli antimalware non riconoscono un tracking cookie analizzando il suo contenuto ma possiedono un database interno per riconoscerli.

I cookie di terze parti invece possono essere riconosciuti automaticamente e infatti tutti i browser permettono il loro blocco.