Desde septiembre del año pasado, las apps de Meta han estado haciendo algo que ha dejado perplejos a investigadores de todo el mundo. El hallazgo más reciente, desvelado por un equipo europeo, confirma que Instagram y Facebook rastreaban el historial web de sus usuarios en móviles Android, incluso cuando estos navegaban en modo incógnito o protegidos con una VPN. El método era tan sofisticado y difícil de detectar que pasó desapercibido durante meses, hasta que unas líneas de código encendieron las alarmas en una clase de máster.
Günes Acar, profesor de la Universidad Radboud, notó algo extraño al analizar la web de su universidad: el navegador se estaba comunicando con su propio ordenador a través de un puerto local. Este tipo de conexión no es habitual y menos aún cuando implica a rastreadores como el de Facebook. Su sorpresa aumentó al ver que, tras varias búsquedas, otros desarrolladores ya habían detectado algo similar en foros técnicos. “Facebook no dejó de hacerlo, simplemente perfeccionó el método”, explica.
Una investigación conjunta con Narseo Vallina-Rodríguez, de Imdea Networks, reveló que lo que parecía un comportamiento extraño era, en realidad, parte de una estrategia muy elaborada. Meta había diseñado un sistema que conectaba las webs que usan su rastreador —el conocido Meta Pixel— con la app móvil, logrando así un vínculo directo entre la navegación web y la identidad real de quien la realiza sin el consentimiento explícito del usuario.
¡SUSCRIBETE A NUESTRO NEWSLETTER!
Cada semana mandamos un único e-mail con el resumen de las noticias a +4.000 suscriptores.
Una vez más, Meta saltándose la privacidad a la torera
El rastreo en sí no es nuevo: casi todas las grandes tecnológicas lo practican de una forma u otra. Lo que hace distinto este caso es el modo en que Meta consiguió sortear los controles que ofrecen los navegadores actuales. La mayoría de las medidas de protección, como el modo incógnito o el uso de redes VPN, funcionan bloqueando cookies o impidiendo que se asocien con una identidad concreta. Pero en este caso no servían de nada: el usuario ya estaba identificado porque tenía abierta la app de Facebook o Instagram, con Meta Pixel actuando como puente para transferir esa identidad a la web.
El sistema era tan preciso que podía registrar no solo qué páginas visitabas, también qué hacías en ellas: qué buscabas, si añadías un producto al carrito, si te registrabas o incluso si realizabas una compra. Esta información iba directamente a los servidores de Meta, enlazada a un perfil único. Ni siquiera hacía falta rellenar un formulario: bastaba con estar logueado en la app para que la conexión se activara y empezara el seguimiento.
El sistema lleva funcionando, al menos, desde septiembre de 2024, según confirman los investigadores. Meta lo habría desarrollado como respuesta a los esfuerzos de Google y otros actores del sector por limitar el rastreo de terceros con nuevas políticas como Privacy Sandbox. En este caso, la técnica empleada era la misma que ya utilizaba la plataforma rusa Yandex desde 2017, también detectada por los investigadores. Según Vallina-Rodríguez, la versión inicial de Meta era muy parecida a la de Yandex, aunque luego se refinó para hacerla aún más difícil de rastrear.
Los usuarios de Android, los más afectados
En el caso de Meta, las pruebas apuntan a que empezó a aplicarse en septiembre de 2024. Ambos sistemas están presentes en millones de páginas web: se estima que Meta Pixel está instalado en 5,8 millones de páginas y Yandex Metrica, en unas 3 millones. Pero el problema no afecta por igual a todos.
De momento, los investigadores solo han detectado evidencias de este tipo de rastreo en móviles Android. Y hay una explicación técnica detrás: en esta plataforma, cualquier aplicación que tenga permiso para acceder a Internet —un permiso básico que tienen prácticamente todas— puede crear un servidor web local y ejecutar conexiones mediante sockets TCP o protocolos como WebRTC, incluso sin que el usuario lo sepa.
“Lo interesante aquí es dónde se produce la conexión y cómo permite a estos rastreadores desanonimizar el tráfico web móvil de los usuarios”, explica Aniketh Girish, investigador de IMDEA y uno de los autores del estudio. “En el caso del Pixel de Meta, utiliza canales locales para compartir identificadores de navegador mediante WebRTC con sus aplicaciones nativas, como Facebook o Instagram”. Esto permite vincular la actividad web con la cuenta concreta del usuario que ha iniciado sesión en esas apps.
“El problema principal que permite este ataque es la falta de control sobre las comunicaciones del host local en la mayoría de las plataformas”, añade Girish. “Hasta nuestra investigación, los usuarios de Android atacados por Yandex y el Pixel de Meta estaban completamente desprotegidos contra este método de rastreo”, sentencia.
Meta desactiva el sistema tras las preguntas de la prensa
El escándalo ha obligado a Meta a recular. Tras las preguntas de varios medios, la compañía ha desactivado esta funcionalidad en sus apps y asegura que colabora con Google para resolver el conflicto. Por su parte, Google ya trabaja en parches de seguridad que impidan este tipo de técnicas en su navegador, Chrome, y otros basados en Android. Mozilla también ha anunciado cambios en Firefox para proteger a sus usuarios. La portavoz de la fundación califica el sistema descubierto como una “violación grave” de las políticas contra el rastreo.
Actualizando ahora mismo la app de Instagram se elimina esta puerta trasera de los dispositivos. Aunque Meta insiste en que el uso de la técnica fue involuntario, su propia implementación demuestra lo contrario: solo funcionaba con versiones concretas del navegador y requería que el usuario estuviera logueado en la app móvil. Si la actualización no aparece en Google Play, lo más recomendable es acudir a repositorios de terceros, como es el caso de APK Mirror.
