Android no era tan privado: Meta te vigilaba
Un nuevo estudio ha revelado que miles de millones de usuarios de Android han sido vulnerables a una sofisticada técnica de rastreo digital, implementada por empresas como Meta y Yandex. Aprovechando el uso de aplicaciones populares como Facebook o Instagram, estas compañías lograron espiar la actividad de navegación en dispositivos móviles, incluso cuando el usuario intentaba proteger su privacidad.
Una puerta trasera silenciosa
Investigadores de IMDEA Networks y la Universidad Radboud de Países Bajos, liderados por Gunes Acar y Narseo Vallina-Rodríguez, publicaron un informe técnico en el que describen el funcionamiento de esta técnica, a la que llamaron ‘Local Mess’. Según el estudio, Meta comenzó a usarla en septiembre de 2024, mientras que Yandex la venía aplicando desde 2017.
Cómo funcionaba el espionaje
En el caso de Meta, las aplicaciones de Facebook e Instagram para Android utilizaban puertos locales del dispositivo para escuchar y registrar la actividad de los navegadores instalados. Esto les permitía acceder a cookies, metadatos y comandos JavaScript, todo sin conocimiento del usuario. El rastreo se lograba mediante un script oculto llamado Meta Pixel, que operaba como una extensión no autorizada del navegador.
La privacidad se evaporaba
Lo más preocupante era que esta técnica permitía vincular la actividad web del usuario con su identidad real mediante identificadores publicitarios del sistema Android (AAID), lo cual eliminaba cualquier rastro de anonimato. El rastreo seguía funcionando incluso si se activaba el modo incógnito o se borraban cookies: nada detenía el monitoreo.
Uso indebido del ‘localhost’
La técnica explotaba los sockets del localhost (127.0.0.1), una dirección interna que cualquier app con permiso de INTERNET en Android puede utilizar. Esto permitió que código malicioso en una página web se comunicara con aplicaciones nativas, filtrando datos sensibles y comportamientos de navegación del usuario.
Una red de seguimiento global
Meta logró ampliar el alcance de esta técnica gracias al uso masivo de su cookie _fbp, presente en más de 5.8 millones de sitios web que utilizan su sistema de anuncios. Herramientas como BuiltWith confirman que este código estaba ampliamente distribuido, incluyendo medios populares como Xataka.
Solo afecta a Android (por ahora)
Los investigadores aclaran que solo encontraron pruebas de esta vulnerabilidad en Android. En sus pruebas, no detectaron comportamientos similares en iOS. Aun así, advierten que técnicamente sería posible replicar la técnica en dispositivos Apple.
Reacción de los navegadores
Las empresas responsables de los principales navegadores han comenzado a implementar medidas. Chrome ya cuenta con un parche, Firefox trabaja en uno, DuckDuckGo resolvió el problema, y Brave nunca estuvo expuesto gracias a sus sistemas de bloqueo y permisos. Edge, sin embargo, sigue sin ofrecer información concreta al respecto.
Meta desactiva la función sin hacer ruido
Aunque los navegadores comenzaron a blindarse, Meta simplemente desactivó el rastreo sin realizar anuncios oficiales. Según los investigadores, el script Meta Pixel dejó de enviar paquetes a localhost, y el código vinculado a la cookie _fbp ha sido prácticamente eliminado.
¿Qué motivó esta maniobra?
Una de las teorías apunta a que Meta desarrolló esta técnica como reacción ante los planes de Google de eliminar las cookies de terceros en Chrome, lo que habría afectado su negocio publicitario. Así, esta herramienta habría sido una alternativa para seguir recolectando datos en un entorno más restrictivo.
Respuesta oficial de Meta
Consultada sobre el tema, Meta declaró:
“Estamos en conversaciones con Google para resolver un posible malentendido sobre la aplicación de sus políticas. En respuesta a las preocupaciones planteadas, hemos decidido pausar esta función mientras trabajamos en conjunto para resolver el problema”.
Respuesta de Yandex
Por su parte, la compañía rusa negó haber desanonimizado a sus usuarios y aseguró que la función en cuestión solo buscaba mejorar la personalización de sus servicios. También confirmó que está desactivando esta técnica y colaborando con Google para cumplir con las políticas de su tienda de apps.