Ni VPN ni incógnito: el polémico método con el que Meta sigue tus pasos

Grok

Unos investigadores han descubierto que la dueña de Instagram y Facebook ha reunido el historial web de cada usuario con terminales Android.

Una vulnerabilidad que ha expuesto a millones de personas permitía a Meta ejecutar un seguimiento encubierto de la actividad de los usuarios en móviles Android, a pesar de que éstos hubieran activado opciones destinadas a proteger la privacidad, como el modo incógnito o redes privadas virtuales (VPN) para navegar por internet.

Esto es lo que ha descubierto un grupo de investigadores, que han advertido que las aplicaciones para smartphone de Instagram y Facebook ejecutaron durante un tiempo un método hasta ahora desconocido para recoger toda la información del historial de los usuarios.

El equipo, comandado por el profesor de la Universidad Radboud de Países Bajos, Günes Acar, que está especializado en el rastreo online, así como por el investigador de la española Imdea Networks Narseo Vallina Rodríguez, ha fechado septiembre de 2024 como fecha de inicio de este plan oculto ejecutado por parte de la firma que dirige Mark Zuckerberg.

Lo cierto es que las cuestionables prácticas de Meta se descubrieron de forma fortuita, cuando Acar quiso mostrar a sus alumnos de máster un caso de rastreo en la web de su universidad. A sabiendas de que este sitio web tenía varios rastreadores, incluido Facebook, advirtió que la página web también estaba conectada con un puerto local.

Sesiones de navegación y cookies vinculadas con los usuarios

Con la sospecha de que Meta podría estar intentando violar los permisos de privacidad de los navegadores, los investigadores dieron un paso más para saber cuál era el uso que le estaba dando la compañía a esa puerta trasera y la realidad fue abrumadora: estaba vinculando la información de sus aplicaciones con el historial de navegación de cada usuario.

De ese modo, las aplicaciones nativas de android recibían metadatos, cookies y comandos de los navegadores desde los scritps de Meta, integrados en miles de sitios web, tal y como han explicado los expertos en una entrada de blog compartida en GitHub. 

Con ello, las secuencias de lenguaje JavaScript se cargaban en los navegadores móviles de los usuarios y se conectaban silenciosamente con las aplicaciones nativas que se ejecutaban en dichos dispositivos mediante puntos finales de comunicación en la red o sockets locales.

"Dado que las aplicaciones nativas acceden de forma programática a identificadores de dispositivo, como el ID de publicidad de Android (AAID) o gestionan las identidades de los usuarios, como el caso de las aplicaciones de Meta, este método permite a estas organizaciones vincular las sesiones de navegación móvil y las cookies web con las identidades de los usuarios", han señalado en el escrito.

De esa manera, este método ignora las protecciones de privacidad habituales, como la eliminación de cookies, el modo incógnito y los controles de permisos de Android, además de que facilita que plataformas potencialmente maliciosas espíen la actividad web de los usuarios.

Desde El País, que es uno de los medios globales que han puesto el foco sobre el problema y se han dirigido a Meta para que responda ante esta práctica, han avanzado que la compañía Meta ya ha desactivado este sistema. 

"Estamos hablando con Google —desarrolladora de Android— para aclarar un posible malentendido sobre cómo se aplican sus políticas. En cuanto supimos de la inquietud, decidimos pausar la función mientras trabajamos con Google para resolver el asunto", ha explicado un portavoz de Meta a este medio.

De parte de Google, han señalado que "los desarrolladores mencionados en este informe están utilizando de forma involuntaria funciones presentes en muchos navegadores de iOS y Android, lo que viola flagrantemente nuestros principios de seguridad y privacidad". 

A eso también se han sumado otras desarrolladoras de navegadores que funcionan en equipos Android, como Mozilla, que ha avanzado que está desarrollando una solución para proteger a los usuarios de Firefox de Android "frente a este tipo de rastreo".

Yandex Metrica también abusa de esos permisos

Como parte de este proyecto, los expertos han descubierto que la plataforma rusa Yandex Metrica, que gestiona aplicaciones como Yandex Maps, Yandex Navigator, Yandex Search y Yandex Browser, también ejecuta este tipo de prácticas. Más concretamente, desde 2017. 

Para acceder a la información de los usuarios, Yandex Metrica (presente en alrededor de 3 millones de sitios web) emplea un script en su navegador, que envía una solicitud a sus servidores para obtener parámetros ofuscados, que se emiten al host local mediante HTTP y HTTPS. 

En ese caso, el SDK de su aplicación recibe estos parámetros y responde al script con la ID del dispositivo cifrado, que traslada a continuación a sus servidores, junto con los parámetros ofuscados.

Otros artículos interesantes:

Más información sobre:

Ver sus artículos

Noelia Murillo

Redactora

Noelia Murillo, redactora de Computer Hoy. Realiza pruebas de producto, reportajes y noticias de actualidad relacionadas con el sector. También te cuenta lo que ha analizado en redes sociales.