Meta nos espía, aunque no queramos: el sofisticado método para saltarse todas las normas de privacidad

Un grupo de investigadores ha puesto en evidencia la supuesta seguridad de los datos de los usuarios de Meta y hasta de las restrictivas leyes europeas. La privacidad digital se ha visto seriamente comprometida tras destapar una sofisticada técnica de rastreo utilizada por gigantes tecnológicos como Meta y Yandex. El hallazgo revela cómo ambas compañías lograron vincular la identidad de los usuarios de Android entre aplicaciones y sitios web para saltarse los controles de privacidad y el consentimiento de cookies.

La investigación detalla cómo Meta (matriz de Facebook e Instagram) y Yandex aprovecharon una función poco vigilada de Android como es la posibilidad de que las aplicaciones abran puertos locales y reciban conexiones desde el navegador del mismo dispositivo. Esta vía, invisible para el usuario, permitió que scripts de seguimiento como Meta Pixel y Yandex Metrica, presentes en millones de webs, transmitieran identificadores y cookies directamente a las apps nativas, asociando así la navegación web con la identidad real del usuario.

Sin consentimiento

En la práctica, esto significa que aunque el usuario navegara en modo incógnito, borrara cookies o no estuviera logueado en el navegador, su actividad web podía ser enlazada con su perfil en Facebook, Instagram o servicios de Yandex, sin que mediara consentimiento explícito.

Las cifras asustan. Meta Pixel opera en más de 5,8 millones de sitios web, mientras que Yandex Metrica lo hace en casi 3 millones. En los sitios más visitados, el 78 % de los que usan Meta Pixel y el 84 % de los que emplean Yandex Metrica intentaban establecer este canal local, incluso antes de solicitar el consentimiento de cookies al usuario.

Meta Pixel opera en más de 5,8 millones de sitios web

El método, además, no solo elude las normativas de privacidad, sino que abre la puerta a que aplicaciones maliciosas puedan espiar el historial de navegación de los usuarios, aprovechando la misma debilidad en navegadores como Chrome, Firefox y Edge. Solo Brave y, en menor medida, DuckDuckGo, han puesto en marcha bloqueos efectivos.

Sin explicaciones

Ni Meta ni Yandex han documentado públicamente el uso de este canal. De hecho, en foros de usuarios y desarrolladores denunciaron conexiones sospechosas pero nunca recibieron una respuesta clara por parte de las compañías.

Tras la publicación del informe, Meta eliminó rápidamente el código responsable en su script Pixel. Los principales navegadores han comenzado a desplegar parches para bloquear esta técnica, pero los expertos advierten que la raíz del problema sigue y necesita una respuesta más amplia por parte de Google y la industria.

Las políticas más restrictivas de Apple parecen haber evitado la explotación de este canal

Por ahora, la vulnerabilidad solo se ha detectado en Android. Las políticas más restrictivas de Apple parecen haber evitado, al menos de momento, la explotación de este canal en iOS.

Este escándalo descubre las limitaciones de los actuales controles de privacidad en el ecosistema móvil. La criticada legislación europea que intenta salvaguardar la privacidad del usuario se ha visto comprometida con una puerta trasera impensable hasta ahora. Hecha la ley, hecha la trampa.