Así 'espía' Meta todo lo que buscas en el móvil sin tu permiso: se salta incluso restricciones como las VPN

Meta, que planea sustituir a algunos trabajadores por inteligencia artificial (IA), se ha visto involucrada en una nueva polémica. Según una investigación, el gigante tecnológico y Yandex están rastreando sin permiso la navegación en móviles.

Una nueva y reciente investigación dirigida por IMDEA Networks ha descubierto un abuso de la privacidad que involucra tanto a Meta como al gigante tecnológico ruso Yandex al conectar identificadores persistentes con historiales de navegación.

Un posible abuso de la privacidad que ha sido detectado en colaboración entre el grupo de Análisis de Internet de IMDEA Networks, dirigido por Narseo Vallina-Rodríguez, el profesor Gunes Acar (Universidad de Radboud, Países Bajos) y Tim Vlummens (Universidad Católica de Lovaina, Bélgica).

Adiós a aprender idiomas: las gafas inteligentes Ray-Ban de Meta ahora pueden traducir conversaciones en tiempo real

El grupo de investigadores ha descubierto un posible abuso de la privacidad que involucra a estas dos empresas. Concretamente, destaparon esta vulnerabilidad en las aplicaciones nativas de Android, incluyendo Instagram, Facebook y aplicaciones de Yandex como Maps o Browser.

Unas apps que escuchan silenciosamente en puertos locales fijos de dispositivos móviles para desanonimizar los hábitos de navegación de los usuarios sin su consentimiento, según detalla IMDEA Networks en una nota de prensa.

Así lo hacen

El organismo explica que al integrar código de seguimiento en millones de sitios web, Pixel de Meta y Yandex Metrica han podido mapear los hábitos de navegación de los usuarios de Android con sus identidades persistentes.

Es decir, con el titular de la cuenta conectado. Un método que elude las protecciones de privacidad que ofrecen los controles de permisos de Android e incluso el modo incógnito o VPN, lo que afecta a los principales navegadores de Android, según la firma.

Logo de Meta en un móvil. Dado Ruvic / Reuters Omicrono

IMDEA Networks señala que estas empresas llevan mucho tiempo realizando esta evasión. Concretamente, desde 2017 en el caso de Yandex y desde septiembre de 2024 en el de Meta. Y el número de personas afectadas es elevado.

Hay que tener en cuenta que se estima que Meta Pixel y Yandex Metrica están instaladas en 5,8 millones y 3 millones de sitios web, respectivamente. El organismo señala igualmente que solamente se han observado pruebas de esta práctica en Android.

Los investigadores explican que bajo el modelo de permisos de Android cualquier aplicación que declare el permiso 'INTERNET' puede crear y ejecutar fácilmente en segundo plano un servidor web local dentro de la aplicación, utilizando sockets TCP (HTTP) o UDP (WebRTC).

"Lo interesante aquí es dónde se produce la conexión y cómo permite a estos rastreadores desanonimizar el tráfico web móvil de los usuarios", señala en el comunicado Aniketh Girish, estudiante de doctorado en IMDEA Networks y uno de los investigadores involucrados en este trabajo.

Meta crea una inteligencia artificial que cambiará la comunicación: traduce 101 idiomas al instante de voz a voz

"En el caso del Pixel de Meta, utiliza canales locales para compartir identificadores de navegador mediante WebRTC con sus aplicaciones nativas, como Facebook o Instagram", continúa Girish. También explica que los datos se vinculan a la cuenta del usuario que ha iniciado sesión.

"La aplicación los retransmite silenciosamente a los servidores de Meta. Mientras que Yandex adopta una estrategia más pasiva, pero igualmente invasiva", afirma el investigador.

Yandex tiene "su SDK AppMetrica integrado en sus apps y escucha en los puertos locales, captura datos de seguimiento web entrantes, los agrega con identificadores a nivel móvil, como el ID de publicidad de Android, y envía el perfil enriquecido al píxel de Yandex integrado en el sitio web".

"A pesar de utilizar diferentes tácticas, ambos rastreadores logran el mismo resultado: vincular fluidamente las identidades móviles y web sin que el usuario tenga que registrarse", añade Girish.

Prevenir el abuso

Los investigadores consideran que hay una solución para prevenir este tipo de abuso. Por ejemplo, Narseo Vallina-Rodríguez señala que las plataformas móviles y los navegadores deben revisar la forma en que gestiona el acceso a los puertos locales.

"El problema fundamental que permite este ataque es la falta de control sobre las comunicaciones del host local en la mayoría de las plataformas modernas. Hasta nuestra divulgación, los usuarios/as de Android atacados por Yandex y Pixel de Meta estaban completamente incapacitados contra este método de rastreo", explica el investigador.

Instagram y Facebook en un móvil Android. Adrián Raya Omicrono

Vallina-Rodríguez indica igualmente que "es posible que la mayoría de los fabricantes de navegadores y operadores de plataformas ni siquiera consideraran este abuso en sus modelos de amenazas".

Sin embargo, añade que "es necesario complementar cualquier solución técnica, como nuevos principios de sandboxing y modelos de prueba más estrictos, con políticas de plataforma más estrictas y procesos de verificación de tiendas para limitar el abuso y, así, disuadir a otros servicios de rastreo de utilizar métodos similares en el futuro".

En la actualidad no hay evidencia de que Meta o Yandex hayan revelado estas capacidades de rastreo ni a los sitios web que alojan los rastreadores ni a las personas usuarias finales que los visitan, según los investigadores.

Tal y como ha señalado un portavoz de Meta en declaraciones a EL ESPAÑOL - Omicrono, la firma de Zuckerberg está en conversaciones "con respecto a la aplicación de sus políticas". A tenor de ello, Meta ha decidido pausar la función mientras trabajan en conjunto con la gran G.