Noelia Hontoria
EditoraMeta vuelve a estar en el ojo del huracán con una nueva polémica relacionada con la privacidad de sus usuarios. En esta ocasión, un grupo de investigadores han encontrado que la compañía de Mark Zuckerberg ha estado rastreando sin permiso el historial de navegación de quienes tenían instalada la app de Instagram o Facebook en su móvil Android, incluso si utilizaban una VPN o el modo incógnito.
Tras salir a la luz el escándalo, Meta ha desactivado este sistema que llevaba en pie desde septiembre de 2024. Otra compañía, Yandex, utilizaba un sistema similar desde febrero de 2017.
El agujero de seguridad que ha permitido a Meta espiar tu móvil
Esta grave vulnerabilidad ha sido descubierta por el profesor de privacidad y rastreo online Günes Acar, de la Universidad Radboud (Países Bajos), como explica El País, cuando mostraba a sus alumnos ejemplos de rastreo en la web de la universidad. El profesor, que ya era consciente de que la página tenía algunos rastreadores (entre ellos el de Facebook), se sorprendió al encontrar una conexión con su puerto local.
Tras consultar con Narseo Vallina-Rodríguez, investigador de Imdea Networks, encontraron que las aplicaciones de Instagram y Facebook estaban escuchando de forma silenciosa en los puertos locales de los usuarios con el fin de rastrear su navegación web, como se detalla aquí.
Otra de las particularidades más graves es que con este método se podían vincular las sesiones con las cookies de identidad, de manera que se saltaban todas las protecciones de privacidad habituales de Android (modo incógnito, eliminación de cookies, control de permisos…).
Explicado de una manera más sencilla, las páginas web tenían instaladas un pequeño fragmento de código para el rastreo, denominado Meta Pixel. Con esto y la sesión iniciada en la app de Instagram o Facebook, se generaba una cookie que a su vez se asociaba con la identidad real del usuario.
Además de un listado de páginas visitadas, también se incluían ciertas acciones que realizamos en ellas, por ejemplo, como si hemos hecho una búsqueda concreta o incluso si hemos comprado algo. ¿Dónde iba a parar esta información? A los servidores de Meta.
Esta vulnerabilidad afecta a diferentes navegadores para Android, como Chrome, Firefox, DuckDuckGo o Edge. Google o Mozilla ya han declarado que están trabajando en parches de seguridad para resolver el conflicto.
Por su parte, al destaparse el escándalo, Meta ha pausado su sistema de rastreo. y ha confirmado a The Register que están en conversaciones con Google “para abordar un posible malentendido sobre la aplicación de sus políticas”.
Imagen de portada | Generada con ChatGPT
En Xataka Android | No solo Google, todo el mundo conoce tu lista de apps. El rastreo de lo que llevamos instalado en el móvil es muy fácil
En Xataka Android | La recopilación de datos que se produce en nuestro salón no es ninguna broma. El televisor es el culpable: puedes ponerle freno
Ver 1 comentarios