Meta detiene las herramientas de seguimiento en teléfonos y navegadores tras la revelación de prácticas de espionaje a usuarios por investigadores.

Meta y Yandex han sido acusados de eludir las normas de protección de la privacidad mediante la asociación de los usuarios con su actividad de navegación y cookies a través de aplicaciones nativas de Android. Esto se logró utilizando los rastreadores Meta Pixel y Yandex Metrica, y aprovechando una función de localhost que muchas aplicaciones nativas de Android poseen para fines de prueba.

La controversia surgió tras un estudio realizado por científicos de la computación de IMDEA Networks, la Universidad Radboud y KU Leuven, quienes detectaron que las aplicaciones de Meta, como Facebook e Instagram, así como los servicios de Yandex, como Maps y Browser, empleaban esta técnica de rastreo. La utilización de localhost permite que un dispositivo envíe solicitudes de red a sí mismo, facilitando así la asociación de datos de navegación con identidades de usuario.

Según los investigadores, "estas aplicaciones nativas de Android reciben metadatos de navegadores, cookies y comandos de los scripts de Meta Pixel y Yandex Metrica, que están incrustados en miles de sitios web. Estos JavaScript se cargan en los navegadores móviles de los usuarios y se conectan silenciosamente con las aplicaciones nativas que se ejecutan en el mismo dispositivo a través de sockets de localhost". A través de esta técnica, Meta y Yandex han creado una brecha en los entornos de sandbox de Android, lo que les permite extraer datos y cookies de sitios web, saltándose así las protecciones de seguridad y privacidad integradas, y asociando esos datos con identificadores de dispositivos de los usuarios.

Al ser cuestionado sobre este método de rastreo, un portavoz de Meta indicó que estaban en conversaciones con Google para abordar una posible mala interpretación en cuanto a la aplicación de sus políticas. Además, decidieron pausar la función mientras se trabaja en la resolución del problema. Según los investigadores, Yandex ha aplicado este método de rastreo encubierto desde 2017, mientras que Meta lo comenzó a utilizar en septiembre de 2024.

Los navegadores Firefox y basados en Chromium fueron los principales objetivos de la extracción de datos, y Meta y Yandex lograron obtener cookies que, de otro modo, no serían accesibles debido a la limpieza de cookies, al modo incógnito y al sistema de permisos de las aplicaciones de Android. Un representante de Google comentó que los desarrolladores mencionados en el informe estaban utilizando capacidades presentes en muchos navegadores de iOS y Android de formas no previstas que violan abiertamente los principios de seguridad y privacidad. Asimismo, aseguraron que se han implementado cambios para mitigar estas técnicas invasivas y que están investigando el asunto de manera directa.