Cómo Facebook e Instagram espían tu navegación en Android, incluso en modo incógnito o con VPN
Meta utilizó un sistema oculto para rastrear la actividad web en celulares Android, incluso en modo incógnito y con VPN.
Meta - Mark Zuckerberg - / NurPhoto
Un grupo de investigadores ha descubierto que las aplicaciones móviles de Facebook e Instagram, propiedad de Meta, emplearon durante meses un método sofisticado y deliberadamente oculto para recolectar el historial de navegación web de usuarios en dispositivos Android. El sistema operaba incluso cuando los usuarios activaban herramientas diseñadas para proteger la privacidad, como el modo incógnito o las redes privadas virtuales (VPN).
El hallazgo fue realizado por el profesor Günes Acar, especialista en privacidad y rastreo en línea de la Universidad Radboud (Países Bajos), y por el investigador Narseo Vallina-Rodríguez, de Imdea Networks (España), tras detectar comportamientos inusuales en la comunicación entre sitios web y aplicaciones móviles. A través de un análisis técnico detallado, ambos expertos confirmaron que, desde septiembre de 2024, las apps de Meta establecían conexiones entre navegadores móviles y las aplicaciones instaladas en el mismo dispositivo para identificar al usuario y rastrear su actividad web.
PUEDE INTERESARTE: Detectan conductas sexuales en chatbots de Meta con menores de edad
¿Cómo funciona este sofisticado método en tu Android?
El mecanismo, que Meta desactivó el pasado lunes 3 de junio tras cuestionamientos de medios globales como El País, se activaba solo bajo condiciones específicas: cuando el usuario tenía instalada y abierta la app de Instagram o Facebook, y visitaba páginas web que incluían el llamado Meta Pixel, un fragmento de código presente en aproximadamente el 20% de los sitios más visitados en la red. Al detectar estas condiciones, el sistema abría una conexión local entre el navegador y la aplicación móvil, lo que permitía vincular cookies de navegación con la identidad real del usuario.
Este tipo de prácticas representan una vulneración profunda de las garantías de privacidad en el entorno móvil, al sortear los mecanismos de protección del navegador, incluyendo el modo incógnito y las VPN. El resultado era una recolección masiva de datos no solo sobre los sitios visitados, sino también sobre las acciones del usuario dentro de cada página: búsquedas, compras, formularios completados y más.
Tras ser contactada por varios medios internacionales, Meta desactivó la función. En una declaración oficial, la compañía sostuvo que pausó el sistema tras recibir preguntas de la prensa y argumentó que se encuentra en conversaciones con Google “para aclarar un posible malentendido sobre cómo se aplican sus políticas”.
La respuesta de Google
Google, por su parte, ha calificado el uso de esta técnica como una violación grave de sus principios de privacidad. La compañía ha iniciado su propia investigación y ya ha aplicado cambios en su navegador Chrome para mitigar este tipo de abusos. Otros navegadores basados en Android, como Firefox, Edge y DuckDuckGo, también se encuentran afectados.
Aunque no hay confirmación oficial, los investigadores no descartan que el sistema de Meta haya sido una respuesta al Privacy Sandbox, la iniciativa de Google que busca limitar el uso de cookies de terceros en favor de métodos más respetuosos con la privacidad.
ZUCKERBERG / Craig T Fruchtman
