El método de rastreo utilizado por Meta y Yandex puede haber afectado a "miles de millones" de usuarios al explotar una vulnerabilidad en las aplicaciones nativas de Android, como es el caso de Facebook e Instagram en el caso de Meta y navegador o Maps en el caso de Yandex.
Esto se debe a que la técnica utilizada permite a las aplicaciones nativas recibir información de navegación de los usuarios a través de conexiones locales sin su consentimiento explícito, al eludir mecanismos de privacidad como el modo incógnito, la eliminación de 'cookies' o, incluso, la navegación mediante VPN.
De hecho, este método de seguimiento puede funcionar incluso si el usuario no ha iniciado sesión en Facebook, Instagram o Yandex en sus navegadores móviles, tal y como ha explicado la organización a cargo de la investigación, IMDEA Networks, en una publicación en GitHub.
Así, según han identificado los investigadores, el modus operandi se basa en que las aplicaciones nativas de Android reciben información sobre la experiencia de los usuarios Internet, como los metadatos, 'cookies' y comandos de los navegadores, desde los 'scripts' de Meta Pixel y Yandex Metrica, que están integrados en miles de sitios web.
Estos 'scripts' se cargan en los navegadores móviles de los usuarios y se conectan de forma discreta con las aplicaciones nativas que se ejecutan en el mismo dispositivo a través de 'sockets' locales. Esto es, un punto de comunicación que permite a los programas comunicarse entre sí, tanto localmente como a través de una red.
A todo ello se le suma que las aplicaciones nativas de Android tienen acceso a los identificadores del dispositivo, como es el ID de publicidad de Android (AAID), o gestionan las identidades de los usuarios, como es el caso de las redes sociales de Meta. Por tanto, las compañías pueden vincular las sesiones de navegación y las 'cookies' web obtenidas con las identidades de los usuarios.
Es decir, cuando un usuario visita una página web que contiene el 'script' de Meta Pixel o Yandex Metrica desde un navegador en su dispositivo Android, el 'script' envía la información sobre su actividad, como las 'cookies', a las aplicaciones nativas en el dispositivo.
Este proceso de desanonimizar las visitas a sitios web es posible en Android porque su sistema operativo permite que cualquier aplicación instalada con permiso de INTERNET abra un 'socket' de escucha en la interfaz de bucle invertido (127.0.0.1), así como 'sockets' TCP (HTTP) o UDP (WebRTC), según han detallado los investigadores. Asimismo, los navegadores también acceden a esta interfaz sin necesidad de que el usuario otorgue su consentimiento.
Esto permite que los 'scripts' se comuniquen con las aplicaciones nativas de Android y compartan todo tipo de información de forma oculta, resultando en un abuso de la privacidad de los usuarios por parte de Meta y Yandex, al permitir vincular la actividad web de los usuarios con sus identidades.
Concretamente, estas actividades se han identificado en una investigación realizada de forma conjunta por la organización de análisis de Internet de IMDEA Networks, liderada por el profesor de IMDEA Narseo Vallina-Rodríguez, así como por los profesores de la Universidad de Radboud (Países Bajos) Gunes Acar y el de la Universidad Católica de Lovaina (Bélgica) Tim Vlummens.
Asimismo, a partir de este análisis de la actividad de Meta, la tecnológica ha asegurado que el 'script' Meta Pixel ha dejado de enviar paquetes o solicitudes a la dirección local en sus aplicaciones, lo que se traduce en el cese de los rastreos de la actividad de navegación por parte de la propietaria de Facebook.
"Estamos en conversaciones con Google para abordar un posible malentendido sobre la aplicación de sus políticas. Al darnos cuenta de las preocupaciones, decidimos pausar la función mientras trabajamos con Google para resolver el problema", ha declarado un portavoz de Meta a Europa Press.
No obstante, se ha de tener en cuenta que este tipo de técnicas de rastreo pueden seguir siendo utilizadas por otras empresas o actores maliciosos. Además, también pueden desembocar en la exposición del historial de navegación de los usuarios a terceros.
RASTREANDO LA NAVEGACIÓN DESDE 2017
Según se detalla en la investigación, la tecnológica rusa lleva realizando esta técnica para rastrear la navegación de los usuarios desde el año 2017. Igualmente, en el caso de Meta, la compañía liderada por Mark Zuckerberg comenzó a utilizar este método en septiembre de 2024.
Además, según datos aportados por el sitio web de monitorización BuiltWith, el 'script' Meta Pixel está instalado en más de 5,8 millones de sitios web, mientras que Yandex Metrica se ha identificado en alrededor de 3 millones de sitios web.
Por el momento esta técnica solo se ha identificado en 'scripts' web de Meta y Yandex, dirigidos de forma exclusiva a móviles Android, aunque la organización ha matizado que no se ha de descartar un posible intercambio de datos similar entre navegadores iOS y aplicaciones nativas.
REVISAR LA GESTIÓN A LOS ACCESOS A PUERTOS LOCALES
Con todo ello, desde IMDEA Networks han subrayado que este método de rastreo "aprovecha el acceso sin restricciones a los 'sockets' locales en las plataformas de Android", sin que el usuario sea consciente, ya que "los controles de privacidad actuales son insuficientes para controlarlo y mitigarlo".
Por ello, han compartido la necesidad de trabajar en soluciones a largo plazo que permitan gestionar los accesos a los puertos locales, alertando a los usuarios en caso de que se intente acceder o con políticas de plataforma más estrictas acompañadas de medidas de cumplimiento para prevenir el uso indebido.