Cómo funciona este rastreo
En millones de webs se integran scripts conocidos como Meta Pixel y Yandex Metrica, herramientas diseñadas supuestamente para que los anunciantes midan la eficacia de sus campañas. Lo que han descubierto los investigadores es que estos scripts también establecen canales de comunicación entre el navegador y las apps nativas instaladas en el móvil Android, como Facebook, Instagram o apps de Yandex.
Imagina que el navegador es una biblioteca y las apps son oficinas privadas dentro del mismo edificio. Lo normal es que cada uno funcione por separado, sin acceso mutuo. Pero estas técnicas abren pequeñas puertas traseras que permiten a esas oficinas husmear qué libros estás leyendo, y registrar esa información con tu nombre y apellido.
El truco técnico: puertos locales y WebRTC
Tanto Meta como Yandex están usando protocolos de red y funcionalidades del sistema Android para escuchar datos que los navegadores envían a puertos locales (“localhost”). Utilizan, entre otros, WebRTC, un protocolo pensado para llamadas en tiempo real, manipulando sus mensajes para incrustar identificadores de usuario como cookies.
Esto rompe los principios básicos de privacidad: el navegador y la app deberían estar aislados, pero esta técnica permite conectar tu historial web (incluso en modo privado) con tu cuenta de redes sociales.
Solo en Android (por ahora)
Este rastreo ha sido observado exclusivamente en dispositivos Android. Aunque los investigadores admiten que técnicamente sería posible en iOS, el sistema de Apple impone mayores restricciones sobre conexiones locales y ejecuciones en segundo plano.
En Android, por el contrario, la libertad para que las apps escuchen en puertos específicos y la falta de control sobre estas comunicaciones internas permite que estas técnicas funcionen sin que el usuario se entere.
Una práctica extendida desde hace años
Yandex habría comenzado con estas técnicas en 2017, mientras que Meta las habría implementado desde septiembre de 2024. En ambos casos, los scripts envían cookies y otros datos desde el navegador a las apps, que luego los vinculan a la cuenta de usuario y los reenvían a los servidores de cada empresa.
Lo alarmante es que más del 75% de los sitios afectados no solicita el consentimiento del usuario antes de activar estos scripts, violando principios clave de privacidad como los recogidos en el RGPD europeo.
Navegadores que bloquean el rastreo (y otros que no)
Algunos navegadores como DuckDuckGo y Brave han tomado medidas activas para bloquear estas conexiones sospechosas. Usan listas negras de dominios y evitan que el navegador se comunique con los puertos locales utilizados en estas técnicas.
El navegador Vivaldi, por ejemplo, solo bloquea este rastreo si el usuario cambia la configuración de privacidad por defecto. Firefox, aunque ejecuta el código, no consigue completar algunas de las técnicas más avanzadas como el «SDP munging».
Google, por su parte, ha empezado a bloquear estas técnicas en Chrome, pero los investigadores alertan que Meta ya ha cambiado su código para burlar las nuevas restricciones en apenas unos días.
La respuesta de las empresas implicadas
Google afirma que estas prácticas violan las condiciones de uso de su tienda Play y los principios de privacidad de Android. Meta, por su parte, asegura haber «pausado la funcionalidad» mientras dialoga con Google. Yandex, por otro lado, alega que no recolecta información sensible y que todo era para mejorar la personalización de sus apps.
Aun así, el hecho de que los usuarios y muchos desarrolladores de webs no estuvieran al tanto indica una grave falta de transparencia.
¿Qué se puede hacer al respecto?
Los investigadores sugieren una solución más profunda: rediseñar el manejo de puertos locales en Android y forzar a que el sistema operativo y los navegadores informen al usuario cuando ocurren estas comunicaciones internas.
Mientras tanto, evitar instalar apps como Facebook, Instagram o Yandex en Android es la medida más eficaz para cortar este tipo de seguimiento. Usar navegadores centrados en la privacidad, como Brave o DuckDuckGo, también puede ayudar.
Un caso que marca un antes y un después
Este hallazgo no solo revela una técnica avanzada de seguimiento, sino que muestra cuán fácil es para grandes empresas eludir las barreras de privacidad actuales. Lo que debería ser un entorno seguro y controlado para el usuario se convierte en una red donde cada acción deja un rastro fácil de vincular con nuestra identidad real.
La discusión está abierta, pero lo que es claro es que debemos exigir mayor transparencia, mejores controles de privacidad y una supervisión más estricta de las herramientas de rastreo que se integran en millones de sitios web.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario