Una investigaci\u00f3n de IMDEA Networks saca a la luz el m\u00e9todo que emplean algunas compa\u00f1\u00edas para asociar datos de aplicaciones de Android con personas concretas<\/p>\n
Un grupo de investigadores ha concluido que las tecnol\u00f3gicas Meta y Yandex han estado rastreando la navegaci\u00f3n de los usuarios en dispositivos Android sin permiso, utilizando los ‘scripts’ Pixel y Metrica para descubrir sus h\u00e1bitos en Internet y asociarlos a personas concretas, desanonimizando el tr\u00e1fico web.<\/p>\n
El m\u00e9todo de rastreo utilizado por Meta y Yandex puede haber afectado a \u00abmiles de millones\u00bb de usuarios al explotar una vulnerabilidad en las aplicaciones nativas de Android, como es el caso de Facebook e Instagram en el caso de Meta y navegador o Maps en el caso de Yandex.<\/p>\n
Esto se debe a que la t\u00e9cnica utilizada permite a las aplicaciones nativas recibir informaci\u00f3n de navegaci\u00f3n de los usuarios a trav\u00e9s de conexiones locales sin su consentimiento expl\u00edcito, al eludir mecanismos de privacidad como el modo inc\u00f3gnito, la eliminaci\u00f3n de ‘cookies’ o, incluso, la navegaci\u00f3n mediante VPN.<\/p>\n
De hecho, este m\u00e9todo de seguimiento puede funcionar incluso si el usuario no ha iniciado sesi\u00f3n en Facebook, Instagram o Yandex en sus navegadores m\u00f3viles, tal y como ha explicado la organizaci\u00f3n a cargo de la investigaci\u00f3n, IMDEA Networks, en una publicaci\u00f3n en GitHub.<\/p>\n
As\u00ed, seg\u00fan han identificado los investigadores, el modus operandi se basa en que las aplicaciones nativas de Android reciben informaci\u00f3n sobre la experiencia de los usuarios en internet, como los metadatos, ‘cookies’ y comandos de los navegadores, desde los ‘scripts’ de Meta Pixel y Yandex Metrica, que est\u00e1n integrados en miles de sitios web.<\/p>\n
<\/p>\n
Estos ‘scripts’ se cargan en los navegadores m\u00f3viles de los usuarios y se conectan de forma discreta con las aplicaciones nativas que se ejecutan en el mismo dispositivo a trav\u00e9s de ‘sockets’ locales. Esto es, un punto de comunicaci\u00f3n que permite a los programas comunicarse entre s\u00ed, tanto localmente como a trav\u00e9s de una red.<\/p>\n
A todo ello se le suma que las aplicaciones nativas de Android tienen acceso a los identificadores del dispositivo, como es el ID de publicidad de Android (AAID), o gestionan las identidades de los usuarios, como es el caso de las redes sociales de Meta. Por tanto, las compa\u00f1\u00edas pueden vincular las sesiones de navegaci\u00f3n y las ‘cookies’ web obtenidas con las identidades de los usuarios.<\/p>\n
Si eres usuario de Android, tus datos no son an\u00f3nimos
\nEs decir, cuando un usuario visita una p\u00e1gina web que contiene el ‘script’ de Meta Pixel o Yandex Metrica desde un navegador en su dispositivo Android, el ‘script’ env\u00eda la informaci\u00f3n sobre su actividad, como las ‘cookies’, a las aplicaciones nativas en el dispositivo.<\/p>\n
Este proceso de desanonimizar las visitas a sitios web es posible en Android porque su sistema operativo permite que cualquier aplicaci\u00f3n instalada con permiso de INTERNET abra un ‘socket’ de escucha en la interfaz de bucle invertido (127.0.0.1), as\u00ed como ‘sockets’ TCP (HTTP) o UDP (WebRTC), seg\u00fan han detallado los investigadores. Asimismo, los navegadores tambi\u00e9n acceden a esta interfaz sin necesidad de que el usuario otorgue su consentimiento.<\/p>\n
Esto permite que los ‘scripts’ se comuniquen con las aplicaciones nativas de Android y compartan todo tipo de informaci\u00f3n de forma oculta, resultando en un abuso de la privacidad de los usuarios por parte de Meta y Yandex, al permitir vincular la actividad web de los usuarios con sus identidades.<\/p>\n
La investigaci\u00f3n arroja que Yandex lleva utilizando este m\u00e9todo desde 2017 y Meta desde 2024<\/p>\n
Concretamente, estas actividades se han identificado en una investigaci\u00f3n realizada de forma conjunta por la organizaci\u00f3n de an\u00e1lisis de Internet de IMDEA Networks, liderada por el profesor de IMDEA Narseo Vallina-Rodr\u00edguez, as\u00ed como por los profesores de la Universidad de Radboud (Pa\u00edses Bajos) Gunes Acar y el de la Universidad Cat\u00f3lica de Lovaina (B\u00e9lgica) Tim Vlummens.<\/p>\n
Asimismo, a partir de este an\u00e1lisis de la actividad de Meta, la tecnol\u00f3gica ha asegurado que el ‘script’ Meta Pixel ha dejado de enviar paquetes o solicitudes a la direcci\u00f3n local en sus aplicaciones, lo que se traduce en el cese de los rastreos de la actividad de navegaci\u00f3n por parte de la propietaria de Facebook.<\/p>\n
No obstante, se ha de tener en cuenta que este tipo de t\u00e9cnicas de rastreo pueden seguir siendo utilizadas por otras empresas o actores maliciosos. Adem\u00e1s, tambi\u00e9n pueden desembocar en la exposici\u00f3n del historial de navegaci\u00f3n de los usuarios a terceros.<\/p>\n
Raestreando la navegaci\u00f3n desde 2017
\nSeg\u00fan se detalla en la investigaci\u00f3n, la tecnol\u00f3gica rusa lleva realizando esta t\u00e9cnica para rastrear la navegaci\u00f3n de los usuarios desde el a\u00f1o 2017. Igualmente, en el caso de Meta, la compa\u00f1\u00eda liderada por Mark Zuckerberg comenz\u00f3 a utilizar este m\u00e9todo en septiembre de 2024.<\/p>\n
Adem\u00e1s, seg\u00fan datos aportados por el sitio web de monitorizaci\u00f3n BuiltWith, el ‘script’ Meta Pixel est\u00e1 instalado en m\u00e1s de 5,8 millones de sitios web, mientras que Yandex Metrica se ha identificado en alrededor de 3 millones de sitios web.<\/p>\n
Por el momento esta t\u00e9cnica solo se ha identificado en ‘scripts’ web de Meta y Yandex, dirigidos de forma exclusiva a m\u00f3viles Android, aunque la organizaci\u00f3n ha matizado que no se ha de descartar un posible intercambio de datos similar entre navegadores iOS y aplicaciones nativas.<\/p>\n
Revisar la gesti\u00f3n a los accesos a puertos locales
\nCon todo ello, desde IMDEA Networks han subrayado que este m\u00e9todo de rastreo \u00abaprovecha el acceso sin restricciones a los ‘sockets’ locales en las plataformas de Android\u00bb, sin que el usuario sea consciente, ya que \u00ablos controles de privacidad actuales son insuficientes para controlarlo y mitigarlo\u00bb.<\/p>\n
Por ello, han compartido la necesidad de trabajar en soluciones a largo plazo que permitan gestionar los accesos a los puertos locales, alertando a los usuarios en caso de que se intente acceder o con pol\u00edticas de plataforma m\u00e1s estrictas acompa\u00f1adas de medidas de cumplimiento para prevenir el uso indebido.<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Una investigaci\u00f3n de IMDEA Networks saca a la luz el m\u00e9todo que emplean algunas compa\u00f1\u00edas para asociar datos de aplicaciones de Android con personas concretas […]<\/p>\n","protected":false},"author":1,"featured_media":214,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8],"tags":[],"class_list":["post-213","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"jetpack_featured_media_url":"https:\/\/i1.wp.com\/s2.abcstatics.com\/abc\/www\/multimedia\/tecnologia\/2025\/06\/04\/meta.jpg?w=1920&resize=1920,1277&ssl=1","_links":{"self":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/213","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=213"}],"version-history":[{"count":1,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/213\/revisions"}],"predecessor-version":[{"id":215,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/posts\/213\/revisions\/215"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=\/wp\/v2\/media\/214"}],"wp:attachment":[{"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=213"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=213"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aldomonges.com\/aldomonges\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}