Un grupo de investigadores ha concluido que las tecnológicas Meta y Yandex han estado rastreando la navegación de los usuarios en dispositivos Android sin permiso, utilizando los scripts Pixel y Metrica para descubrir sus hábitos en Internet y asociarlos a personas concretas, desanonimizando el tráfico web.
El método de rastreo utilizado por Meta y Yandex puede haber afectado a “miles de millones” de usuarios al explotar una vulnerabilidad en las aplicaciones nativas de Android, como es el caso de Facebook e Instagram en el caso de Meta y navegador o Maps en el caso de Yandex.
Esto se debe a que la técnica utilizada permite a las aplicaciones nativas recibir información de navegación de los usuarios a través de conexiones locales sin su consentimiento explícito, al eludir mecanismos de privacidad como el modo incógnito, la eliminación de cookies o, incluso, la navegación mediante VPN.
De hecho, este método de seguimiento puede funcionar incluso si el usuario no ha iniciado sesión en Facebook, Instagram o Yandex en sus navegadores móviles, tal y como ha explicado la organización a cargo de la investigación, IMDEA Networks, en una publicación en GitHub.
Así, según han identificado los investigadores, el modus operandi se basa en que las aplicaciones nativas de Android reciben información sobre la experiencia de los usuarios Internet, como los metadatos, cookies y comandos de los navegadores, desde los scripts de Meta Pixel y Yandex Metrica, que están integrados en miles de sitios web.
Estos scripts se cargan en los navegadores móviles de los usuarios y se conectan de forma discreta con las aplicaciones nativas que se ejecutan en el mismo dispositivo a través de sockets locales. Esto es, un punto de comunicación que permite a los programas comunicarse entre sí, tanto localmente como a través de una red.
A todo ello se le suma que las aplicaciones nativas de Android tienen acceso a los identificadores del dispositivo, como es el ID de publicidad de Android (AAID), o gestionan las identidades de los usuarios, como es el caso de las redes sociales de Meta. Por tanto, las compañías pueden vincular las sesiones de navegación y las cookies web obtenidas con las identidades de los usuarios.
Es decir, cuando un usuario visita una página web que contiene el script de Meta Pixel o Yandex Metrica desde un navegador en su dispositivo Android, el script envía la información sobre su actividad, como las cookies, a las aplicaciones nativas en el dispositivo.
Este proceso de desanonimizar las visitas a sitios web es posible en Android porque su sistema operativo permite que cualquier aplicación instalada con permiso de INTERNET abra un socket de escucha en la interfaz de bucle invertido (127.0.0.1), así como sockets TCP (HTTP) o UDP (WebRTC), según han detallado los investigadores. Asimismo, los navegadores también acceden a esta interfaz sin necesidad de que el usuario otorgue su consentimiento.
Esto permite que los scripts se comuniquen con las aplicaciones nativas de Android y compartan todo tipo de información de forma oculta, resultando en un abuso de la privacidad de los usuarios por parte de Meta y Yandex, al permitir vincular la actividad web de los usuarios con sus identidades.
Concretamente, estas actividades se han identificado en una investigación realizada de forma conjunta por la organización de análisis de Internet de IMDEA Networks, liderada por el profesor de IMDEA Narseo Vallina-Rodríguez, así como por los profesores de la Universidad de Radboud (Países Bajos) Gunes Acar y el de la Universidad Católica de Lovaina (Bélgica) Tim Vlummens.
Asimismo, a partir de este análisis de la actividad de Meta, la tecnológica ha asegurado que el script Meta Pixel ha dejado de enviar paquetes o solicitudes a la dirección local en sus aplicaciones, lo que se traduce en el cese de los rastreos de la actividad de navegación por parte de la propietaria de Facebook.
No obstante, se ha de tener en cuenta que este tipo de técnicas de rastreo pueden seguir siendo utilizadas por otras empresas o actores maliciosos. Además, también pueden desembocar en la exposición del historial de navegación de los usuarios a terceros.
Según se detalla en la investigación, la tecnológica rusa lleva realizando esta técnica para rastrear la navegación de los usuarios desde el año 2017. Igualmente, en el caso de Meta, la compañía liderada por Mark Zuckerberg comenzó a utilizar este método en septiembre de 2024.
Además, según datos aportados por el sitio web de monitorización BuiltWith, el script Meta Pixel está instalado en más de 5,8 millones de sitios web, mientras que Yandex Metrica se ha identificado en alrededor de 3 millones de sitios web.
Por el momento esta técnica solo se ha identificado en scripts web de Meta y Yandex, dirigidos de forma exclusiva a móviles Android, aunque la organización ha matizado que no se ha de descartar un posible intercambio de datos similar entre navegadores iOS y aplicaciones nativas.
Revisar
Con todo ello, desde IMDEA Networks han subrayado que este método de rastreo “aprovecha el acceso sin restricciones a los sockets locales en las plataformas de Android”, sin que el usuario sea consciente, ya que “los controles de privacidad actuales son insuficientes para controlarlo y mitigarlo”.
Por ello, han compartido la necesidad de trabajar en soluciones a largo plazo que permitan gestionar los accesos a los puertos locales, alertando a los usuarios en caso de que se intente acceder o con políticas de plataforma más estrictas acompañadas de medidas de cumplimiento para prevenir el uso indebido.
