Meta en el ojo de la tormenta: ¿Hasta dónde llega el rastreo online?
Un grupo de investigadores destapó una maniobra de Meta que generó más de una ceja levantada en el mundo de la privacidad online. La empresa de Mark Zuckerberg, al parecer, estaba utilizando un método bastante peculiar para seguirle los pasos a sus usuarios en la web, incluso cuando estos creían estar navegando de incógnito.
Todo empezó como un juego para el profesor Günes Acar, de la Universidad Radboud (Países Bajos), quien buscaba un ejemplo de rastreo web para sus alumnos. «Sabía que la página tenía varios rastreadores, incluyendo el de Facebook. Pero de repente vi que había una conexión con un puerto local, o sea, con mi propio ordenador. Al principio no entendí nada», confesó Acar.
La cosa se puso interesante cuando Acar se puso a investigar y encontró que otros desarrolladores de Facebook se quejaban de lo mismo en foros. La respuesta de Meta, brillaba por su ausencia. Lo que sí apareció fue un nuevo método, aún más difícil de detectar.
### ¿Cómo funcionaba el polémico sistema de Meta?
En colaboración con Narseo Vallina-Rodríguez, investigador de Imdea Networks, Acar descubrió que Meta estaba conectando la información de sus aplicaciones con la navegación de los usuarios, incluso en modo incógnito o con VPN. Básicamente, la web se comunicaba con la app del móvil para intercambiar información e identificadores.
«Lo que vimos es que la web se comunica con la app del móvil para intercambiar información e identificadores», explicó Vallina-Rodríguez. «Eso significa que todo esto forma parte de una estrategia bien pensada para desanonimizar el tráfico web desde los móviles Android. Y como este comportamiento solo se activa cuando se prueban las piezas exactas de software, tanto en la app como en el navegador, también es mucho más difícil de detectar».
La reacción de Meta no se hizo esperar. Tras ser consultada por varios medios, la empresa decidió desactivar el sistema. «Estamos hablando con Google para aclarar un posible malentendido sobre cómo se aplican sus políticas. En cuanto supimos de la inquietud, decidimos pausar la función mientras trabajamos con Google para resolver el asunto», declaró un portavoz de Meta.
Google entra en escena: ¿un parche para la privacidad?
Google, por su parte, ya está trabajando en un parche para su navegador Chrome, con el objetivo de cerrar la puerta a este tipo de prácticas. La vulnerabilidad, según se supo, también afectaba a otros navegadores como Firefox, Edge o DuckDuckGo.
«Investigamos distintos ámbitos como este, pero es que esta vez se han pasado», sentenció Acar, dejando en claro la gravedad del asunto. «Es algo que realmente ha sorprendido a gente muy experimentada en el sector de la privacidad».
El sistema de Meta, que estuvo operativo desde septiembre de 2024, generó suspicacias sobre si se trataba de una respuesta a los intentos de Google por limitar el rastreo de terceros. «Es posible que hayan lanzado este nuevo método como reacción a las nuevas iniciativas que intentan limitar el rastreo de terceros en los navegadores, como el Privacy Sandbox de Google, pero es solo una hipótesis», aventuró Vallina-Rodríguez.
Pero Meta no fue la única en ser descubierta. Los investigadores también revelaron que la plataforma rusa Yandex utilizaba un sistema similar desde 2017, sin que nadie se percatara. ¿Casualidad o causalidad? La pregunta queda flotando en el aire.
Para que el sistema de Meta funcionara, el usuario debía estar logueado en su app de Instagram o Facebook en su dispositivo Android. Además, las páginas web debían tener instalado el famoso Meta Pixel, un fragmento de código que permite el rastreo. Este píxel, presente en aproximadamente el 20% de las páginas más visitadas, abría una conexión con la app del móvil, vinculando la información del usuario con su identidad y enviándola a los servidores de Meta.
¿Qué significa todo esto para la privacidad online?
La polémica generada por este caso pone de manifiesto la constante tensión entre las empresas que buscan obtener datos de los usuarios y los esfuerzos por proteger la privacidad en la web. La pregunta que surge es: ¿hasta dónde están dispuestas a llegar las empresas para obtener información sobre nosotros?
«Miran con detalle todo lo que haces en la web: si buscas un producto, si lo añades al carrito, si haces una compra o te registras. Hay un montón de datos. Básicamente, cada vez que haces algo, se lo mandan a su servidor. Es mucho más que simplemente saber que entraste a la web», concluyó Acar, dejando en claro que la vigilancia online es una realidad que nos afecta a todos.
