Un equipo de investigadores del Institutos Madrileños de Estudios Avanzados (Imdea) Networks y la Universidad Radboud de Nimega (Países Bajos) ha revelado una preocupante vulnerabilidad que permitió a Meta (Facebook e Instagram) y Yandex (Maps) recopilar datos de navegación de millones de usuarios de Android sin su consentimiento explícito.
Este hallazgo, divulgado en un estudio reciente y recogido por 20minutos, subraya la necesidad urgente de reforzar la seguridad en las plataformas digitales.
La investigación desveló el uso de una técnica conocida como «Local Mess», que explota una vulnerabilidad presente en las aplicaciones nativas del sistema operativo Android. Este método permitió a las aplicaciones de Meta y Yandex acceder a información detallada sobre los hábitos de navegación de los usuarios, evadiendo las protecciones de privacidad como el modo incógnito, las VPN e incluso la eliminación de cookies.
¿Cómo funciona el método de rastreo?
La técnica Local Mess opera a través de scripts de Meta Pixel y Yandex Metrica que están incrustados en millones de sitios web. Cuando un usuario visita una de estas páginas en su dispositivo móvil, los scripts cargan y envían la información de actividad directamente a las aplicaciones nativas instaladas en el dispositivo, utilizando sockets locales.
Esto significa que los datos de navegación, como las páginas visitadas y el comportamiento en línea, son transmitidos a las aplicaciones sin necesidad de autenticación previa del usuario, creando una asociación directa entre los hábitos de Internet y las personas.
Alcance y duración de la práctica
Según el estudio, Yandex ha estado utilizando este método desde 2017, mientras que Meta lo implementó a partir de septiembre de 2024. La escala de esta práctica es masiva: datos de BuiltWith indican que Meta Pixel está presente en 5,8 millones de sitios web, y Yandex Metrica en aproximadamente 3 millones. Esta vasta presencia subraya la magnitud del impacto potencial en la privacidad de los usuarios.
Posibles soluciones y la postura de Meta
Ante estos hallazgos, los especialistas de IMDEA Networks y la Universidad Radboud sugieren la implementación de alertas para advertir a los usuarios cuando se acceda a puertos locales, así como un refuerzo significativo en las políticas de seguridad de las plataformas digitales.
Por su parte, Meta ha declarado que su script Meta Pixel ha dejado de enviar solicitudes a direcciones locales en sus aplicaciones. La compañía también ha señalado que está en conversaciones con Google para comprender completamente las implicaciones de esta práctica y ajustar sus procedimientos en consecuencia.
El riesgo persiste
A pesar de que Meta haya cesado el uso de esta técnica, los investigadores advierten que el método Local Mess aún podría ser explotado por otras empresas o actores malintencionados.
Esta persistente vulnerabilidad incrementa el riesgo de exposición del historial de navegación de los usuarios, lo que hace crucial que tanto los desarrolladores como los usuarios permanezcan vigilantes.
Este descubrimiento pone de manifiesto la complejidad de proteger la privacidad en un ecosistema digital en constante evolución y la importancia de una vigilancia continua sobre las prácticas de recopilación de datos.
Con información de agencias.-
