Una investigación codirigida por IMDEA Networks descubre un abuso de la privacidad que involucra a Meta y Yandex al conectar identificadores persistentes con historiales de navegación

Las aplicaciones nativas de Android, como Facebook o Instagram, escuchan silenciosamente en puertos locales fijos para recibir datos de seguimiento web de sus soluciones de seguimiento web sin el consentimiento del usuario/a

03 Junio 2025

Una colaboración internacional de investigación entre el grupo de Análisis de Internet de IMDEA Networks, dirigido por Narseo Vallina-Rodríguez, el Prof. Gunes Acar (Universidad de Radboud, Países Bajos) y Tim Vlummens (Universidad Católica de Lovaina, Bélgica), ha descubierto recientemente un posible abuso de la privacidad que involucra a Meta y al gigante tecnológico ruso Yandex. Descubrieron que las aplicaciones nativas de Android, incluyendo Facebook, Instagram y varias aplicaciones de Yandex como Maps, Navi, Browser y Search, escuchan silenciosamente en puertos locales fijos de dispositivos móviles para desanonimizar los hábitos de navegación de las personas usuarias sin su consentimiento.

Al integrar código de seguimiento en millones de sitios web, Pixel de Meta y Yandex Metrica han podido mapear los hábitos de navegación de los usuarios/as de Android con sus identidades persistentes (es decir, con el titular de la cuenta conectado). Este método elude las protecciones de privacidad que ofrecen los controles de permisos de Android e incluso el modo incógnito, lo que afecta a los principales navegadores de Android. El equipo internacional de investigación ha informado del problema a varios proveedores de navegadores, quienes trabajan activamente en medidas para limitar este tipo de abuso. Por ejemplo, la mitigación de Chrome está prevista que entre en vigor muy pronto.

Estas empresas de rastreo llevan mucho tiempo realizando esta evasión: desde 2017 en el caso de Yandex, y desde septiembre de 2024 en el de Meta. El número de personas afectadas por este abuso es elevado, dado que se estima que Meta Pixel y Yandex Metrica están instaladas en 5,8 millones y 3 millones de sitios web, respectivamente. Cabe destacar también que solo se han observado pruebas de esta práctica de rastreo en Android.

El procedimiento de MetaPixel y Yandex Metrica

Bajo el modelo de permisos del sistema operativo Android, cualquier aplicación que declare el permiso INTERNET puede crear y ejecutar fácilmente en segundo plano un servidor web local dentro de la aplicación, utilizando sockets TCP (HTTP) o UDP (WebRTC). En el contexto web, la mayoría de los navegadores modernos ofrecen compatibilidad programática con código JavaScript para enviar solicitudes HTTP o mensajes WebSocket al host local (127.0.0.1) o API WebRTC para enviar mensajes a un servidor de escucha.

“Lo interesante aquí es dónde se produce la conexión y cómo permite a estos rastreadores desanonimizar el tráfico web móvil de los usuarios. En el caso del Pixel de Meta, utiliza canales locales para compartir identificadores de navegador mediante WebRTC con sus aplicaciones nativas, como Facebook o Instagram. Los datos se vinculan a la cuenta del usuario que ha iniciado sesión y la aplicación los retransmite silenciosamente a los servidores de Meta. Yandex adopta una estrategia más pasiva, pero igualmente invasiva: su SDK AppMetrica, integrado en las aplicaciones de Yandex, escucha en los puertos locales, captura datos de seguimiento web entrantes, los agrega con identificadores a nivel móvil, como el ID de publicidad de Android, y envía el perfil enriquecido al píxel de Yandex integrado en el sitio web”, explica Aniketh Girish, estudiante de doctorado en IMDEA Networks y uno de los investigadores involucrados en este trabajo. “A pesar de utilizar diferentes tácticas, ambos rastreadores logran el mismo resultado: vincular fluidamente las identidades móviles y web sin que el usuario tenga que registrarse”, añade.

Al hablar de Yandex Metrica, el estudiante de doctorado Nipuna Weerasekara, otro de los investigadores que participó en este estudio, es claro: “Lo que más me sorprendió fue la naturaleza dinámica de las aplicaciones de Yandex que utilizan el SDK de AppMetrica. Yandex implementa este método de seguimiento de forma similar a los nodos de comando y control de malware, recuperando las configuraciones de los puertos de escucha y los retrasos de inicio de los servidores de Yandex en tiempo de ejecución. Observamos que estas aplicaciones esperan hasta tres días después de la instalación antes de activar sus escuchas de host local. Nuestra hipótesis es que se trata de un retraso intencionado para evadir las investigaciones. Este diseño permite que las aplicaciones de Yandex se adapten al instante y, potencialmente, evadan las mitigaciones a nivel de navegador de Google Chrome, como el bloqueo estático de puertos locales. Simplemente rotando los puertos en el servidor, estas aplicaciones pueden mantener un canal de datos persistente de la web a la aplicación a pesar de las contramedidas”.

Prevenir el abuso

Para Narseo Vallina-Rodríguez, profesor asociado de investigación en IMDEA Networks y líder del grupo de investigación, la solución para prevenir este tipo de abuso es que las plataformas móviles y los navegadores revisen la forma en que gestionan el acceso a los puertos locales. “El problema fundamental que permite este ataque es la falta de control sobre las comunicaciones del host local en la mayoría de las plataformas modernas. Hasta nuestra divulgación, los usuarios/as de Android atacados por Yandex y Pixel de Meta estaban completamente incapacitados contra este método de rastreo. Es posible que la mayoría de los fabricantes de navegadores y operadores de plataformas ni siquiera consideraran este abuso en sus modelos de amenazas”. Sin embargo, añade, “por lo tanto, las mitigaciones técnicas no deberían interrumpir los usos legítimos de los sockets del host local, como los métodos antifraude o de autenticación. Por lo tanto, es necesario complementar cualquier solución técnica, como nuevos principios de sandboxing y modelos de prueba más estrictos, con políticas de plataforma más estrictas y procesos de verificación de tiendas para limitar el abuso y, así, disuadir a otros servicios de rastreo de utilizar métodos similares en el futuro”.

Actualmente no hay evidencia de que Meta o Yandex hayan revelado estas capacidades de rastreo ni a los sitios web que alojan los rastreadores ni a las personas usuarias finales que los visitan. La información de los foros de desarrolladores sugiere que Meta y Yandex podrían no haber comunicado este comportamiento a desarrolladores de sitios web que integran sus soluciones de seguimiento. De hecho, muchos operadores de sitios web que usan Meta Pixel se sorprendieron cuando el script comenzó a conectarse a puertos locales, como sugieren varios hilos del foro. Hasta que Google y otros navegadores importantes respondan, la única forma de prevenir estos abusos es evitar descargar aplicaciones como Facebook o Instagram, y las aplicaciones de Yandex mencionadas anteriormente.

Gunes Acar, profesor adjunto de la Universidad de Radboud, quien codirigió la investigación e hizo el descubrimiento inicial, destaca: “Meta no solo no informó a los propietarios de sitios web sobre este método de seguimiento, sino que también ignoró sus quejas y preguntas”. Concluye: “Este tipo de seguimiento multiplataforma no tiene precedentes, y resulta especialmente sorprendente viniendo de dos empresas que prestan servicios a miles de millones de usuarios en todo el mundo”. En cuanto a las protecciones implementadas gracias a sus revelaciones, “nos complace ver que desarrolladores de navegadores, como Chrome y DuckDuckGo, ya han publicado correcciones gracias a nuestras revelaciones”.