Mientras revisaba materiales sobre privacidad en línea en el sitio web de la Universidad Radboud, Gunes Acar, profesor asistente en esa institución de los Países Bajos, detectó un comportamiento inusual: el software Meta Pixel intentó reconectarse a su computadora, la cual había modificado para simular un navegador en un dispositivo Android.
Este hallazgo llevó a un equipo internacional de investigadores a descubrir que las aplicaciones de Meta y Yandex habían encontrado formas de eludir las protecciones de privacidad de Android, permitiendo el rastreo secreto de la actividad web de los usuarios. Según publicó The Washington Post, este método permitió a las empresas recopilar datos personales sin el conocimiento ni el consentimiento de los usuarios, lo que representa una nueva y preocupante violación de la privacidad digital.
El medio estadounidense detalló que ni siquiera Google, propietario de Android, estaba al tanto de que las aplicaciones de Facebook e Instagram estaban extrayendo datos de los usuarios a través de una “puerta trasera digital” durante meses. Tras la publicación de los hallazgos por parte de los investigadores, Meta afirmó que detuvo la práctica. “Es una violación tan grave de las expectativas básicas de las personas”, declaró Peter Dolanjski, director de producto en DuckDuckGo, al Washington Post. Dolanjski, cuya empresa desarrolla un motor de búsqueda y navegador enfocados en la privacidad, comparó las técnicas empleadas por Meta con las de “delincuentes digitales”.
PUBLICIDAD
El software Meta Pixel está presente en millones de sitios web y recopila información sobre la actividad de los usuarios, como ingresos declarados al gobierno, solicitudes de préstamos estudiantiles y compras en línea. Estos datos se utilizan para construir perfiles publicitarios. Según explicó The Washington Post, normalmente el flujo de información de Meta Pixel es unidireccional: conecta una vez con la computadora del usuario para enviar datos a la nube de Meta. Sin embargo, los investigadores observaron que el software intentaba reconectarse, lo que despertó sospechas sobre un posible rastreo adicional.
Para profundizar en el fenómeno, Acar colaboró con el grupo de investigación en Seguridad Informática y Criptografía Industrial de la universidad belga KU Leuven y con el instituto español IMDEA Networks. El análisis técnico, citado por The Washington Post y desarrollado por Ars Technica, reveló que tanto las aplicaciones de Meta como las de Yandex lograron sortear las barreras de privacidad de Android, accediendo a la actividad de navegación web de los usuarios sin autorización. “Las técnicas eran esencialmente similares a las del malware, o software malicioso que se instala subrepticiamente en tu teléfono o computadora”, afirmó Dolanjski al medio estadounidense.
Google respondió a los hallazgos señalando que los comportamientos de Meta y Yandex “violan flagrantemente nuestros principios de seguridad y privacidad”. Por su parte, un representante de Meta indicó que la empresa está dialogando con Google “para abordar una posible falta de comunicación respecto a la aplicación de sus políticas”. Meta aseguró que ha suspendido la actividad en cuestión. Yandex, por otro lado, declaró que no “recopila ninguna información sensible” y también afirmó haber detenido la práctica identificada por los investigadores.
PUBLICIDAD
El equipo de investigación no encontró evidencia de que Meta y Yandex hayan implementado tácticas similares en dispositivos de Apple. No obstante, los expertos consideran que técnicamente sería posible y planean investigar más a fondo. Un portavoz de Apple no realizó comentarios al respecto, según informó The Washington Post.
La reacción de expertos en privacidad digital no se hizo esperar. Albert Fox Cahn, director ejecutivo del Surveillance Technology Oversight Project, una organización de defensa de la privacidad del consumidor, expresó al Washington Post: “Deberíamos estar indignados por los hallazgos de los investigadores”. La magnitud del problema trasciende a una sola empresa, ya que demuestra que, pese a años de revelaciones sobre la vigilancia constante a través de los teléfonos, las vulnerabilidades persisten.
En cuanto a las medidas que los usuarios pueden tomar para proteger su privacidad, el Washington Post subrayó que ninguna configuración de privacidad habría podido detener lo que hicieron Meta y Yandex, ya que ambas compañías lograron eludir las protecciones de seguridad establecidas por Google para los dispositivos Android. Sin embargo, el incidente pone de manifiesto ciertas vulnerabilidades en los navegadores web y las aplicaciones, y existen pasos que pueden reducir los riesgos.
PUBLICIDAD
Una de las recomendaciones principales es dejar de usar el navegador Chrome. Navegadores como Mozilla Firefox, Brave y el propio navegador de DuckDuckGo bloquean muchos de los métodos comunes de rastreo entre sitios, a diferencia de Chrome, que es el navegador más popular pero carece de estas protecciones. Los usuarios de Android pueden configurar uno de estos navegadores más respetuosos de la privacidad como predeterminado para abrir enlaces web.
Para quienes utilizan dispositivos de Apple, el navegador Safari también ofrece protecciones sólidas de privacidad, aunque no es infalible. Los investigadores señalaron que Firefox en Android resultó parcialmente vulnerable a las tácticas de recolección de datos identificadas, además de Chrome. “DuckDuckGo y Brave bloquearon en gran medida las tácticas”, según los investigadores citados por The Washington Post.
Otra sugerencia es optar por el sitio web de una empresa en lugar de su aplicación móvil cuando sea posible. Las páginas web, a diferencia de las aplicaciones, tienen menos capacidad para rastrear a los usuarios o acceder a información confidencial sin permiso. Por ejemplo, para actividades ocasionales como comprar boletos de avión o cotizar un seguro, el uso del sitio web suele ofrecer más protección de la privacidad que la aplicación correspondiente.
PUBLICIDAD
El medio también recomendó eliminar las aplicaciones de Meta y Yandex de los teléfonos. Las tácticas descritas por los investigadores europeos demuestran que estas empresas no son dignas de confianza en materia de privacidad. Aunque Yandex no es popular en Estados Unidos, sus aplicaciones, al igual que las de Meta, permiten a las compañías recopilar información que los sitios web no pueden obtener fácilmente, como la ubicación aproximada del usuario, el nivel de batería del teléfono y los dispositivos conectados a la red WiFi doméstica, como una Xbox.
Es importante destacar que, incluso si un usuario no tiene aplicaciones de Meta en su teléfono ni utiliza Facebook o Instagram, la empresa aún puede recolectar información sobre su actividad en la web. Esto se debe a la presencia del software Meta Pixel en millones de sitios, lo que permite a la compañía rastrear la navegación de personas que nunca han creado una cuenta en sus plataformas.
El caso expuesto por The Washington Post ilustra la persistencia de los problemas de privacidad digital, pese a los esfuerzos regulatorios y tecnológicos de los últimos años. “Incluso después de años de revelaciones sobre empresas que convierten tu teléfono en un dispositivo de vigilancia permanente, los problemas persisten de manera exasperante”, subrayó el medio estadounidense.
PUBLICIDAD
Entre las recomendaciones adicionales, el Washington Post sugirió revisar y modificar las configuraciones de privacidad en Facebook y otras plataformas, así como mantenerse informado sobre las mejores prácticas para proteger la información personal en línea. La investigación continúa, y los expertos advierten que la vigilancia digital puede adoptar nuevas formas a medida que las empresas buscan sortear las barreras técnicas y legales existentes.