Un grupo de investigadores de la agencia IMDEA Networks y la Universidad Radboud de Nimega (Países Bajos) ha descubierto que Yandex y Meta han estado rastreando sin permiso la navegación de los usuarios en dispositivos Android, empleando un conjunto de instrucciones escritas para descubrir sus hábitos en Internet y asociarlos a personas.

El artículo, compartido por los investigadores en GitHub, revela que el método de rastreo utilizado por Meta y Yandex habría afectado a “miles de millones” de internautas al explotar una vulnerabilidad en las apps nativas del sistema operativo Android. Pero, ¿qué técnica habrían empleado ambas compañías? Todo apunta a que se hayan aprovechado del ‘Local Mess’.

Este método permite a las aplicaciones nativas Instagram y Facebook en el caso de Meta y Maps en el caso de Yandex recibir información de navegación de los usuarios mediante conexiones locales sin un consentimiento explícito, debido a que elude los mecanismos de privacidad como, por ejemplo, el modo incógnito, la navegación mediante VPN o la eliminación de cookies. Además, dicha técnica puede funcionar si el usuario no ha iniciado sesión en Facebook, Instagram o Tandex en sus navegadores móviles.

Por otro lado, de acuerdo con lo identificado por los investigadores, el modus operandi de ‘Local Mess’ consiste en que las apps nativas de Android obtienen información sobre la actividad de los usuarios en Internet como cookies, comandos del navegador y metadatos mediante scripts de Meta Pixel y Yandex Metrica, los cuales están integrados en miles de páginas web.

Asimismo, estos scripts se cargan en los navegadores móviles y se comunican directamente con las aplicaciones nativas que se ejecutan en el mismo dispositivo, utilizando sockets locales es decir, canales de comunicación que permiten el intercambio de datos entre programas, ya sea dentro del mismo sistema o a través de una red. Por lo tanto, cuando un internauta visita una página web que contiene el script de Meta Pixel o Yandex Metrica desde un navegador en su dispositivo Android, el script manda la información sobre su actividad.

Consecuencia de ello, la técnica ‘Local Mess’ permite que los scripts se comuniquen con las apps nativas de Android y compartan toda la información posible, poniendo en peligro la privacidad de los usuarios.

El rastreó empezó en 2017

La investigación informa que Yandex lleva realizando esta técnica para rastrear la navegación de los usuarios desde 2017, mientras que Meta empezó a utilizar este método en septiembre de 2024. Además, según datos aportados por el sitio web de monitorización BuiltWith, el script Meta Pixel está instalado en más de 5,8 millones de sitios web, mientras que Yandex Metrica se ha identificado en alrededor de 3 millones de sitios web.

Por el momento, esta técnica solo se ha identificado en scripts web de Meta y Yandex, dirigidos de forma exclusiva a móviles Android, aunque la organización ha matizado que no se ha de descartar un posible intercambio de datos similar entre navegadores iOS y aplicaciones nativas.

Desde IMDEA Networks y la Universidad Radboud de Nimega han señalado la importancia de desarrollar soluciones a largo plazo para gestionar el acceso a los puertos locales. Proponen implementar mecanismos que alerten a los usuarios cuando se intente acceder a estos puertos, así como establecer políticas de plataforma más estrictas, respaldadas por medidas de cumplimiento, con el fin de prevenir usos indebidos.

Qué dice Meta al respecto

La agencia Europa Press informa que Meta ha asegurado que el script Meta Pixel ya no envía paquetes o solicitudes a la dirección local en sus aplicaciones, lo que se traduce en el cese de rastreos de la actividad de navegación por parte de la compañía. Además, en una declaración para 20bits, un portavoz de Meta informa lo siguiente: “Estamos en conversaciones con Google para abordar un posible malentendido sobre la aplicación de sus políticas. Al darnos cuenta de las preocupaciones, decidimos pausar la función mientras trabajamos con Google para resolver el problema”.

Sin embargo, es importante tener en cuenta que el método Local Mess puede seguir usándose por otras empresas, e incluso ciberdelincuentes. Por ende, pueden desembocar en la exposición del historial de navegación de los usuarios a terceros.

/*! elementor - v3.22.0 - 24-06-2024 */ .elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=“.svg”]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}