Una investigación internacional liderada por IMDEA Networks ha revelado una práctica sistemática de rastreo que compromete la privacidad de usuarios de Android mediante una técnica que permite a las aplicaciones nativas de Meta y Yandex vincular identidades persistentes con historiales de navegación. El hallazgo, codirigido por Narseo Vallina-Rodríguez (IMDEA Networks), Gunes Acar (Universidad de Radboud, Países Bajos) y Tim Vlummens (Universidad Católica de Lovaina, Bélgica), ha sido comunicado a los principales desarrolladores de navegadores, que ya trabajan en contramedidas técnicas.
Según el estudio, aplicaciones como Facebook, Instagram y varias herramientas del ecosistema Yandex —incluyendo Maps, Navi, Browser y Search— emplean puertos locales fijos en los dispositivos móviles Android para recibir datos directamente desde el navegador. Esta técnica permite superar los límites establecidos por los controles de permisos del sistema operativo y evadir el modo incógnito de los navegadores. La recopilación de datos se produce sin el conocimiento ni consentimiento de las personas usuarias.
Vinculación de identidad y navegación
El mecanismo se apoya en la combinación de software de rastreo web (Meta Pixel y Yandex Metrica), instalado en millones de sitios web, y funcionalidades integradas en las aplicaciones nativas. Según la investigación, estos componentes capturan información de navegación del usuario desde el navegador del móvil y la asocian con identificadores únicos, como la cuenta de Facebook o el ID de publicidad de Android.
En el caso de Meta, el sistema utiliza WebRTC para que el navegador comunique identificadores al host local, donde las aplicaciones nativas los recogen y reenvían a los servidores corporativos. Por su parte, Yandex utiliza una estrategia más pasiva: su SDK AppMetrica escucha peticiones en puertos configurables y agrega los datos con identificadores persistentes antes de transferirlos a sus servidores.
Ambas estrategias eluden la supervisión del sistema operativo y del navegador, lo que plantea implicaciones significativas en materia de privacidad, especialmente en un entorno donde los usuarios dan por hecho cierto nivel de anonimato, como ocurre en el modo incógnito.
Práctica activa desde 2017
Los rastreos se habrían producido durante un periodo prolongado: desde 2017 en el caso de Yandex, y desde septiembre de 2024 en el caso de Meta. La magnitud del impacto es considerable, teniendo en cuenta que se estima que Meta Pixel y Yandex Metrica están integrados en 5,8 millones y 3 millones de sitios web respectivamente. Los investigadores no encontraron evidencia de esta práctica en sistemas operativos distintos a Android.
Uno de los aspectos más significativos del hallazgo es el retraso intencionado en la activación del rastreo. “Observamos que estas aplicaciones esperan hasta tres días después de la instalación antes de activar sus escuchas de host local”, señala Nipuna Weerasekara, investigador del estudio. Esta estrategia podría estar diseñada para dificultar la detección durante auditorías de seguridad o revisiones iniciales.
Además, los servidores de Yandex controlan en tiempo de ejecución la configuración de los puertos, lo que les permite esquivar medidas de bloqueo estático que ciertos navegadores han comenzado a implementar. Este diseño recuerda al funcionamiento de infraestructuras utilizadas por software malicioso, según los investigadores.
Reacciones del ecosistema tecnológico
Tras la divulgación, algunos navegadores como Chrome y DuckDuckGo han implementado medidas de protección, como bloqueos dinámicos de puertos y revisiones en la gestión del host local. Sin embargo, los expertos insisten en que las mitigaciones técnicas deben ir acompañadas de cambios en las políticas de plataforma.
Narseo Vallina-Rodríguez subraya que “el problema fundamental que permite este ataque es la falta de control sobre las comunicaciones del host local en la mayoría de las plataformas modernas”. Añade que es necesario introducir nuevos modelos de verificación, tanto en el sandboxing de aplicaciones como en la revisión de su comportamiento tras la instalación.
Hasta la fecha, ni Meta ni Yandex han hecho pública esta funcionalidad ante los usuarios ni a los desarrolladores de páginas web que integran sus soluciones de seguimiento. “Meta no solo no informó a los propietarios de sitios web sobre este método de seguimiento, sino que también ignoró sus quejas y preguntas”, afirma Gunes Acar, coautor de la investigación.
Implicaciones regulatorias y operativas
El hallazgo pone de relieve lagunas tanto técnicas como regulatorias en el tratamiento del rastreo multiplataforma. Si bien los navegadores han comenzado a responder, los investigadores advierten de que no existe una solución definitiva hasta que las plataformas móviles y los mercados de aplicaciones adopten controles más restrictivos sobre el uso de puertos locales.
Además, subrayan la necesidad de revisar el diseño de las API que permiten a los navegadores interactuar con el host local, especialmente en un entorno en el que la identificación del usuario puede realizarse sin ningún tipo de autenticación activa.
En paralelo, se hace imprescindible clarificar las obligaciones de transparencia de los proveedores de tecnologías de rastreo ante los operadores de sitios web, que podrían estar facilitando este tipo de prácticas sin conocer su alcance.
Perspectivas y medidas pendientes
Los investigadores recomiendan evitar temporalmente el uso de aplicaciones específicas de Meta y Yandex en dispositivos Android hasta que se confirmen las correcciones. Esta recomendación se basa en la ausencia de controles efectivos que limiten este comportamiento por parte del sistema operativo.
La investigación, cuyas pruebas y metodología han sido compartidas con proveedores de navegadores, podría tener un efecto catalizador en el rediseño de ciertas arquitecturas móviles y web. Aunque por el momento las soluciones siguen siendo parciales, la divulgación marca un precedente sobre la necesidad de una vigilancia más activa en el ecosistema digital.
