En la Universidad de Radboud en los Países Bajos, el profesor de privacidad y seguimiento en línea Günes Acar emprendió un intrigante proyecto con sus estudiantes de maestría. Quería descubrir un peculiar caso de rastreo en el sitio web de la universidad: "Sabía que la página tenía múltiples rastreadores, incluido el de Facebook. De repente, noté una conexión a un puerto local, esencialmente mi propia computadora. Al principio, estaba desconcertado", recuerda Acar. Al buscar en línea si otros lo habían notado, encontró a desarrolladores de Facebook que se quejaban del mismo problema. "Facebook no respondió, y luego alguien comentó 'ya no lo veo'. Pero no es que Facebook se detuviera; cambiaron a un método aún más encubierto", dice Acar.

Acar consultó a Narseo Vallina-Rodríguez, un experto en seguridad y privacidad de Imdea Networks. "¿Qué demonios...?", fue la primera reacción de Vallina-Rodríguez. ¿Estaba Meta tramando para eludir los permisos de privacidad del navegador? Leer el código simplemente no ofrecía respuestas. Realizaron pruebas conectando sitios web con las aplicaciones de Meta, Facebook e Instagram, para revelar que Meta vinculaba datos de aplicaciones con la actividad de navegación de los usuarios, incluso en modo incógnito o al usar un VPN. Los detalles técnicos se describen en una página creada por los académicos.

"Observamos que la web interactuaba con la aplicación móvil para intercambiar información e identificadores", explica Vallina-Rodríguez. "Esto indica una estrategia bien elaborada para desanonimizar el tráfico web en dispositivos Android. Dado que este comportamiento se activa solo con componentes de software exactos dentro de la aplicación y el navegador, es mucho más difícil de detectar", añade.

Poco después de que los medios globales, incluido EL PAÍS, cuestionaran la práctica, Meta desactivó este sistema el lunes: "Estamos colaborando con Google para aclarar un posible malentendido respecto a la aplicación de su política. Al conocer las preocupaciones, decidimos pausar la función mientras colaboramos con Google para abordar el problema", declara un portavoz de Meta.

Esta vez, fueron demasiado lejos. Google ya está parcheando su navegador Chrome para evitar que Meta explote esta vulnerabilidad. El problema afecta a otros navegadores de Android como Firefox, Edge o DuckDuckGo. "Exploramos varias áreas como esta, pero esta vez se han pasado de la raya", comenta Acar. "Es algo que ha sorprendido genuinamente a profesionales experimentados del sector de la privacidad".

Meta empleó este método desde septiembre de 2024. ¿Podría estar relacionado con los cambios continuos de cookies de Google? "Es posible que lanzaran este nuevo método en respuesta a iniciativas como Privacy Sandbox de Google para limitar el seguimiento de terceros en los navegadores, pero eso es solo una especulación", indica Vallina-Rodríguez.

Además de Meta, los investigadores encontraron que la plataforma rusa Yandex había estado haciendo lo mismo desde 2017 sin ser detectada. ¿Fue el sistema de Meta una adaptación del sistema de Yandex? Es difícil decirlo: "La versión inicial del sistema de comunicación de Meta se parecía mucho al de Yandex, ya que ambos usaban conexiones al puerto local, es decir, al dispositivo del usuario. Más tarde, Meta cambió a protocolos un poco más difíciles de detectar", explica Vallina-Rodríguez.

Este sistema requería que los usuarios iniciaran sesión en su aplicación de Instagram o Facebook en un dispositivo Android. Los sitios web también necesitaban instalar el Pixel de Meta, un pequeño fragmento de código que permitía el rastreo. Este píxel está presente en aproximadamente el 20% de las páginas más visitadas, incluidas las sensibles como sitios de contenido para adultos. Cuando un usuario visitaba una página web específica, el píxel generaba una cookie que se enviaba a Meta. Ahora, este píxel también abría una conexión con la aplicación móvil, vinculando la cookie con la identidad del usuario y enviándola de vuelta a los servidores de Meta.

Esta cookie permitía el rastreo mientras los usuarios navegaban entre sitios web. Por lo tanto, este método es tan intrusivo, innovador y potencialmente ilegal. Para vincular cookies con la identidad, los rastreadores generalmente recopilan nombres o hashes de correos electrónicos a través de formularios de registro web. "Pero en este caso, estos rastreadores no necesitan eso, ya que los usuarios ya tienen sesión iniciada en la aplicación de Facebook o Instagram", señala Vallina-Rodríguez. "Así, al conectarse con el puerto local de tu móvil, pueden eludir todos los controles de privacidad del navegador, incluso el modo incógnito, y asociar tus cookies con tu identidad real", añade.

La información abarca no solo las páginas visitadas, sino también numerosas acciones realizadas en ellas: "Examinan todas tus actividades web: si buscas un producto, lo añades al carrito, realizas una compra o te registras. Hay una gran cantidad de datos. Esencialmente, cada acción se envía a su servidor. Es mucho más que simplemente saber que visitaste una página web", explica Acar.